Цифровая подпись

Схема цифровой подписи Шнорра

Проблема схемы цифровой подписи Эль-Гамаля - в том, что p должно быть очень большим, чтобы сделать трудной проблему дискретного логарифма Zp*. Рекомендуется длина p по крайней мере 1024 битов. Можно сделать подпись размером 2048 бит. Чтобы уменьшить размер подписи, Шнорр предложил новую схему, основанную на схеме Эль-Гамаля , но с уменьшенным размером подписи. рис. 3.11 дает общую идею схемы цифровой подписи Шнорра.

увеличить изображение
Рис. 3.11. Общая идея схемы цифровой подписи Шнорра

В процессе подписания две функции создают две подписи; в процессе проверки выход одной функции сравнивается с первой подписью для проверки. рис. 3.11 показывает входы к каждой функции. Важно то, что схема использует два модуля: p и q. Функции 1 и 3 используют p ; функция 2 использует q. Детали входов и функций будут коротко обсуждены далее.

Генерация ключей

Перед подписанием сообщения Алиса должна генерировать ключи и объявить всем общедоступные ключи.

1. Алиса выбирает простое число p, которое обычно равно по длине 1024 битам.
2. Алиса выбирает другое простое число q, которое имеет тот же самый размер, что и дайджест, созданный функцией криптографического хэширования (в настоящее время 160 битов, но это может измениться в будущем). Простое число q должно делиться на (p - 1). Другими словами, (p - 1) = 0 mod q.
3. Алиса выбирает e₁, q -тый корень которого был бы равен 1 mod p. Чтобы сделать это, Алиса выбирает примитивный элемент в Zp, e₀ (см. "G. Список неприводимых и примитивных полиномов" ) и вычисляет e₁ = e₀^(p-1)/q mod p.
4. Алиса выбирает целое число, d, как свой секретный ключ.
5. Алиса вычисляет e₂ = e₁^d mod p.
6. Общедоступный ключ Алисы - (e_1, e₂, p, q), ее секретный ключ - (d).

Подписание и проверка

Рисунок 3.12 показывает схему цифровой подписи Шнорра.

увеличить изображение
Рис. 3.12. Схема цифровой подписи Шнорра

Подписание

1. Алиса выбирает случайное число r. Обратите внимание, что открытый и секретный ключи могут использоваться для подписи многих сообщений. Но Алиса должна изменять r каждый раз, когда она передает новое сообщение. Обратите внимание также на то, что r должен иметь значение между 1 и q.
2. Алиса вычисляет первую подпись S₁ = h(M | e₁^r mod p) . Сообщение присоединяется (конкатенируется) спереди к значению e₁^r mod p, затем применяется хэш-функция, чтобы создать дайджест. Обратите внимание, что хэш-функция непосредственно не применяется к сообщению, но вместо этого она получается из последовательного соединения М. и e₁^r mod p.
3. Алиса вычисляет вторую подпись S₂ = r + d x S₁ mod q. Обратите внимание, что эта часть - вычисление S₂ - делается в арифметике по модулю q.
4. Алиса передает М., S₁ и S₂.

Верификация (проверка) сообщения. Приемник, например Боб, получает М., S₁ и S₂.

1. Боб вычисляет V = h (М | e₁^S2 e₂^-S1 mod p).
2. Если S₂ конгруэнтно V по модулю p, сообщение принято; иначе оно отклоняется.

Пример 3.4

Вот тривиальный пример. Предположим, что мы выбираем q = 103 и p = 2267. Обратите внимание на то, что p = 22 x q + 1. Мы выбираем e₀ = 2, которое является элементом в Z₂₂₆₇*. Тогда (p - 1) / q = 22, так что мы имеем e₁ = 2²² mod 2267 = 354.

Мы выбираем d = 30, тогда e₂ = 354³⁰ mod 2267 = 1206. Секретный ключ Алисы -теперь - (d), ее общедоступный ключ - (e_1,e₂,p,q).

Алиса хочет передать сообщение М. Она выбирает r = 11 и вычисляет e^r = 354¹¹ = 630 mod 2267. Предположим, что сообщение - 1000, и конкатенация (последовательное соединение) означает 1000630. Также предположим, что хэширование этого значения дает дайджест h (1000630) = 200. Это означает S₁ = 200. Алиса вычисляет S₂ = r + d x S₁ mod q = 11 + 1026 200 mod 103 = 11 + 24 = 35. Алиса передает сообщение М =1000, S₁ = 200 и S₂ = 35. Проверку оставляем как упражнение.

Подделка по схеме подписи Шнорра

Похоже, что все атаки на схему Эль-Гамаля могут быть применены к схеме Шнорра. Однако схема Шнорра находится в лучшем положении, потому что S₁ = h (М. | e₁^r(mod p)). Это означает, что хэш-функция применяется к комбинации сообщение и e₁^r, в которой r является секретным.