Schéma podpisu ElGamal - ElGamal signature scheme
The Schéma podpisu ElGamal je digitální podpis schéma, které je založeno na obtížnosti výpočtu diskrétní logaritmy. Popsal to Taher Elgamal v roce 1985.[1]
Algoritmus podpisu ElGamal se v praxi používá jen zřídka. Varianta vyvinutá na NSA a známý jako Algoritmus digitálního podpisu je mnohem rozšířenější. Existuje několik dalších variant.[2] Nesmí být zaměňováno s podpisovým schématem ElGamal Šifrování ElGamal který také vynalezl Taher Elgamal.
Přehled
Schéma podpisu ElGamal je schéma digitálního podpisu založené na algebraických vlastnostech modulární umocňování spolu s problémem diskrétního logaritmu. Algoritmus používá a pár klíčů skládající se z a veřejný klíč a a soukromý klíč. Soukromý klíč se používá ke generování a digitální podpis pro zprávu a takový podpis může být ověřeno pomocí odpovídajícího veřejného klíče podepisujícího. Digitální podpis poskytuje ověření zprávy (příjemce může ověřit původ zprávy), integritu (příjemce může ověřit, že zpráva nebyla změněna, protože byla podepsána) a neodmítnutí (odesílatel nemůže falešně tvrdit, že tak neučinil) podepsal zprávu).
Dějiny
Schéma podpisu ElGamal popsal Tahir Elgamal v roce 1985.[1]
Úkon
Schéma zahrnuje čtyři operace: generování klíčů (které vytváří pár klíčů), distribuce klíčů, podepisování a ověřování podpisů.
Generování klíčů
Generování klíčů má dvě fáze. První fáze je výběr parametrů algoritmu, které mohou být sdíleny mezi různými uživateli systému, zatímco druhá fáze počítá jeden pár klíčů pro jednoho uživatele.
Generování parametrů
- Vyberte délku klíče .
- Vyber -bit prvočíslo
- Vyber kryptografická hashovací funkce s výstupní délkou bity. Li , jen úplně vlevo jsou použity bity hash výstupu.
- Vyber generátor z multiplikativní skupina celých čísel modulo str, .
Parametry algoritmu jsou . Tyto parametry mohou být sdíleny mezi uživateli systému.
Klíče na uživatele
Vzhledem k sadě parametrů vypočítá druhá fáze pár klíčů pro jednoho uživatele:
- Vyberte celé číslo náhodně od .
- Vypočítat .
je soukromý klíč a je veřejný klíč.
Distribuce klíčů
Podepisující by měl poslat veřejný klíč k přijímači prostřednictvím spolehlivého, ale ne nutně tajného mechanismu. Podepisující by si měl ponechat soukromý klíč tajný.
Podepisování
Zpráva je podepsán takto:
- Vyberte celé číslo náhodně od s relativně prime to .
- Vypočítat .
- Vypočítat .
- V nepravděpodobném případě, že začít znovu s jiným náhodným výběrem .
Podpis je .
Ověření podpisu
Lze ověřit, že podpis je platný podpis pro zprávu jak následuje:
- Ověřte to a .
- Podpis je platný právě tehdy
Správnost
Algoritmus je správný v tom smyslu, že podpis vygenerovaný podpisovým algoritmem bude ověřovatelem vždy přijat.
Výpočet během generování podpisu naznačuje
Od té doby je relativně nejlepší ,
Bezpečnostní
Třetí strana může falšovat podpisy buď vyhledáním tajného klíče podepisujícího X nebo nalezením kolizí ve funkci hash . Oba problémy jsou považovány za obtížné. Od roku 2011 však nedošlo k přísnému snížení na a předpoklad výpočetní tvrdosti je známo.
Podepisující musí dávat pozor, aby vybral jinou k jednotně náhodně pro každý podpis a mít jistotu, že k, nebo dokonce částečné informace o k, není prosakován. V opačném případě může být útočník schopen odvodit tajný klíč X se sníženou obtížností, možná natolik, aby umožnil praktický útok. Zejména pokud jsou odesílány dvě zprávy se stejnou hodnotou k a stejný klíč, pak může útočník vypočítat X přímo.[1]
Existenční padělání
Originální papír[1] nezahrnoval a hashovací funkce jako systémový parametr. Zpráva m byl použit přímo v algoritmu místo H (m). To umožňuje útok s názvem existenciální padělání, jak je popsáno v části IV příspěvku. Pointcheval a Stern zobecnili tento případ a popsali dvě úrovně padělků:[3]
- Padělek s jedním parametrem. Vyberte takhle . Soubor a . Pak n-tice je platný podpis pro zprávu .
- Dva parametry padělání. Vybrat , a . Soubor a . Pak n-tice je platný podpis pro zprávu . Jednoparametrický padělek je speciální případ padělání dvou parametrů, když .
Viz také
- Modulární aritmetika
- Algoritmus digitálního podpisu
- Eliptická křivka DSA
- Šifrování ElGamal
- Schnorrův podpis
- Pointcheval – Sternův algoritmus podpisu
Reference
- ^ A b C d Taher ElGamal (1985). „Kryptosystém veřejného klíče a schéma podpisu založené na diskrétních logaritmech“ (PDF). Transakce IEEE na teorii informací. 31 (4): 469–472. CiteSeerX 10.1.1.476.4791. doi:10.1109 / TIT.1985.1057074. (verze konference se objevila v CRYPTO '84, s. 10–18)
- ^ K. Nyberg, R. A. Rueppel (1996). „Obnova zprávy pro podpisová schémata založená na problému diskrétního logaritmu“. Designy, kódy a kryptografie. 7 (1–2): 61–81. doi:10.1007 / BF00125076. S2CID 123533321.
- ^ Pointcheval, David; Stern, Jacques (2000). „Bezpečnostní argumenty pro digitální podpisy a slepé podpisy“ (PDF). J Kryptologie. 13 (3): 361–396. CiteSeerX 10.1.1.208.8352. doi:10.1007 / s001450010003. S2CID 1912537.