|
|
ElGamal算法既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
1 f0 T9 u& L0 k1 |2 D; M0 ? h密钥对产生办法。首先选择一个素数p,两个随机数, g 和x,g, x < p, 计算 y = g^x ( mod p ),则其公钥为 y, g 和p。私钥是x。g和p可由一组用户共享。
% X, ~+ Y8 b; M' P& P+ L( y7 R, ?ElGamal用于数字签名。被签信息为M,首先选择一个随机数k, k与 p - 1互质,计算
+ L3 r1 f1 e& ]) m& P; d
- r# Y- |4 _) y% Ia = g^k ( mod p )
! W. a" m' a4 W6 b5 w6 y再用扩展 Euclidean 算法对下面方程求解b:
& q! q, D$ X1 n& Z
* Y- q% c1 ^! k9 V# ]$ XM = xa + kb ( mod p - 1 )
+ ^# z% `+ {! ~2 J, ?
7 g& s7 Z# h0 N3 f8 S$ ] W8 P
签名就是( a, b )。随机数k须丢弃。
/ N- [& R4 Z+ Z8 Q) j$ Q1 K
验证时要验证下式:
- q/ B4 J% @2 q/ g e
) H! x0 q* U7 F$ n( k- n7 zy^a * a^b ( mod p ) = g^M ( mod p )
! Z; j& p- X: d
" |5 _+ d; C# W- H A同时一定要检验是否满足1<= a < p。否则签名容易伪造。
5 T: j* x5 S& [0 M. G
ElGamal用于加密。被加密信息为M,首先选择一个随机数k,k与 p - 1互质,计算
' G* S# }- _- a
/ Q4 k! |6 C2 l9 x+ D" i" r
a = g^k ( mod p )
; l& U `7 z8 X. |0 bb = y^k M ( mod p )
) h7 {! J5 e1 m5 V
4 b. e, U% r7 v( n' ~/ m& I: N0 t
$ B# q6 Q3 Y5 m# v
( a, b )为密文,是明文的两倍长。解密时计算
c+ S- `) Q$ o1 p- g$ x5 @% A, Q
% w2 a% u& j% S, |/ A6 |M = b / a^x ( mod p )
; l, K1 P8 j! \9 t9 H; \
5 V+ c9 F. T, U2 i ElGamal签名的安全性依赖于乘法群(IFp)* 上的离散对数计算。素数p必须足够大,且p-1至少包含一个大素数
7 h( P# m8 `6 f2 @6 D3 n
因子以抵抗Pohlig & Hellman算法的攻击。M一般都应采用信息的HASH值(如SHA算法)。ElGamal的安全性主要依赖于p和g,若选取不当则签名容易伪造,应保证g对于p-1的大素数因子不可约。D.Bleichenbache“GeneratingElGamal Signatures Without Knowing the Secret Key”中提到了一些攻击方法和对策。ElGamal的一个不足之处是它的密文成倍扩张。
3 S) E3 E9 ?7 y4 E% m$ I- w
8 |* _3 }5 o$ m$ w9 C
美国的DSS(Digital Signature Standard)的DSA(Digital Signature Algorithm)算法是经ElGamal算法演
/ J5 C. O9 i$ H9 @4 y变而来。 |
|
IP卡
狗仔卡
发表于 2004-11-26 20:04:40
收藏
分享
淘帖
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡