|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
5 d1 y) U4 v0 X" A+ d7 c/ m9 l3 h
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
2 x* }- b& r9 H5 {' h/ s) XElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
" l: ?' q7 D" s0 p5 w; w
~3 E4 S8 Z! G3 A
a = g^k ( mod p )
1 E( L6 q" M& f8 H! ~3 g v5 Q再用扩展 Euclidean 算法对下面方程求解b:
n$ x+ H/ k8 ?( N9 k
- H- a6 ^! A" x1 j
M = xa + kb ( mod p - 1 )
1 _: q: x( }$ k" C2 C5 k: Y
* Y/ y, {+ q, k4 m5 M5 V签名就是( a, b )。随机数k须丢弃。
2 G+ Z3 F1 P8 V% B1 B0 g3 P% F验证时要验证下式:
, q- l: ~# d' I2 _) [
! o& z# s% _/ O, w1 O5 v) ^3 Q% {y^a * a^b ( mod p ) = g^M ( mod p )
% \! e/ \* L2 l
$ H' a8 j2 o* M4 {" p同时一定要检验是否满足1<= a < p。否则签名容易伪造。
' W) q- _, e! O+ S% x; i
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
6 M0 k* l1 C3 A( A5 g+ Z6 X9 g
* |; S/ |/ R. S0 u
a = g^k ( mod p )
( j) P" ]+ y/ f4 d
b = y^k M ( mod p )
) D: U7 V/ G$ J/ N/ h% e% w( k
$ p9 }+ y1 [7 E) o' c
8 v# | c3 Q; c! c) ^% @
( a, b )为密文,是明文的两倍长。解密时计算
# X" q7 I! y) R
2 H1 X4 s0 o# Z. l9 y
M = b / a^x ( mod p )
2 S, D" D* v6 J+ h! ?3 y: s
( D3 |" R' m6 W3 `
ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
4 ?6 C; E; [" ]; |9 n9 a因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
* Z0 \" K6 z3 t6 ^
! Y' n8 q3 x; P! W5 [5 L1 B- k* a& p
美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
! L: x. o& o( z* O
变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡