|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。 , ~& P" B$ g- D) C5 G- J+ \0 h! X
密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。 / P, D1 A* Z1 e, A/ ^; D
ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算 ( e+ X* q6 q3 J) F% L
; v: p" Q5 z k$ Q' Ba = g^k ( mod p ) * D2 ~, f+ _. w# s0 i$ `8 g9 O
再用扩展 Euclidean 算法对下面方程求解b:
, ~9 }2 y+ x- |; i" S5 h ) L, a! A- r8 t. J
M = xa + kb ( mod p - 1 ) 3 e0 X% V; E9 g( O
! F, \; }% W; j签名就是( a, b )。随机数k须丢弃。
4 d2 V$ T: Z5 k; P% B- Z7 ]验证时要验证下式: : a: }! W- M3 \
* U5 C6 M6 |" y3 n5 Z. |y^a * a^b ( mod p ) = g^M ( mod p )
' X; Y O/ }% v 7 h5 W7 Q( \% P6 S. O2 c6 o) P; m6 |
同时一定要检验是否满足1<= a < p。否则签名容易伪造。 " ~5 |+ F! B& f; x4 E! \( j) r
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算 & p/ @4 Q0 ]0 _* B- @' \+ O4 c
' {3 \ N. H' l g; v3 n+ U% aa = g^k ( mod p )
g9 {1 w9 `1 N* V) X9 b; wb = y^k M ( mod p ) - {. `! T" Y" t
1 Z) j" J2 [& T' y, u1 x % a' r* O/ a$ L
( a, b )为密文,是明文的两倍长。解密时计算 7 I2 i7 R' k9 ?2 v* t! Z/ e+ @
% T+ \6 B9 x, V9 O+ _ N- JM = b / a^x ( mod p )
& Q+ C, |! n& V$ S3 z
" L# a) @6 \+ E+ _ ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数 $ r6 [' m2 W9 t6 P* Y
因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
5 N4 W+ n" A6 Y' U% | _" E 8 ^& i! u! e2 I/ i( W8 y
美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演 7 K5 k, ]$ p9 k ]8 m w
变而来。 |
|