1. Генерується або вибирається особистий (довгостроковий) ключ підпису об’єкта , причому – випадкове ціле число з інтервалу .
2. Відкритий ключ перевірки цифрового підпису об’єкта обчислюється згідно з 4.6.6 (спосіб I або спосіб II).
Об’єкт також вибирає геш-функцію:
,
де
кількість бітів
і застосовує три геш-функції, де
–
випадкові бітові дані.
та
,
використовуючи необхідну кількість
бітів з виходу
.
Вище використано такі позначення:
–
бітів
з
найбільш значущого октету;
–
бітів
з найменш значущого октету.
Обчислення цифрового підпису
Вхідні дані повинні містити:
– доменні параметри EC;
– повідомлення
.
Вихідними даними процесу вироблення є дані , що обчислені як
.
Причому
результуюче d перебуває
в діапазоні
.
Вхідні дані процесу обчислення (генерації) цифрового підпису містять:
– доменні параметри EC;
– особистий ключ підпису ;
– дані ;
– повідомлення
(за наявності).
Виходом
процесу генерації підпису є пара
,
що є цифровим підписом
для даних.
Для підписання даних об’єкт виконує такі кроки.
Генерація ключа сеансу та попереднього підпису
1. Обрати (генерувати) випадкове ціле з інтервалу .
2.
Обчислити точку еліптичної кривої
та перетворити її на ціле
.
Обчислення за модулем порядку групи G
1.
Обчислити
.
2.
Обчислити
.
3.
Обчислити
4. Знищити .
Якщо
або
,
то процес генерації підпису має бути
повторено з новим випадковим значенням
.
Форматування підписаного повідомлення
Пара є підписом для даних .
Перевіряння підпису
Вхідні дані процесу перевіряння підпису:
– доменні параметри EC;
– відкритий ключ перевірки об’єкта ;
– підпис для , представлений двома цілими числами і ;
– геш-функції
,
,
;
– не
відновлюване повідомлення
(за наявності).
Для перевірки підпису об’єкта для даних об’єкт має виконати таке.
Перевірити,
що
,
та
;
якщо хоча б одна з умов не виконується,
то відхилити підпис.
Відновлення попереднього підпису та вхідних даних має здійснюватись способом виконання обчислень у групі точок еліптичної кривої з виконанням таких кроків.
1. Обчислити .
2.
Обчислити точку еліптичної кривої
(Q = Y, P = G).
3. Обчислити .
Відновлення вхідних даних або повідомлення
Обчислити
.
Зіставлення підпису
Перевіряння
рівняння:
.
Якщо рівняння виконується, то вивести
,
інакше відхилити підпис.
24.3 Цифровий підпис Пінтсова-Ванстона в групі точок еліптичних кривих (Elliptic Curve Pintsov-Vanstone (ecpv) message recovery signature)
Схема підпису Пінтсова-Ванстона із частковим відновленням повідомлення є варіантом схеми Шнора [46, 341,12] та підпису Ніберга-Рюпеля. Це дає можливість формувати дуже малі підписи для повідомлень із збитковістю. Для 80 бітів розмір підпису містить 20–30 байтів, залежно від кількості збитковості в повідомленні. (Для порівняння: підпис ECDSA із такими самими параметрами домену має мінімальний розмір не менше 40 байтів). У схемі використовується блоковий симетричний шифр. Можуть використовуватись різні стандарти БСШ, наприклад, AES, 3DES, а в цілому ISO/IEC 18033-3 тощо, а також інші, що задовольняють вимогам і допускаються до використання національним законодавством.
Необхідно також відзначити, що деякі схеми підпису з повним або частковим відновленням повідомлення мають обмеження на довжину. Наприклад, у схемі Nyberg-Rueppel це обмеження визначає такі недоліки:
• для дуже короткого повідомлення примусово визначена довжина підпису вимагає використовувати більше доповнення;
• для повідомлення, що є більшим, ніж означена довжина підпису, неможливо забезпечити повне покриття підписом тощо.
Схема Пінтсова-Ванстона може використовуватися без таких обмежень. При використанні схеми з еліптичними кривими може бути отриманий найкращий результат з точки зору меншого розміру підпису.
Цифровий підпис ECPV засновано на схемі підпису, яку визначено у [46]. Розглянемо її детально за етапами.
Доменні параметри і параметри користувача
Ключі для ECPV формуються таким чином: