密钥交换
密钥管理:每两个用户之间的密钥都不相同
抵赖行为:不承认发送过某条消息
希望可以找到一个密码体制,对于给定的加密ek ,除了消息接受者,求dk 在计算上不可行。其中ek 可公开,无需分享密钥。
假定n=pq(p、q为不同的大素数),b为正整数,定义f:Zn →Zn ,f(x)=xb mod nφ ( n ) \varphi(n) φ ( n ) ≡ \equiv ≡ -1 :Zn →Zn ,f-1 (x)=xa mod n
用于加密:公钥加密私钥解密,无需交换密钥
欧拉定理:( a , n ) = 1 , a φ ( n ) ≡ 1 ( m o d n ) (a,n)=1,a^{\varphi(n)}\equiv 1\pmod n ( a , n ) = 1 , a φ ( n ) ≡ 1 ( m o d n ) a p ≡ a ( m o d p ) a^p\equiv a\pmod p a p ≡ a ( m o d p )
n=pq,K={(n,p,q,e,d): ed≡ \equiv ≡ e k ( x ) = x e ( m o d n ) , d k ( y ) = y d ( m o d n ) , ( x , y ∈ Z n ) e_k(x)=x^e\pmod n,d_k(y)=y^d\pmod n,(x,y\in Z_n) e k ( x ) = x e ( m o d n ) , d k ( y ) = y d ( m o d n ) , ( x , y ∈ Z n )
素性检测、公私钥对
要计算a b m o d n a^b\mod n a b m o d n
b = ∑ i = 0 l − 1 b i 2 i , b i ∈ { 0 , 1 } , b l − 1 = 1 b = b l − 1 2 l − 1 + b l − 2 2 l − 2 + . . . + b 1 ⋅ 2 + b 0 = 2 ( 2 ( . . . ( 2 ( b l − 1 ) + b l − 2 ) + . . . ) + b 1 ) + b 0 a b = a ∑ i = 0 l − 1 b i 2 i = ( ( ( . . . ( 1 × a b l − 1 ) 2 × a b l − 2 ) 2 × . . . ) 2 × a b 1 ) 2 × a b 0 b=\sum_{i=0}^{l-1}b_i2^i,b_i\in\{0,1\},b_{l-1}=1\\
b=b_{l-1}2^{l-1}+b_{l-2}2^{l-2}+...+b_1\cdot 2+b_0\\
=2(2(...(2(b_{l-1})+b_{l-2})+...)+b_1)+b_0\\
a^b=a^{\sum_{i=0}^{l-1}b_i2^i}=(((...(1\times a^{b_{l-1}})^2\times a^{b_{l-2}})^2\times ...)^2\times a^{b_1})^2\times a^{b_0} b = i = 0 ∑ l − 1 b i 2 i , b i ∈ { 0 , 1 } , b l − 1 = 1 b = b l − 1 2 l − 1 + b l − 2 2 l − 2 + . . . + b 1 ⋅ 2 + b 0 = 2 ( 2 ( . . . ( 2 ( b l − 1 ) + b l − 2 ) + . . . ) + b 1 ) + b 0 a b = a ∑ i = 0 l − 1 b i 2 i = ( ( ( . . . ( 1 × a b l − 1 ) 2 × a b l − 2 ) 2 × . . . ) 2 × a b 1 ) 2 × a b 0
(实际上就是模平方重复法的变体)2 ≡ \equiv ≡ 2 ≡ \equiv ≡
蒙哥马利变换 32 ,264 ,假设d=232 -1 mod 232 n >N,(R,N)=1,a,b∈ZN -1 mod N
A = Mont(a), B = Mont(b)-1 = aRbRR-1 = abR mod N = Mont(ab mod N)3 mod N)
MontMult(A,B) = ABR-1 mod N2n-1 t2n-2 …t1 t0 )0 ×IN) mod 232 )0 +(N×IN)t0 = 0 mod 232 32 mod N-32n = TR-1 mod Nn-1 ’tn-2 ’…t0 ’),如果T’>N,返回T’-N,否则返回T’=(tn-1 ’tn-2 ’…t0 ’)
快速模幂运算ae mod N
把解密时的一个式子拆成两个式子来算(模p和q)
π ( N ) ≈ N ln N \pi(N)\approx\frac{N}{\ln N}
π ( N ) ≈ ln N N
若n=pq,为1024比特,则p,q为512比特1 ln 2 512 ≈ 1 355 \frac{1}{\ln 2^{512}}\approx\frac{1}{355} l n 2 5 1 2 1 ≈ 3 5 5 1
费马素性检测 :若p为素数,(a,p)=1,则ap-1 = 1 mod p
伪素数 :设n为奇合数,如果整数b,(b,n)=1,使得bn-1 =1 mod n,则称n为对于基b的伪素数
Euler伪素数 :设n为正奇合数,整数b,(b,n)=1,满足b p − 1 2 ≡ ( b n ) m o d n b^{\frac{p-1}{2}}\equiv (\frac{b}{n})\mod n b 2 p − 1 ≡ ( n b ) m o d n
p-1=2s t,a p − 1 − 1 = ( a 2 s − 1 t + 1 ) ( a 2 s − 2 t + 1 ) . . . ( a t + 1 ) ( a t + 1 ) a^{p-1}-1=(a^{2^{s-1}t}+1)(a^{2^{s-2}t}+1)...(a^{t}+1)(a^{t}+1) a p − 1 − 1 = ( a 2 s − 1 t + 1 ) ( a 2 s − 2 t + 1 ) . . . ( a t + 1 ) ( a t + 1 ) a t ≡ − 1 m o d p , a 2 t ≡ − 1 m o d p , . . . , a 2 s − 1 t ≡ − 1 m o d p a^t\equiv -1\mod p, a^{2t}\equiv -1\mod p,...,a^{2^{s-1}t}\equiv -1\mod p a t ≡ − 1 m o d p , a 2 t ≡ − 1 m o d p , . . . , a 2 s − 1 t ≡ − 1 m o d p 强伪素数 :设n为奇合数,n-1=2s t,t为奇数,整数b与n互素,满足bt =1 mod n,或者存在r,0≤r<s,有b 2 r t ≡ − 1 m o d n b^{2^rt}\equiv -1\mod n b 2 r t ≡ − 1 m o d n
Solovay-Strassen算法 ( a n ) (\frac{a}{n}) ( n a ) x ≡ a n − 1 2 ( m o d n ) x\equiv a^{\frac{n-1}{2}}\pmod n x ≡ a 2 n − 1 ( m o d n )
Miller-Rabin算法 s t的形式,其中t为奇数b = a t m o d n b=a^t\mod n b = a t m o d n b ≡ 1 ( m o d n ) b\equiv 1\pmod n b ≡ 1 ( m o d n ) b ≡ − 1 ( m o d n ) b\equiv -1\pmod n b ≡ − 1 ( m o d n ) 2 mod n
若n为强伪素数,则输出可能为素数;若n为素数,则输出一定为素数,具有1/4的错误概率,优于Solovay-Strassen算法
AKS算法 a ∈ Z , n ∈ N , n ≥ 2 , ( a , n ) = 1 a\in Z,n\in N,n\ge 2,(a,n)=1 a ∈ Z , n ∈ N , n ≥ 2 , ( a , n ) = 1 ( x + a ) n = x n + a ( m o d n ) (x+a)^n=x^n+a\pmod n ( x + a ) n = x n + a ( m o d n ) ( x + a ) n = x n + a ( m o d x r − 1 , n ) (x+a)^n=x^n+a\pmod {x^r-1,n} ( x + a ) n = x n + a ( m o d x r − 1 , n )
若存在整数a>0且b>1,满足n=ab ,则输出合数
找出满足ord r ( n ) > log 2 n \operatorname {ord}_r(n)>\log_2n o r d r ( n ) > log 2 n
若对a≤r,1<gcd(a,n)<n,输出合数
若n≤r,输出素数
for a=1 to ⌊ φ ( r ) log n ⌋ \lfloor{\sqrt{\varphi(r)}\log n}\rfloor ⌊ φ ( r ) log n ⌋
if (x+a)n ≠xn +a (mod xr -1, n),输出合数
输出素数
给群组中每个人相同的公钥n,但指数e和d不同时可能产生共模攻击
对于群组内成员,即使不分解n也可以解密其他人消息e 1 d 1 ≡ 1 m o d φ ( n ) , e 2 d 2 ≡ 1 m o d φ ( n ) e_1d_1\equiv 1\mod \varphi(n),e_2d_2\equiv 1\mod \varphi(n) e 1 d 1 ≡ 1 m o d φ ( n ) , e 2 d 2 ≡ 1 m o d φ ( n ) e 2 d 2 ′ ≡ 1 m o d ( e 1 d 1 − 1 ) ⇒ e 2 d 2 ′ ≡ 1 m o d φ ( n ) e_2d_2'\equiv 1\mod(e_1d_1-1)\Rightarrow e_2d_2'\equiv 1\mod \varphi(n) e 2 d 2 ′ ≡ 1 m o d ( e 1 d 1 − 1 ) ⇒ e 2 d 2 ′ ≡ 1 m o d φ ( n ) e 1 , d 1 e_1,d_1 e 1 , d 1 d 2 ′ d_2' d 2 ′
群组外人员如果截获到发送给群组不同成员的同一消息,而两个加密指数互素,则可以直接恢复消息e 1 , e 2 e_1,e_2 e 1 , e 2 r e 1 + s e 2 = 1 re_1+se_2=1 r e 1 + s e 2 = 1 ( c 1 − 1 ) − r c 2 s = m r e 1 + s e 2 = m m o d n (c_1^{-1})^{-r}c_2^s=m^{re_1+se_2}=m\mod n ( c 1 − 1 ) − r c 2 s = m r e 1 + s e 2 = m m o d n
若选择的e较小(如3),则加密会很快Coppersmith定理攻击 :n为大整数,f为次数为e的多项式,可以在log n时间内有效计算出f(x)=0 mod n的小于n 1 e n^{\frac{1}{e}} n e 1 16 +1=65537
教科书式的RSA方案是不安全的,速度慢是其主要缺点(硬件实现比DES慢1000倍,软件慢100倍,选择特定的e值能够大大加快RSA的速度)
设n=pq,其中p,q为素数,均为4k+3型素数n ,且定义K={(n,p,q)}e k ( x ) = x 2 ( m o d n ) , d k ( y ) = y ( m o d n ) e_k(x)=x^2\pmod n, d_k(y)=\sqrt y\pmod n e k ( x ) = x 2 ( m o d n ) , d k ( y ) = y ( m o d n ) n ),其中n为公钥,p、q为私钥
这是一个单向陷门函数,陷门为n的分解。f(x)=x2 mod n
加密:C = E K p u b ( P ) C=E_{K_{pub}}(P) C = E K p u b ( P ) P = D K p r v ( C ) P=D_{K_{prv}}(C) P = D K p r v ( C ) K p u b K_{pub} K p u b K p r v K_{prv} K p r v
问题:如何让别人正确知道你的公钥?(如何保证你发出的公钥不被篡改/如何证明一个公钥是不是你的?)
对于乘法群( G , ⋅ ) (G,\cdot) ( G , ⋅ ) i =βind α ( β ) \operatorname {ind}_{\alpha}(\beta) i n d α ( β )
交换素数p和本原元gx mod p,Bob向Alice发送Y=gy mod p。x mod p,Bob计算k=Xy mod p,二者计算的值相等,实现密钥交换。
上述的密钥交换方案不安全。容易遭受中间人攻击。
假设p为一个大素数,使得p构成乘法群上的离散对数问题难解。令α∈Zp 是一个本原元,令P=Zp *,C=Zp ×Zp ,定义K={(p,α,a,β): β=αa mod p}p-1 ,定义ek (x,r)=(y1 , y2 )1 =αr mod p, y2 =xβr mod pk (y1 , y2 )=y2 (y1 a )-1 mod p注意三个公钥中只有β与私钥a直接相关。
设a,b∈R是满足4 a 3 + 27 b 2 ≠ 0 4a^3+27b^2\ne 0 4 a 3 + 2 7 b 2 = 0 y 2 = x 3 + a x + b y^2=x^3+ax+b y 2 = x 3 + a x + b O O O
从函数图像来看,椭圆曲线有两种,一种有一条线,一种有两条线
定义在代数闭域K ˉ \bar K K ˉ Y 2 Z + a 1 X Y Z + a 3 Y Z 2 = X 3 + a 2 X 2 Z + a 4 X Z 2 + a 6 Z 3 ( a 1 , a 2 , a 3 , a 4 , a 6 ∈ K ˉ ) Y^2Z+a_1XYZ+a_3YZ^2=X^3+a_2X^2Z+a_4XZ^2+a_6Z^3 (a_1,a_2,a_3,a_4,a_6\in\bar K) Y 2 Z + a 1 X Y Z + a 3 Y Z 2 = X 3 + a 2 X 2 Z + a 4 X Z 2 + a 6 Z 3 ( a 1 , a 2 , a 3 , a 4 , a 6 ∈ K ˉ ) 2 (K)是K3 /{(0, 0, 0)}上关系~的等价类集合,每个等价类记作(X:Y:Z)1 ,Y1 ,Z1 ) ~ (X2 ,Y2 ,Z2 )F ( X , Y , Z ) = Y 2 Z + a 1 X Y Z + a 3 Y Z 2 − X 3 − a 2 X 2 Z − a 4 X Z 2 − a 6 Z 3 = 0 F(X,Y,Z)=Y^2Z+a_1XYZ+a_3YZ^2-X^3-a_2X^2Z-a_4XZ^2-a_6Z^3=0 F ( X , Y , Z ) = Y 2 Z + a 1 X Y Z + a 3 Y Z 2 − X 3 − a 2 X 2 Z − a 4 X Z 2 − a 6 Z 3 = 0 ∂ F ∂ X , ∂ F ∂ Y , ∂ F ∂ Z \frac{\partial F}{\partial X},\frac{\partial F}{\partial Y},\frac{\partial F}{\partial Z} ∂ X ∂ F , ∂ Y ∂ F , ∂ Z ∂ F
椭圆曲线E:非奇异Weierstrass方程的所有P2 (K ˉ \bar K K ˉ 2 +a1 xy+a3 y=x3 +a2 x2 +a4 x+a6
(E,+)是一个以无穷远点0为单位元的阿贝尔群,加法规则为:P + 0 = 0 + P = P − 0 = 0 P = ( x 1 , y 1 ) ≠ 0 , − P = ( x 1 , − y 1 − a 1 x 1 − a 3 ) Q = − P , P + Q = 0 P , Q ≠ 0 , Q ≠ − P , P + Q = − R P+0=0+P=P\\
-0=0\\
P=(x_1,y_1)\ne 0, -P=(x_1,-y_1-a_1x_1-a_3)\\
Q=-P,P+Q=0
P,Q\ne 0,Q\ne -P,P+Q=-R P + 0 = 0 + P = P − 0 = 0 P = ( x 1 , y 1 ) = 0 , − P = ( x 1 , − y 1 − a 1 x 1 − a 3 ) Q = − P , P + Q = 0 P , Q = 0 , Q = − P , P + Q = − R d y d x \frac{dy}{dx} d x d y
阶:有限域Fq 上的椭圆曲线E(Fq )由点组成,其上点的数量即为#E(Fq )。称为椭圆曲线的阶。
倍点运算:P+P
椭圆曲线离散对数问题:已知曲线E(Fq ),阶为n的点G∈E(Fq ),P∈<G>,椭圆曲线离散对数问题是指确定整数k∈[0,…,n-1]使得P=KG成立。
安全参数的选取:q q 的特征为p
F p ( p > 3 ) : y 2 = x 3 + a x + b , a , b ∈ F p , ( 4 a 3 + 27 b 2 ) m o d p ≠ 0 F_p(p>3): y^2=x^3+ax+b,a,b\in F_p,(4a^3+27b^2)\mod p\ne 0 F p ( p > 3 ) : y 2 = x 3 + a x + b , a , b ∈ F p , ( 4 a 3 + 2 7 b 2 ) m o d p = 0 F 2 m ( p = 2 ) : y 2 + x y = x 3 + a x + b , a , b ∈ F 2 m , b ≠ 0 F_{2^m}(p=2): y^2+xy=x^3+ax+b,a,b\in F_{2^m}, b\ne 0 F 2 m ( p = 2 ) : y 2 + x y = x 3 + a x + b , a , b ∈ F 2 m , b = 0
存在弱椭圆曲线:超奇异曲线(p ∣ q + 1 − # E ( F q ) p|q+1-\#E(F_q) p ∣ q + 1 − # E ( F q ) # E ( F q ) = p \#E(F_q)=p # E ( F q ) = p
可以基于ECC构建DH密钥交换协议 :首先选择公开参数( q , F q , E , G , n ) (q,F_q,E,G,n) ( q , F q , E , G , n ) P a = a G P_a=aG P a = a G P b = b G P_b=bG P b = b G S = a b G S=abG S = a b G
也可以基于ECC构建ElGamal密码体制 :首先选择公开参数( q , F q , E , G , n ) , A : ( d A , P A ) , P A = d A G (q,F_q,E,G,n), A:(d_A,P_A),P_A=d_AG ( q , F q , E , G , n ) , A : ( d A , P A ) , P A = d A G r ∈ Z n r\in Z_n r ∈ Z n C 1 = r G , Q = r P A ( Q x ≠ 0 ) ; C 2 = m Q x C_1=rG, Q=rP_A(Q_x\ne 0);C_2=mQ_x C 1 = r G , Q = r P A ( Q x = 0 ) ; C 2 = m Q x ( C 1 , C 2 ) (C_1,C_2) ( C 1 , C 2 ) d A C 1 = d A r G = r P A = Q , m = C 2 Q x − 1 d_AC_1=d_ArG=rP_A=Q,m=C_2Q_x^{-1} d A C 1 = d A r G = r P A = Q , m = C 2 Q x − 1
签名方案:一个签名方案由一个五元组构成(P,A,K,S,V),其中k ∈S和一个相应的公开的验证函数verk ∈V,sigk :P→A,verk :P×A→{true, false},满足:k (x)时,verk (x,y)=true,否则为false
设n=pq,p,q为素数,P=A=Zn ,定义K={(n,p,q,e,d): ed ≡ \equiv ≡ k (x)=xd mod n和verk (x,y)=true ↔ x=ye mod nn ),(n,e)为公钥,(n,d)为私钥
存在性伪造问题 :任何人都可以伪造他人的签名y,对应消息为x=ek (y)=ye ,一般这个消息是无意义的,但要防止攻击者计算大量的ek (y),找出有意义的值从而伪造签名。
选择密文攻击 :c = m e m o d n c=m^e mod n c = m e m o d n x = r e m o d n , y = x c m o d n x=r^e\mod n,y=xc\mod n x = r e m o d n , y = x c m o d n y d m o d n = ( x c ) d m o d n = r c d m o d n y^d\mod n=(xc)^d\mod n=rc^d\mod n y d m o d n = ( x c ) d m o d n = r c d m o d n r − 1 y d m o d n = r − 1 r c d m o d n = m r^{-1}y^d\mod n=r^{-1}rc^d\mod n=m r − 1 y d m o d n = r − 1 r c d m o d n = m
若E想得到A关于消息m的签名,m = m 1 m 2 m o d n m=m_1m_2\mod n m = m 1 m 2 m o d n 1 和m2 的签名构造m的签名。m d m o d n = ( m 1 m 2 ) d m o d n = ( m 1 d m o d n ) ( m 2 d m o d n ) m o d n m^d\mod n=(m_1m_2)^d\mod n=(m_1^d\mod n)(m_2^d\mod n)\mod n m d m o d n = ( m 1 m 2 ) d m o d n = ( m 1 d m o d n ) ( m 2 d m o d n ) m o d n
因此不要对陌生消息签名,签名之前先对消息求摘要、身份认证。
签名和公钥加密结合的方案:
第一种方案:先签名后加密——y = s i g A l i c e ( x ) , z = e B o b ( x , y ) y=sig_{Alice}(x),z=e_{Bob}(x,y) y = s i g A l i c e ( x ) , z = e B o b ( x , y )
第二种方案:先加密后签名——z = e B o b ( x ) , y = s i g A l i c e ( z ) z=e_{Bob}(x),y=sig_{Alice}(z) z = e B o b ( x ) , y = s i g A l i c e ( z )
第二种方案可能存在伪造签名混淆发送者的问题,因此采用第一种方案更好。
ElGamal签名方案 :( Z p ∗ , ⋅ ) (Z_p^*, \cdot) ( Z p ∗ , ⋅ ) α ∈ Z p ∗ \alpha\in Z_p^* α ∈ Z p ∗ P = Z p ∗ , A = Z p ∗ × Z p − 1 P=Z_p^*,A=Z_p^*\times Z_{p-1} P = Z p ∗ , A = Z p ∗ × Z p − 1 K = { ( p , α , a , β ) : β = α a m o d p } K=\{(p,\alpha,a,\beta):\beta=\alpha^a\mod p\} K = { ( p , α , a , β ) : β = α a m o d p } p , α , β p,\alpha,\beta p , α , β a a a k = ( p , α , a , β ) k=(p,\alpha,a,\beta) k = ( p , α , a , β ) r ∈ Z p − 1 ∗ r\in Z_{p-1}^* r ∈ Z p − 1 ∗ s i g k ( x , r ) = ( γ , δ ) sig_k(x,r)=(\gamma,\delta) s i g k ( x , r ) = ( γ , δ ) γ = α r m o d p , δ = ( x − a γ ) r − 1 m o d p − 1 \gamma=\alpha^r\mod p,\delta=(x-a\gamma)r^{-1}\mod p-1 γ = α r m o d p , δ = ( x − a γ ) r − 1 m o d p − 1 x , γ ∈ Z p ∗ , δ ∈ Z p − 1 x,\gamma\in Z_p^*,\delta\in Z_{p-1} x , γ ∈ Z p ∗ , δ ∈ Z p − 1 v e r ( x , ( y , δ ) ) = t r u e ⇔ β γ γ δ ≡ α x m o d p ver(x,(y,\delta))=true\Leftrightarrow \beta^\gamma\gamma^\delta\equiv\alpha^x\mod p v e r ( x , ( y , δ ) ) = t r u e ⇔ β γ γ δ ≡ α x m o d p β γ γ δ ≡ α a γ + r ( x − a γ ) r − 1 m o d p − 1 ≡ α x m o d p \beta^\gamma\gamma^\delta\equiv\alpha^{a\gamma+r(x-a\gamma)r^{-1}\mod p-1}\equiv\alpha^x\mod p β γ γ δ ≡ α a γ + r ( x − a γ ) r − 1 m o d p − 1 ≡ α x m o d p
DSA算法,签名比验证快很多,不能加密和密钥分配,专用于数字签名,比RSA慢( Z p ∗ , ⋅ ) (Z_p^*, \cdot) ( Z p ∗ , ⋅ ) α ∈ Z p ∗ \alpha\in Z_p^* α ∈ Z p ∗ < α > <\alpha> < α >
γ = α k m o d p , δ = ( x + a γ ) k − 1 m o d p − 1 ( k ∈ Z p − 1 ∗ ) ∵ k δ ≡ x + a γ m o d p − 1 , ∴ α k δ ≡ α x + a γ m o d p ⇒ α x β γ ≡ γ δ m o d p , δ = ( x + a γ ) k − 1 m o d q γ ′ = γ m o d q = ( α k m o d p ) m o d q , δ = ( x + a γ ′ ) k − 1 m o d q α x β γ ′ ≡ γ δ m o d p γ = ( α x β γ ′ ) δ − 1 m o d q m o d p ⇒ γ = ( α x δ − 1 m o d q β γ ′ δ − 1 m o d q m o d p ) m o d q = γ ′ \gamma=\alpha^k\mod p,\delta=(x+a\gamma)k^{-1}\mod p-1(k\in Z_{p-1}^*)\\
\because k\delta\equiv x+a\gamma\mod p-1,\therefore\alpha^{k\delta}\equiv\alpha^{x+a\gamma}\mod p\\
\Rightarrow\alpha^x\beta^\gamma\equiv\gamma^\delta\mod p,\delta=(x+a\gamma)k^{-1}\mod q\\
\gamma'=\gamma\mod q=(\alpha^k\mod p)\mod q,\delta=(x+a\gamma')k^{-1}\mod q\\
\alpha^x\beta^{\gamma'}\equiv\gamma^\delta\mod p\\
\gamma=(\alpha^x\beta^{\gamma'})^{\delta^{-1}\mod q}\mod p\Rightarrow \gamma=
(\alpha^{x\delta^{-1}\mod q}\beta^{\gamma'\delta^{-1}\mod q}\mod p)\mod q=\gamma' γ = α k m o d p , δ = ( x + a γ ) k − 1 m o d p − 1 ( k ∈ Z p − 1 ∗ ) ∵ k δ ≡ x + a γ m o d p − 1 , ∴ α k δ ≡ α x + a γ m o d p ⇒ α x β γ ≡ γ δ m o d p , δ = ( x + a γ ) k − 1 m o d q γ ′ = γ m o d q = ( α k m o d p ) m o d q , δ = ( x + a γ ′ ) k − 1 m o d q α x β γ ′ ≡ γ δ m o d p γ = ( α x β γ ′ ) δ − 1 m o d q m o d p ⇒ γ = ( α x δ − 1 m o d q β γ ′ δ − 1 m o d q m o d p ) m o d q = γ ′
验证γ = ( α x δ − 1 m o d q β γ ′ δ − 1 m o d q m o d p ) m o d q = γ ′ \gamma=
(\alpha^{x\delta^{-1}\mod q}\beta^{\gamma'\delta^{-1}\mod q}\mod p)\mod q=\gamma' γ = ( α x δ − 1 m o d q β γ ′ δ − 1 m o d q m o d p ) m o d q = γ ′
s i g K ( x , k ) = ( γ , δ ) , γ = ( α k m o d p ) m o d q , δ = ( SHA-1 ( x ) + a γ ) k − 1 m o d q e 1 = SHA-1 ( x ) δ − 1 m o d q , e 2 = γ δ − 1 m o d q v e r K ( x , ( γ , δ ) ) = t r u e ⇔ ( α e 1 β e 2 m o d p ) m o d q = γ sig_K(x,k)=(\gamma, \delta), \gamma=(\alpha^k\mod p)\mod q,\delta=(\operatorname {SHA-1}(x)+a\gamma)k^{-1}\mod q\\
e_1=\operatorname {SHA-1}(x)\delta^{-1}\mod q,e_2=\gamma\delta^{-1}\mod q\\
ver_K(x,(\gamma,\delta))=true\Leftrightarrow(\alpha^{e_1}\beta^{e_2}\mod p)\mod q=\gamma s i g K ( x , k ) = ( γ , δ ) , γ = ( α k m o d p ) m o d q , δ = ( S H A - 1 ( x ) + a γ ) k − 1 m o d q e 1 = S H A - 1 ( x ) δ − 1 m o d q , e 2 = γ δ − 1 m o d q v e r K ( x , ( γ , δ ) ) = t r u e ⇔ ( α e 1 β e 2 m o d p ) m o d q = γ
p是一个大素数,E定义在Fp 上的椭圆曲线。设A是E上阶为q(素数)的一个点,使得在<A>上的离散对数问题是难处理的。设P={0,1}*,A=Zq *×Zq *,定义K={(p,q,E,A,m,B): B=mA}
s i g K ( x , k ) = ( r , s ) sig_K(x,k)=(r,s)
s i g K ( x , k ) = ( r , s )
其中
一种以用户为中心的可提供机密性和鉴别的安全协议。Z ( S i g ( H ( M ) , k R a ) ∣ ∣ M ) Z(Sig(H(M),kR_a)||M) Z ( S i g ( H ( M ) , k R a ) ∣ ∣ M )
