WikiSort.ru - Не сортированное

Шифрование

Сообщение ${\displaystyle M}$ должно быть меньше числа ${\displaystyle p}$ . Сообщение шифруется следующим образом:

1. Выбирается сессионный ключ — случайное целое число ${\displaystyle k}$ такое, что ${\displaystyle 1<k<p-1}$ .
2. Вычисляются числа ${\displaystyle a=g^{k}{\bmod {p}}}$ и ${\displaystyle b=y^{k}M{\bmod {p}}}$ .
3. Пара чисел ${\displaystyle (a,b)}$ является шифротекстом.

Нетрудно увидеть, что длина шифротекста в схеме Эль-Гамаля длиннее исходного сообщения ${\displaystyle M}$ вдвое.

Расшифрование

Зная закрытый ключ ${\displaystyle x}$ , исходное сообщение можно вычислить из шифротекста ${\displaystyle (a,b)}$ по формуле:

${\displaystyle M=b(a^{x})^{-1}{\bmod {p}}.}$

При этом нетрудно проверить, что

${\displaystyle (a^{x})^{-1}=g^{-kx}{\bmod {p}}}$

и поэтому

${\displaystyle b(a^{x})^{-1}=(y^{k}M)g^{-xk}\equiv (g^{xk}M)g^{-xk}\equiv M{\pmod {p}}}$ .

Для практических вычислений больше подходит следующая формула:

${\displaystyle M=b(a^{x})^{-1}=ba^{(p-1-x)}{\pmod {p}}}$

Схема шифрования

Пример

• Шифрование
  1. Допустим, что нужно зашифровать сообщение ${\displaystyle M=5}$ .
  2. Произведем генерацию ключей:
     1. Пусть ${\displaystyle p=11,g=2}$ . Выберем ${\displaystyle x=8}$ - случайное целое число ${\displaystyle x}$ такое,что ${\displaystyle 1<x<p}$ .
     2. Вычислим ${\displaystyle y=g^{x}{\bmod {p}}=2^{8}{\bmod {11}}=3}$ .
     3. Итак, открытым ключом является тройка ${\displaystyle (p,g,y)=(11,2,3)}$ ,а закрытым ключом - число ${\displaystyle x=8}$ .
  3. Выбираем случайное целое число ${\displaystyle k}$ такое, что 1 < k < (p − 1). Пусть ${\displaystyle k=9}$ .
  4. Вычисляем число ${\displaystyle a=g^{k}{\bmod {p}}=2^{9}{\bmod {11}}=512{\bmod {11}}=6}$ .
  5. Вычисляем число ${\displaystyle b=y^{k}M{\bmod {p}}=3^{9}5{\bmod {11}}=19683\cdot 5{\bmod {11}}=9}$ .
  6. Полученная пара ${\displaystyle (a,b)=(6,9)}$ является шифротекстом.
• Расшифрование
  1. Необходимо получить сообщение ${\displaystyle M=5}$ по известному шифротексту ${\displaystyle (a,b)=(6,9)}$ и закрытому ключу ${\displaystyle x=8}$ .
  2. Вычисляем M по формуле: ${\displaystyle M=b(a^{x})^{-1}{\bmod {p}}=9(6^{8})^{-1}\mod {11}=5}$
  3. Получили исходное сообщение ${\displaystyle M=5}$ .

Так как в схему Эль-Гамаля вводится случайная величина ${\displaystyle k}$ ,то шифр Эль-Гамаля можно назвать шифром многозначной замены. Из-за случайности выбора числа ${\displaystyle k}$ такую схему еще называют схемой вероятностного шифрования. Вероятностный характер шифрования является преимуществом для схемы Эль-Гамаля, так как у схем вероятностного шифрования наблюдается большая стойкость по сравнению со схемами с определенным процессом шифрования. Недостатком схемы шифрования Эль-Гамаля является удвоение длины зашифрованного текста по сравнению с начальным текстом. Для схемы вероятностного шифрования само сообщение ${\displaystyle M}$ и ключ не определяют шифротекст однозначно. В схеме Эль-Гамаля необходимо использовать различные значения случайной величины ${\displaystyle k}$ для шифровки различных сообщений ${\displaystyle M}$ и ${\displaystyle M'}$ . Если использовать одинаковые ${\displaystyle k}$ , то для соответствующих шифротекстов ${\displaystyle (a,b)}$ и ${\displaystyle (a',b')}$ выполняется соотношение ${\displaystyle b(b')^{-1}=M(M')^{-1}}$ . Из этого выражения можно легко вычислить ${\displaystyle M'}$ , если известно ${\displaystyle M}$ .

Подпись сообщений

Для подписи сообщения ${\displaystyle M}$ выполняются следующие операции:

1. Вычисляется дайджест сообщения ${\displaystyle M}$ : ${\displaystyle m=h(M).}$ (Хеш функция может быть любая).
2. Выбирается случайное число ${\displaystyle 1<k<p-1}$ взаимно простое с ${\displaystyle p-1}$ и вычисляется ${\displaystyle r=g^{k}\,{\bmod {\,}}p.}$
3. Вычисляется число ${\displaystyle s\,\equiv \,(m-xr)k^{-1}{\pmod {p-1}}}$ , где ${\displaystyle k}$ в степени минус 1 это мультипликативное обратное.
4. Подписью сообщения ${\displaystyle M}$ является пара ${\displaystyle \left(r,s\right)}$ .

Проверка подписи

Зная открытый ключ ${\displaystyle \left(p,g,y\right)}$ , подпись ${\displaystyle \left(r,s\right)}$ сообщения ${\displaystyle M}$ проверяется следующим образом:

1. Проверяется выполнимость условий: ${\displaystyle 0<r<p}$ и ${\displaystyle 0<s<p-1}$ .
2. Если хотя бы одно из них не выполняется,то подпись считается неверной.
3. Вычисляется дайджест ${\displaystyle m=h(M).}$
4. Подпись считается верной, если выполняется сравнение:

   ${\displaystyle y^{r}r^{s}\equiv g^{m}{\pmod {p}}.}$

Корректность проверки

Рассматриваемый алгоритм корректен в том смысле, что подпись, вычисленная по указанным выше правилам, будет принята при ее проверки.

Преобразуя определение ${\displaystyle s}$ , имеем

${\displaystyle m\,\equiv \,xr+sk{\pmod {p-1}}.}$

Далее, из Малой теоремы Ферма следует, что

${\displaystyle {\begin{aligned}g^{m}&\equiv g^{xr}g^{ks}\\&\equiv (g^{x})^{r}(g^{k})^{s}\\&\equiv (y)^{r}(r)^{s}{\pmod {p}}.\\\end{aligned}}}$

Пример

• Подпись сообщения.
  1. Допустим,что нужно подписать сообщение ${\displaystyle M=baaqab}$ .
  2. Произведем генерацию ключей:
     1. Пусть ${\displaystyle p=23}$ ${\displaystyle g=5}$ переменные, которые известны некоторому сообществу.
     2. Секретный ключ ${\displaystyle x=7}$ — случайное целое число ${\displaystyle x}$ такое, что ${\displaystyle 1<x<p}$ .
     3. Вычисляем открытый ключ ${\displaystyle y}$ : ${\displaystyle y=g^{x}{\bmod {p}}=5^{7}{\bmod {2}}3=17}$ .
     4. Итак,открытым ключом является тройка ${\displaystyle (p,g,y)=(23,5,17)}$ .
  3. Теперь вычисляем хеш-функцию: ${\displaystyle h(M)=h(baaqab)=m=3}$ .
  4. Выберем случайное целое число ${\displaystyle k}$ такое, что выполняется условие ${\displaystyle 1<k<p-1}$ . Пусть ${\displaystyle k=5}$ .
  5. Вычисляем ${\displaystyle r=g^{k}modp=5^{5}{\bmod {2}}3=20}$ .
  6. Находим число ${\displaystyle s\,\equiv \,(m-xr)k^{-1}{\pmod {p-1}}}$ . Такое ${\displaystyle s}$ существует, так как НОД(k,p-1)=1. Получим
  7. что ${\displaystyle s=21}$ .
  8. Итак, мы подписали сообщение: ${\displaystyle <baaqab,20,21>}$ .

• Проверка подлинности полученного сообщения.
  1. Вычисляем хеш-функцию: ${\displaystyle h(M)=h(baaqab)=m=3}$ .
  2. Проверяем сравнение ${\displaystyle y^{r}\cdot r^{s}\equiv g^{m}{\pmod {p}}}$ .
  3. Вычислим левую часть по модулю 23: ${\displaystyle 17^{20}\cdot 20^{21}{\bmod {2}}3=16\cdot 15{\bmod {2}}3=10}$ .
  4. Вычислим правую часть по модулю 23: ${\displaystyle 5^{3}{\bmod {2}}3=10}$ .
  5. Так как правая и левая части равны, то это означает что подпись верна.

Главным преимуществом схемы цифровой подписи Эль-Гамаля является возможность вырабатывать цифровые подписи для большого числа сообщений с использованием только одного секретного ключа. Чтобы злоумышленнику подделать подпись, ему нужно решить сложные математические задачи с нахождением логарифма в поле ${\displaystyle \mathbb {Z} _{p}}$ . Следует сделать несколько комментариев:

• Случайное число ${\displaystyle k}$ должно сразу после вычисления подписи уничтожаться, так как если злоумышленник знает случайное число ${\displaystyle k}$ и саму подпись, то он легко может найти секретный ключ по формуле: ${\displaystyle x=(m-ks)r^{-1}{\bmod {(}}p-1)}$ и полностью подделать подпись.

Число ${\displaystyle k}$ должно быть случайным и не должно дублироваться для различных подписей, полученных при одинаковом значении секретного ключа.

• Использование свертки ${\displaystyle m=h(M)}$ объясняется тем,что это защищает подпись от перебора сообщений по известным злоумышленнику значениям подписи. Пример: если выбрать случайные числа ${\displaystyle i,j}$ ,удовлетворяющие условиям ${\displaystyle 0<i<{p-1},0<j<{p-1}}$ , НОД(j,p-1)=1 и предположить что

  ${\displaystyle r=g^{i}\cdot y^{-j}{\bmod {p}}}$

  ${\displaystyle s=r\cdot j^{-1}{\bmod {(}}p-1)}$

  ${\displaystyle m=r\cdot i\cdot j^{-1}{\bmod {(}}p-1)}$

то легко удостовериться в том,что пара ${\displaystyle (r,s)}$ является верной цифровой подписью для сообщения ${\displaystyle x=M}$ .

• Цифровая подпись Эль-Гамаля стала примером построения других подписей, схожих по своим свойствам. В их основе лежит выполнение сравнения: ${\displaystyle y^{A}\cdot r^{B}=g^{C}(modp)}$ , в котором тройка ${\displaystyle (A,B,C)}$ принимает значения одной из перестановок ±r, ±s и ±m при каком-то выборе знаков. Например, исходная схема Эль-Гамаля получается при ${\displaystyle A=r}$ , ${\displaystyle B=s}$ , ${\displaystyle C=m}$ .На таком принципе построения подписи сделаны стандарты цифровой подписи США и России. В американском стандарте DSS (Digital Signature Standard), используется значения ${\displaystyle A=r}$ , ${\displaystyle B=-s}$ , ${\displaystyle C=m}$ , а в Российском стандарте: ${\displaystyle A=-x}$ , ${\displaystyle B=-m}$ , ${\displaystyle C=s}$ .
• Еще одним из преимуществ является возможность уменьшения длины подписи с помощью замены пары чисел ${\displaystyle (s,m)}$ на пару чисел ${\displaystyle (s{\bmod {q}},m{\bmod {q}}}$ ),где ${\displaystyle q}$ является каким-то простым делителем числа ${\displaystyle (p-1)}$ . При этом сравнение для проверки подписи по модулю ${\displaystyle p}$ нужно заменить на новое сравнение по модулю ${\displaystyle q}$ : ${\displaystyle (~y^{A}\cdot r^{B}){\bmod {p}}=g^{C}{\pmod {q}}}$ . Так сделано в американском стандарте DSS (Digital Signature Standard).