2.1. Электронная подпись на основе криптосистемы rsa
Пусть некоторая
сеть включает в себя
абонентов. Абонент
планирует подписывать документы. Вначале
абонент должен сформировать параметры
криптосистемы RSA
(см. пункт 1.3). Для этого абонент выбирает
два больших простых числа
,
и вычисляет
,
.
Затем абонент выбирает число
,
взаимно простое с
,
а затем находит
.
Абонент публикует
в сети, ассоциировав со своим именем,
числа
,
а число
хранит в тайне. Числа
,
,
в вычислениях больше не используются.
На этом шаге формирование параметров
криптосистемы заканчивается. Абонент
готов подписывать документы.
На следующем шаге
абонент вычисляет хеш-функцию (или
просто - хеш) подписываемого документа
.
Далее абонент вычисляет число
,
которое представляет
собой ЭП. Число
добавляется к документу
и абонент получает подписанный документ
.
Каждый абонент сети, который знает параметры абонента , может проверить подлинность его подписи. Для этого необходимо из подписанного документа взять и вычислить хеш-образ . Затем вычислить число
,
и проверить
выполнение равенства
.
Утверждение 2.1.
Если ЭП подлинная, то
.
□ Из свойств RSA следует, что
.
■
Первое свойство
ЭП выполняется, т.к. никто кроме владельца
подписи не может разложить
на простые множители
и
.
Для злоумышленника это будет односторонняя
функция. По состоянию на 2010 год, при
порядка 1024 бит, эта задача для злоумышленника
практически неразрешима. Злоумышленник,
зная
и
,
не может определить
.
Действительно чтобы вычислить
требуется знать
,
а, следовательно,
и
.
Второе и третье свойства выполняются,
т.к. выполняется первое.
2.2. Электронная подпись на основе криптосистемы Эль Гамаля
Пусть, как и в
предыдущем случае, абонент
собирается подписывать документы. На
первом шаге формируются параметры
криптосистемы Эль Гамаля. Абонент
выбирает большое простое число
и число
,
такое, что различные степени
суть различные числа по модулю
.
Эти числа храниться в открытом виде и
могут быть общими для целой группы
абонентов. Затем абонент
выбирает случайное число
,
,
которое держится в секрете. Затем абонент
вычисляет число
,
которое является открытым. Теперь абонент готов подписывать документы.
На следующем шаге
абонент вычисляет хеш-фукцию исходного
документа
,
которая должна удовлетворять условию
.
На третьем шаге
абонент выбирает случайное число
,
,
взаимно простое с
и вычисляет числа
,
,
.
где
.
Числа
является ЭП. Таким образом, подписанное
сообщение имеет вид
.
Получатель подписанного документа заново вычисляет хеш-функцию . Затем проверяет подлинность подписи, используя равенство
.
Утверждение 2.2. Если ЭП верна, то условие выполняется.
□ Действительно,
.
■
Первое свойство ЭП выполняется, т.к. никто кроме законного владельца не знает . По этой же причине выполняются второе и третье свойства ЭП.
Основное отличие ЭП на базе криптосистемы Эль Гамаля от ЭП на базе криптосистемы RSA заключается в длине подписи. ЭП на базе криптосистемы RSA , практически в два раза короче, чем ЭП на базе криптосистемы Эль Гамаля , т.е. если длина ЭП RSA 1024 бит, то длина ЭП Эль Гамаля 2048бит.
Рассмотрим методы сокращения длины ЭП Эль Гамаля [10].
1. Схема ЭП Эль Гамаля с сокращенной длиной параметра .
Уравнение проверки
подлинности ЭП
может выполняться также в случае, когда
в качестве
берется число, относящееся к простому
показателю
,
где
.
Для этого параметр
должен быть вычислен из соотношения
.
Можно выбрать простой модуль таким образом, чтобы разложение содержало бы простой множитель , размер которого существенно меньше размера . Например, для модуля длиной 2048 бит длина может составлять 160 бит. Тогда будет иметь длину не более 160 бит.
2. Схема ЭП Эль
Гамаля с сокращенной длиной параметров
и
.
Соотношение для проверки подписи может быть преобразовано к виду
.
При этом, вместо
в степени при
можно использовать значение его хеш
.
В этом случае уравнение проверки подписи
имеет вид
.
Чтобы ЭП была корректной, законный владелец подписи должен вычислить параметр из следующего уравнения
.
Так как при проверке ЭП не требуется выполнять никаких вычислений с использованием параметра , то проверка ЭП может быть осуществлена в соответствии с уравнением
.
В рассматриваемом
случае нет необходимости предоставлять
проверяющему параметр
,
имеющий сравнительно большую длину.
Достаточно для проверки представить
значение
,
размер которого равен примерно 160 бит.
При применении метода сокращения длины
ЭП за счет параметра
получаем общую длину ЭП порядка 320 бит.
Таким образом, достигается существенное
снижение длины ЭП.
Сокращение длины ЭП не уменьшает ее стойкости, т.к. сложность задачи дискретного логарифмирования для злоумышленника не изменяется, поскольку все вычисления ведутся по модулю исходного размера.