Семинар № 8Криптосистемы на
эллиптических кривыхКолыбельников Александр
Содержание
• EC DSA
• EC Diffe-Hellman
• ГОСТ 34.10-2001
• ГОСТ 34.10-2012
ECDSAАлгоритм ЭЦП ECDSA (Elliptic Curve Digest Signature
Algorithm) принят в качестве стандартов ANSI X9F1 и IEEE P1363. В германии является государственным.
Алгоритм генерации:1) Выбираем эллиптическую кривую E, определённую на
Число точек в должно делиться на большое целое
2) Выбираем точку порядка3) Выбираем случайное число4) Вычисляем 5) Секретным ключом объявляем ,
открытым –
.pZ( )pE Z
.n( )pP E Z.n
1, 1 .d n .Q dPd
( , , , ).E P n Q
ECDSA - подпись1) Выбираем случайное число2) Вычисляем
Если переходим к шагу 3, в противном случае возвращаемся к шагу 1.
3) Вычисляем 4) Вычисляем Если переходим к шагу 5, в противном
случае возвращаемся к шагу 1.5) Подписью под сообщением является пара
целых чисел
1, 1 .k n
1 1
1
( , );mod .
kP x yr x n
0,r
1 mod .k n
1( ( ) ) mod .s k h M dr n 0,s
M( , ).r s
ECDSA - проверка1) Если и – целые числа, принадлежащие к
интервалу переходим к шагу 2, в противном случае
считаем, что подпись некорректна.
1) Вычисляем и
2) Вычисляем
3) Вычисляем
4) Подпись верна в том и только том случае, когда
r s
[1, 1],n
1 modw s n ( ).h M
1
2
( ) mod ;mod .
u h M w nu rw n
1 2 0 0
0
( , );mod .
u P u Q x yv x n
.v r
Проверка1) В качестве хэш-функции на шаге 4
вычисления подписи в стандартах ANSI X9F1 и IEEE P1364 использовался SHA-1.
2) При результат вычисления не зависит от секретного ключа .
3) При необходимого для проверки подписи числа не существует.
( )h x
0r s
d
0s 1 mods n
EC Diffe-Hellman
• Выбираем эллиптическую кривую и случайную точку G на ней
• Алиса: Находим точку Ga=aG
• Боб: Точку Gb=bG
• Боб: Секретную точку K=bGa
• Алиса и Боб: aGb=a(bG)=(ab)G
• =b(aG)=bGa
ГОСТ Р 34.10-2001 • Размер подписи – 512 бит;
•
•
• - порядок группы точек эллиптической кривой,
• - порядок подгруппы и
• - ГОСТ Р 34.11-94.
• , где
2552p 3
3 2
4( ) 1728 (mod )
4 27
aJ E p
a b
3 24 27 0(mod )a b p
mm p
q m nq 254 2562 2q
( )h M
1(mod ) 1..tp q t B 31B( ) 0J E ( ) 1728J E
ГОСТ Р 34.10-2012• Выбираем модуль• Ограничения на кривую:
• Порядок группы точек m должен быть отличен от p
• Хеш-функция-• d –ключ шифрования из диапазона 0<d<q• Q – ключ расшифрования Q=dP
2552p
3
3 2
4( ) 1728 (mod )
4 27
aJ E p
a b
3 24 27 0(mod )a b p
( )h M
ГОСТ 34.10-2012 подпись
ГОСТ 34.10-2012 подпись
• E= z mod q,
• Генерация случайного k из 0<k<q
• Вычисление C=kP r=x mod q
• Нахождение s=(rd+ke) modq
• Подпись (r,s)
ГОСТ 34.10-2012 проверка
ГОСТ 34.10-2012 проверка
• E= z mod q,
• V = e-1mod q
• Вычисление z1=sv mod q, z2= -rv mod q
• Нахождение C=z1P +z2 Q , R=x mod q
• Проверка R=r
Спасибо за внимание!
Top Related