Схема подписи Эль-Гамаля

Схема подписи Эль-Гамаля — это схема цифровой подписи , основанная на сложности вычисления дискретных логарифмов . Он был описан Тахером Эльгамалем в 1985 году. ^[1]

Алгоритм подписи Эль-Гамаля на практике используется редко. Гораздо более широко используется вариант, разработанный в АНБ и известный как алгоритм цифровой подписи . Есть еще несколько вариантов. ^[2] Схему подписи Эль-Гамаля не следует путать с шифрованием Эль-Гамаля , которое также было изобретено Тахером Эльгамалем.

Обзор

Схема подписи Эль-Гамаля — это схема цифровой подписи, основанная на алгебраических свойствах модульного возведения в степень вместе с проблемой дискретного логарифмирования. Алгоритм использует пару ключей , состоящую из открытого ключа и закрытого ключа . Закрытый ключ используется для создания цифровой подписи сообщения, и такую подпись можно проверить с помощью соответствующего открытого ключа подписывающего лица. Цифровая подпись обеспечивает аутентификацию сообщения (получатель может проверить происхождение сообщения), целостность (получатель может убедиться, что сообщение не было изменено с момента его подписания) и неотказуемость (отправитель не может ложно заявлять, что он не подписал сообщение).

История

Схема подписи Эль-Гамаля была описана Тахером Эльгамалем в 1985 году. ^[1] Она основана на проблеме Диффи-Хеллмана .

Операция

Схема включает четыре операции: генерацию ключей (которая создает пару ключей), распространение ключей, подписание и проверку подписи.

Генерация ключей

Генерация ключей состоит из двух этапов. Первый этап — это выбор параметров алгоритма, которые могут быть общими для разных пользователей системы, а второй этап — вычисление одной пары ключей для одного пользователя.

Генерация параметров

Выберите длину ключа . $N$
Выберите -битное простое число $N$ ${\ displaystyle p}$
Выберите криптографическую хеш-функцию с битами выходной длины . Если , используются только самые левые биты вывода хэша. $H$ $L$ $L>N$ $N$
Выберите генератор мультипликативной группы целых чисел по модулю p , . $г<p$ $Z_{p}^{*}$

Параметры алгоритма: . Эти параметры могут быть общими между пользователями системы. $(п,г)$

Ключи для каждого пользователя

Учитывая набор параметров, второй этап вычисляет пару ключей для одного пользователя:

Случайным образом выберите целое число из . $х$ $\{1\ldots p-2\}$
Вычислить . $y:=g^{x}{\bmod {p}}$

$х$ является закрытым ключом и является открытым ключом. $y$

Распределение ключей

Подписывающая сторона должна отправить открытый ключ получателю с помощью надежного, но не обязательно секретного механизма. Подписавшая сторона должна хранить секретный ключ в секрете. $y$ $х$

Подписание

Сообщение подписывается следующим образом: $м$

Случайным образом выберите целое число от с относительно простым до . $k$ $\{2\ldots p-2\}$ $k$ $p-1$
Вычислить . $r:=g^{k}{\bmod {p}}$
Вычислить . $s:=(H(m)-xr)k^{-1}{\bmod {(}}p-1)$
В том маловероятном случае, что начнется снова с другим случайным . $s=0$ $k$

Подпись есть . ${\ displaystyle (r, s)}$

Проверка подписи

Проверить, что подпись является действительной подписью сообщения, можно следующим образом: ${\ displaystyle (r, s)}$ $м$

Убедитесь в этом и . $0<r<p$ $0<s<p-1$
Подпись действительна тогда и только тогда, когда $g^{H(m)}\equiv y^{r}r^{s}{\pmod {p}}.$

Корректность

Алгоритм корректен в том смысле, что подпись, созданная с помощью алгоритма подписи, всегда будет принята проверяющим лицом.

Вычисление во время генерации подписи подразумевает $s$

H(m)\,\equiv \,xr+sk{\pmod {p-1}}.

Поскольку относительно просто , $г$ ${\ displaystyle p}$

{\begin{aligned}g^{H(m)} &\equiv g^{xr+sk}{\pmod {p}} \\&\equiv (g^{x})^{r} (g^{k})^{s}{\pmod {p}}\\&\equiv (y)^{r}(r)^{s}{\pmod {p}}.\\\end{ выровнено}}

Безопасность

Третья сторона может подделать подписи, найдя секретный ключ x подписывающего лица или обнаружив коллизии в хэш-функции . Обе проблемы считаются трудными. Однако по состоянию на 2011 год не было известно о жестком снижении допущения о вычислительной сложности . $H(m)\equiv H(M){\pmod {p-1}}$

Подписавший должен быть осторожен и равномерно случайным образом выбирать разные k для каждой подписи и быть уверенным, что k или даже частичная информация о k не будет утеряна. В противном случае злоумышленник сможет получить секретный ключ x с меньшими трудностями, возможно, достаточными для практической атаки. В частности, если два сообщения отправляются с использованием одного и того же значения k и одного и того же ключа, злоумышленник может вычислить x напрямую. ^[1]

Экзистенциальная подделка

В оригинальной статье ^[1]хеш-функция не использовалась в качестве системного параметра. Сообщение m использовалось непосредственно в алгоритме вместо H(m) . Это делает возможным атаку, называемую экзистенциальной подделкой , как описано в разделе IV статьи. Пойнтчеваль и Стерн обобщили этот случай и описали два уровня подделок: ^[3]

Однопараметрическая подделка. Выберите такой, чтобы . Установите и . Тогда кортеж является допустимой подписью сообщения . $е$ $1<e<p-1$ $r:=g^{e}y{\bmod {p}}$ $s:=-r {\bmod {(p-1)}}$ ${\ displaystyle (r, s)}$ $m=es{\bmod {(p-1)}}$
Двухпараметрическая подделка. Выберите , и . Установите и . Тогда кортеж является допустимой подписью сообщения . Однопараметрическая подделка является частным случаем двухпараметрической подделки, когда . $1<e,v<p-1$ $\gcd(v,p-1)=1$ $r:=g^{e}y^{v}{\bmod {p}}$ $s:=-rv^{-1}{\bmod {(p-1)}}$ ${\ displaystyle (r, s)}$ $m=es{\bmod {(p-1)}}$ $v=1$