|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
" B1 F+ t5 X: h0 m4 R密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
7 p h+ \4 c8 p5 w5 j3 U% [ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
5 T2 L6 N+ h' y; l8 E3 x" |
0 l7 Z+ x2 F: ~0 }+ W
a = g^k ( mod p )
- U7 G" M; u) J! ^- i再用扩展 Euclidean 算法对下面方程求解b:
. Z* Y- V- g/ B: w7 i
) W; a* D$ S' F4 J- U; {" r
M = xa + kb ( mod p - 1 )
/ I Y; C Q- a9 c8 q8 H
* p: {& X+ f7 L% {9 r1 n5 [6 m签名就是( a, b )。随机数k须丢弃。
0 z# s" G7 M# F% h& c4 Q
验证时要验证下式:
" d* }% L; I: H# n% S/ W. V
; l% @2 o3 }; z! T% m" ^, j
y^a * a^b ( mod p ) = g^M ( mod p )
+ E& [# s* X+ r- }0 l' M9 ^3 [
- w l) ?$ b# m1 G% j7 e同时一定要检验是否满足1<= a < p。否则签名容易伪造。
" Z# F' q0 y+ `0 Z" Y3 Y1 j4 M. G1 u& X$ HElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
4 T; f2 U# r2 L' M+ l
6 k' q0 y0 E! ~0 y0 v' ?7 i. ?
a = g^k ( mod p )
: ^ @3 O O" a k2 \b = y^k M ( mod p )
: c9 `7 A% ]' K- X7 ^& L( e+ {
. B7 k& j& O* \; y! m9 W, a; f$ i
+ Q1 `2 J8 t, O. o
( a, b )为密文,是明文的两倍长。解密时计算
$ y: {5 s' h: ]& ~! V7 L1 a6 T# ]
! N2 t% z. F8 n2 q" W g& V6 J
M = b / a^x ( mod p )
- w1 J' `/ F/ e: x5 j' {/ }7 o
% z8 v2 x8 [( l% e* w& s4 U
ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
2 W, @3 `, S v! Q4 ?1 B5 S; _
因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
& A% p; a0 N( R* i, m
% E" b" D: H% }4 o$ @* a, U" d% h" \ 美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
5 u* R+ y/ ?# {& U/ a% g变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡