WikiSort.ru - Не сортированное

ПОИСК ПО САЙТУ | о проекте

Подпись Нюберга — Руэппеля (англ. Nyberg-Rueppel Signature Scheme) — схема электронной подписи с использованием открытого ключа, основанная на задаче дискретного логарифмирования в конечном поле. Алгоритм не может использоваться для шифрования (в отличие от RSA и схемы Эль-Гамаля). Подпись создается секретно, но может быть публично проверена. Это значит, что только один субъект может создать подпись сообщения, но любой может проверить её корректность. Схема была предложена Кайсой Нюберг и Райнером Руэппелем в 1993 году на первой конференции ACM (англ. 1st ACM conference on Computer and communications security)^[1] как модификация DSA^[2]^[3].

Использование алгоритма

Схема подписи с восстановлением сообщения подразумевает собой процедуру, когда сообщение восстанавливается после проверки подписи. Иными словами, пусть имеются два пользователя, Алиса и Боб, и незащищенный канал связи между ними. Пользователь Алиса подписывает открытое сообщение секретным ключом, а полученную подпись пересылает пользователю Бобу, который в свою очередь с помощью открытого ключа проверяет подлинность подписи и восстанавливает сообщение. При положительном результате проверки, Боб убеждается в целостности сообщения, в его оригинальности (то есть в том, что сообщение было послано именно пользователем Алисой), а также лишается возможности утверждать, что Алиса не посылала это сообщение. Важно, что только Алиса способна подписать своё сообщение, потому что только она знает свой секретный ключ, и то, что её подпись может быть проверена любым пользователем, так как для этого нужен лишь открытый ключ^[4].

Параметры схемы цифровой подписи

Для построения системы цифровой подписи и генерации ключей необходимо^[2]^[5]^[6]:

Выбрать открытую функцию избыточности $f$ , которая преобразует фактическое сообщение в данные, которые затем подписываются. Это похоже на хеш-функцию в схемах подписи с приложением, но в отличие от них, функция избыточности должны быть легко обратима.
Выбрать большое простое число $Q$ .
Выбрать большое простое число $P$ , такое, что $(P-1)$ делится на $Q$ .
Сгенерировать случайное число $H<P$ и вычислить $G=H^{(P-1)/Q}\mod P$ . Если $G=1$ , то искать другое случайное $H$ , пока $G$ будет не равным $1$ , что обеспечит выполнение условия $G^{Q}=1\mod P$

Открытый и секретный ключи

Секретный ключ представляет собой число $x\in (0,Q)$
Открытый ключ вычисляется по формуле $Y=G^{x}\mod p$

Открытыми параметрами являются $(P,Q,G,Y)$ . Закрытый параметр — $x$ . Ключевая пара $(Y,x)$ ^[2]^[5]^[6].

Подпись сообщения

Подпись сообщения выполняется по следующему алгоритму^[2]^[5]^[6]:

Выбрать случайное число $k\in \mathbb {Z} /Q\mathbb {Z}$ и найти $R=G^{k}(modP)$ .
Найти $E=f(M)\cdot R(modP)$ .
Определить $S=x\cdot E+k(modQ)$ .

Подписью является пара $(E,S)$ .

Проверка подписи и восстановление сообщения

Исходя из пары $(E,S)$ и целого числа по модулю $Q$ необходимо убедиться в том, что подпись принадлежит пользователю с открытым ключом $Y$ и восстановить сообщение $M$ . Проверка подписи выполняется по алгоритму:

Вычислить $U_{1}=G^{S}\cdot Y^{-E}=G^{S-Ex}=G^{k}(modP)$ .
Вычислить $U_{2}={E \over U_{1}}(modP)$ .

Теперь нужно убедиться в том, что $U_{2}$ является значением функции избыточности, то есть $U_{2}=f(M)$ . Если равенство не выполняется, то подпись ложная и отклоняется. В ином случае восстанавливается сообщение $M=f^{-1}(U_{2})$ и принимается подпись^[2]^[5]^[6].

Схема алгоритма

Достоинства и недостатки схемы

Схема подписи на тех же принципах, что и DSA, главное отличие заключается в том, что в схеме реализовано восстановление сообщения из подписи. В отличие от RSA, подпись и восстановление не коммутируют, следовательно, алгоритм не может быть использован для шифрования. Преимущества восстановления сообщения заключаются в том, что применение схемы осуществляется без использования хеш-функций, более короткая подпись на коротких сообщениях, возможность прямого применения в схемах на основе идентификационной системы с открытым ключом, где пользователь после регистрации в центре ключей может аутентифицировать себя любому другому пользователю без дальнейшего обращения в центр ключей, или в протоколах согласования ключа, которые устанавливают общий ключ между двумя сторонами на основе взаимной аутентификации^[2]^[7]^[8].

Пример

Подпись сообщения^[9]

Выберем параметры схемы: $Q=101,P=607,G=601.$
Ключевая пара пусть выглядит как $(391,3)$ .
Чтобы подписать сообщение $M=12$ , вычисляем временный ключ $k=45$ и $R=G^{k}(modP)=143$ .
Пусть $f(M)=M+2^{4}\cdot M$ , тогда $f(M)=204$ и

$E=f(M)\cdot R(modP)=36$ , $S=x\cdot E+k(modQ)=52$ .

Итого, пара чисел $(E,S)$ , то есть $(36,52)$ — это подпись.

Проверка подписи и восстановление сообщения^[9]

Вычисляем $U_{1}=G^{S}\cdot Y^{-E}=143$ . Следует заметить, что значение $U_{1}$ совпадает со значением $R$ .
Вычисляем $U_{2}={E \over U_{1}}(modP)=204$ .
Теперь нужно проверить, что $U_{2}=204$ представляется в виде $M+2^{4}\cdot M$ для некоторого целого числа $M$ , и убедившись в этом, делаем заключение в корректности подписи.
Восстанавливаем сообщение $M=12$ как решение уравнения $M+2^{4}\cdot M=204$ .

См. также

Примечания

↑ ACM Conference on Computer and Communications Security (CCS)
1 2 3 4 5 6 Nyberg, K., Rueppel, R. A., 1993.
↑ Elgamal, 1985.
↑ Смарт, 2005, p. 261.
1 2 3 4 Nyberg, K., Rueppel, R. A., 1996.
1 2 3 4 Смарт, 2005, с. 278.
↑ Смарт, 2005, с. 271.
↑ Бауер, 2007, с. 228.
1 2 Смарт, 2005, с. 279.

Литература

Бауер Ф. Расшифрованные секреты. Методы и принципы криптологии. — Мир, 2007. — 550 с.
Смарт, Н. Криптография. — Техносфера, 2005. — 528 с.
Elgamal, T. A public key cryptosystem and a signature scheme based on discrete logarithms // Advances in Cryptology : книга. — 1985.
Nyberg, K., Rueppel, R. A. Message Recovery for Signature Schemes Based on the Discrete Logarithm Problem // Designs, Codes and Cryptography : журнал. — 1996. — № Volume 7, Issue 1-2. — С. 61-81.
Nyberg, K., Rueppel, R. A. A new signature scheme based on the DSA giving message recovery // 1st ACM Conference on Computer and Communications Security, Fairfax, Virginia (Nov. 3–5, 1993). — 1993.

Данная страница на сайте WikiSort.ru содержит текст со страницы сайта "Википедия".

Если Вы хотите её отредактировать, то можете сделать это на странице редактирования в Википедии.

Если сделанные Вами правки не будут кем-нибудь удалены, то через несколько дней они появятся на сайте WikiSort.ru .

Текст в блоке "Читать" взят с сайта "Википедия" и доступен по лицензии Creative Commons Attribution-ShareAlike; в отдельных случаях могут действовать дополнительные условия.

Другой контент может иметь иную лицензию. Перед использованием материалов сайта WikiSort.ru внимательно изучите правила лицензирования конкретных элементов наполнения сайта.

2019-2024
WikiSort.ru - проект по пересортировке и дополнению контента Википедии

[1] ACM Conference on Computer and Communications Security (CCS)

[_7454d221553fc03d-2] 1 2 3 4 5 6 Nyberg, K., Rueppel, R. A., 1993.

[_9096049fb2527be9-3] Elgamal, 1985.

[_e229044393d5bef4-4] Смарт, 2005, p. 261.

[_15d53953f92e5444-5] 1 2 3 4 Nyberg, K., Rueppel, R. A., 1996.

[_e229034393d5bd2a-6] 1 2 3 4 Смарт, 2005, с. 278.

[_e229034393d5bd23-7] Смарт, 2005, с. 271.

[_a356f3191229faaf-8] Бауер, 2007, с. 228.

[_e229034393d5bd2b-9] 1 2 Смарт, 2005, с. 279.