名与消息认证 p = 11, g = 2 , Bob 选x = 8 为私钥 y = 2 8 mod 11 = 3 公钥: y = 3, g = 2, p = 11 Bob 要对 M = 5 进行签名 选 k = 9 (gcd(9, 10) = 1) a = 29 mod 11 = 6 , b=3 读者可检查 yaab mod p = gM mod p是否成立。 上述方案的安全性是基于如下离散对数困难性问题的:已知大素数 p、 GF( p)的生成元 g和非零元素 y? GF( p),求解唯一的整数 k, 0≤k≤p– 2,使得 y? gk (mod p),k称为 y对g的离散对数。第10章数字签名与消息认证 目前对离散对数最有效的攻击方法是指数演算攻击,其计算量为 在 1996 年的欧洲密码学会( Proceedings of EUROCRYPT 96) 上, David Pointcheval 和 Jacques Stern 给出一个 ElGamal 签名的变体,并基于所谓分叉技术证明了在随机预言模型下所给方案是安全的(在自适应选择消息攻击下能抗击存在性伪造)。) (e ln ln ln ))1(2/1(ppoO ?第10章数字签名与消息认证 2. Schnorr 签名方案 Schnorr 签名方案是一个短签名方案,它是 ElGamal 签名方案的变形,其安全性是基于离散对数困难性和 hash 函数的单向性的。 假设 p和q是大素数,是 q能被 p -1整除, q是大于等于 160 bit 的整数, p是大于等于 512 bit 的整数,保证 GF( p)中求解离散对数困难; g是 GF( p)中元素,且 gq?1 mod p; Alice 公钥为 y ?g x (mod p),私钥为 x,1< x<q。
全文预览