Улучшения

В протокол можно встроить идентификационные данные. Пусть I - это двоичная строка, представляющая идентификатор Пегги: имя, адрес, номер социального страхования, размер головного убора, любимый сорт прохладительного напитка и другая личная информация. Используем однонаправленную хэш-функцию H(x) для вычисления H(I,j), где j - небольшое число, добавленное к I. Найдем набор j, для которых H(I,j) - это квадратичный остаток по модулю n. Эти значения H(I,j) становятся v₁, v₂, . . . v_k (j не обязаны быть квадратичными остатками). Теперь открытым ключом Пегги служит I и перечень j. Пегги посылает I и перечень j Виктору перед шагом (1) протокола (или Виктор загружает эти значения с какой-то открытой доски объявлений), И Виктор генерирует v₁, v₂, . . . v_k из H(I,j).

Теперь, после того, как Виктор успешно завершит протокол с Пегги, он будет убежден, что Трент, которому известно разложение модуля на множители, сертифицировал связь между I и Пегги, выдав ей квадратные корни из v_i, полученные из I. (См. раздел 5.2.) Фейге, Фиат и Шамир добавили следующие замечания [544, 545]:

Для неидеальных хэш-функций можно посоветовать рандомизировать I, добавляя к нему длинную случайную строку R. Эта строка выбирается арбитром и открывается Виктору вместе с I.

В типичных реализациях k должно быть от 1 до 18. Большие значения k могут уменьшить время и трудности связи, уменьшая количество этапов.

Длина n должна быть не меньше 512 битов. (Конечно, с тех пор разложение на множители заметно продвинулось.)

Если каждый пользователь выберет свое собственное n и опубликует его в файле открытых ключей, то можно обойтись и без арбитра. Однако такой RSA-подобный вариант делает схему заметно менее удобной.

Схема подписи Fiat-Shamir

Превращение этой схемы идентификации в схему подписи - это, по сути, вопрос превращения Виктора в хэш-функциию. Главным преимуществом схемы цифровой подписи Fiat-Shamir по сравнению с RSA является ее скорость: для Fiat-Shamir нужно всего лишь от 1 до 4 процентов модульных умножений, используемых в RSA. В этом протоколе снова вернемся к Алисе и Бобу.

Смысл переменных - такой же, как и в схеме идентификации. Выбирается n - произведение двух больших простых чисел. Генерируется открытый ключ, v₁, v₂, . . . v_k, и закрытый ключ, s₁, s₂, . . . s_k, где s_i  sqrt (v_i^-1) (mod n).

1. Алиса выбирает t случайных целых чисел в диапазоне от 1 до n - r₁, r₂, . . ., r_t - и вычисляет x₁, x₂, . . . x_t, такие что x_i = r_i² mod n.

2. Алиса хэширует объединение сообщения и строки x_i, создавая битовый поток: H(m, x₁, x₂, . . . x_t). Она использует первые k*t битов этой строки в качестве значений b_ij, где i пробегает от1 до t, а j от 1 до k.

3. Алиса вычисляет y₁, y₂, . . . y_t,, где y_i = r_i *( ) mod n

(Для каждого i она перемножает вместе значения s_i, в зависимости от случайных значений b_ij. Если b_ij=1, то s_i участвует в вычислениях, если b_ij=0, то нет.)

4. Алиса посылает Бобу m, все биты b_ij, и все значения y_i. У Боба уже есть открытый ключ Алисы: v₁, v₂, . . . v_k.

5. Боб вычисляет z₁, z₂, . . . z_t, где z_i = y²*( ) mod n

(И снова Боб выполняет умножение в зависимости от значений b_ij.) Также обратите внимание, что z_i должно быть равно x_i.

6. Боб проверяет, что первые k*t битов H(m, z₁, z₂, . . . z_t) - это значения b_ij, которые прислала ему Алиса.

Как и в схеме идентификации безопасность схемы подписи пропорциональна l/2^kt. Она также зависит от сложности разложения n на множители. Фиат и Шамир показали, что подделка подписи облегчается, если сложность разложения n на множители заметно меньше 2^kt. Кроме того, из-за вскрытия методом дня рождения (см. раздел 18.1), они рекомендуют повысить k*t от 20 по крайней мере до 72, предлагая k = 9 и t = 8.