|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
: `+ P0 K+ k! m; t3 X) W
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
S0 g9 K1 @7 V5 a/ p8 Q) o
ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
- b' n0 h5 }# p& Q8 e
+ |, C) z( s: E! c. i sa = g^k ( mod p )
# L. b7 }: s/ e. R
再用扩展 Euclidean 算法对下面方程求解b:
1 l% S* z* X; Q/ R! E0 k
; A/ q7 @- ? E g
M = xa + kb ( mod p - 1 )
; O& e) t1 L8 m4 u* l1 f1 P" `
* c; G9 k$ b$ r7 D+ P& D
签名就是( a, b )。随机数k须丢弃。
5 u# Q& T( d% I3 ^$ U% P8 R验证时要验证下式:
6 k2 x" {6 B: d3 E1 @0 S: T
# a# w$ A p4 t! U7 [0 G; r$ Sy^a * a^b ( mod p ) = g^M ( mod p )
, b4 U4 }+ k* g+ H3 W1 N7 t- ?- [! C" |
! a2 O+ z5 d0 R# Z
同时一定要检验是否满足1<= a < p。否则签名容易伪造。
0 a) _1 E3 K3 c% z4 c; U/ T
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
$ T, |7 i& {, @3 P* C% N
- k& o5 i+ ]! w- N( a( |* j2 ~
a = g^k ( mod p )
' X5 v4 _3 b7 q" U7 c: k5 Pb = y^k M ( mod p )
0 ~5 b4 J) Z8 ]6 r& S$ Y: b `0 t
' L- {* t3 z& o
7 ~2 l9 B6 J: c" m. r* S& G ]! L( a, b )为密文,是明文的两倍长。解密时计算
: U' T1 a7 w3 S* }% p
I2 J- i; o! l4 s4 S( K/ zM = b / a^x ( mod p )
0 r; {3 w$ } F8 f' l" W
/ K( v" ^ N# V! c' r0 X ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
, g- M; Z: [) d5 l/ |3 l9 K4 ^因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
. K% q) D0 R( @# t
5 r' A( G$ ` V& N# _7 p 美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
% ]2 b+ O k {8 L k$ R
变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡