|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
# Y( B1 w2 O0 ~( ?密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
4 j( l3 ^0 F! N) g& _/ v& U1 C
ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
" M9 N8 e J; ?
6 n. z" @2 c* K& T) d2 @
a = g^k ( mod p )
( y7 T; S: G8 Q% Q- r6 y2 A5 {
再用扩展 Euclidean 算法对下面方程求解b:
, S7 b- Q/ e- Z8 l
9 S& @% e2 M8 W( D" gM = xa + kb ( mod p - 1 )
7 G5 J0 `' k7 K6 M# j, j
, W- K( G* m. E- W; Q签名就是( a, b )。随机数k须丢弃。
& j2 e+ _( o5 K" N; G! D% z验证时要验证下式:
" ?3 F% m; C$ E/ j
* [, S- r* c0 L: _y^a * a^b ( mod p ) = g^M ( mod p )
3 v0 W5 z7 f3 ]" l" d, R
% ~# e5 J+ ]; A8 c D
同时一定要检验是否满足1<= a < p。否则签名容易伪造。
6 E2 @$ U5 E1 ~1 O1 b6 h, T, R: tElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
# c |: w3 e: B# r) w- i
! O9 R8 T) n' T0 D& La = g^k ( mod p )
+ i" M, I' t2 G9 e2 x( ?# Cb = y^k M ( mod p )
3 t( @3 n b9 m: m
9 \% I* A5 s- b' D6 f6 o
* w# H+ }# B6 c* w3 ^' i
( a, b )为密文,是明文的两倍长。解密时计算
% `7 q& B E) g/ h
- ^5 R* E/ t! `; K
M = b / a^x ( mod p )
6 c/ d- r( b7 J7 X
4 H' D( U1 C% h Q& m6 z
ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
" S/ _1 F7 s! R6 g8 _因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
, R0 e* f; m, n) Q' T( W' W/ d
7 Y4 X! K1 s: L4 e: f: }
美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
( `3 O9 @/ M, Y% E8 l: D* U1 b" M
变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡