М. И. Анохин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко "КРИПТОГРАФИЯ В БАНКОВСКОМ ДЕЛЕ"

Геовикипедия
wiki.web.ru

Поиск

Главная страница

Конференции: Календарь / Материалы

Каталог ссылок

Словарь

Форумы

В помощь студенту

Последние поступления

Геология | Курсы лекций

Обсудить в форуме

Добавить новое сообщение

Вперед: 4.2.4 Схема стандарта электронной подписи ANSI США (DSA) Вверх: 4.2 Примеры схем электронной подписи Назад: 4.2.2 Схема Шнорра [Sch] Содержание Предметный указатель

4.2.3 Схема Брикелла -- МакКарли [BM91]

Эта схема была разработана в Национальной лаборатории США Sandia. Пусть -- параметр безопасности ( $k\backsimeq140$ ), а и -- простые числа, такие что $p\geqslant 2^{512}$ , $q\geqslant2^k$ , $q\mid p-1$ , но $q^2\nmid p-1$ . Пусть также -- элемент порядка группы $\mathbb{Z}_p*$ , а $h\colon\mathbb{Z}_p\times\mathbb{Z}\to\left\{0,\ldots,2^t-1\right\}$ -- криптографически стойкая односторонняя хэш-функция. Параметры , , , и хэш-функция могут быть выбраны центром обеспечения безопасности. В отличие от схемы Шнорра общедоступными являются только , и , а должно быть секретным. Подписывающий выбирает секретный ключ $x\in_{\mbox{\tiny\rm R}}\mathbb{Z}_q$ и вычисляет открытый ключ $y=g^{-x}\bmod p$ . Пространством сообщений в данной схеме является $\mathbb{Z}$ . Для генерации подписи для сообщения нужно выбрать $u\in_{\mbox{\tiny\rm R}}\{1,\ldots,p-1\}$ и вычислить $r=g^u\bmod p$ , и $s=(u+xe)\bmod(p-1)$ . Искомой подписью является пара . Параметр должен быть секретным и может быть уничтожен после генерации подписи. Проверка подписи для сообщения сводится к проверке равенства $h\left(\left(g^sy^e\right)\bmod p,m\right)=e$ .

Вера в стойкость схемы Брикелла -- МакКарли основана на (гипотетической) сложности задачи дискретного логарифмирования по основанию . По-видимому, незнание противником порядка усложнит для него дискретное логарифмирование по основанию и повысит стойкость схемы.

Михаил Анохин

Проект осуществляется при поддержке:
Геологического факультета МГУ,
РФФИ