Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Re: Внимательнее смотри на формулу для r' :) 17.04.02 16:47 Число просмотров: 3028
Автор: Komlin Статус: Незарегистрированный пользователь Отредактировано 18.04.02 01:32 Количество правок: 3
|
> > Речь идёт об r=1. По у1 вопрос в принципе не решить > :). CV> r=1 (r со штрихом, точнее) только при k=0. а такое значение
CV> k принимать не может исходя из алгоритма, т.к. условие (0
CV > < k < q) ИСКЛЮЧАЕТ граничные значения. значит, это
CV> можно не рассматривать.
НЕТ!!! Вспомни формулу:
ГОСТ:
...
r= a^k (mod p)
r'= r (mod q)
...
т.е. r'=(a^k (mod p)) (mod q)
Это значит, что подойдёт любое k такое, что a^k (mod p) =iq+1. Любое из них может дать r'=1. С учётом, что разрядность q на 2^256 (или на 2^768) ниже p, число возможных i и соответственно k, дающих r'=1 достаточно велико.
Собственно поэтому в DSA (с которого ГОСТом были бездумно списаны
граничные) и указан диапазон начиная с 0...
AK>> Если не спросили у одного, где гарантия, что другого
AK> спросят?
CV>при сертификации не вопросы наводящие задают, а проверяют. ;)
IMHO, история с некачественной генерацией случайного ключа в iBank, очень хорошо показала что не проверяется (или плохо проверяется, что одно и то же).
> > Открытый > > ключ пользователь указывает сам. Любой. Теоретически, > > невозможно даже проверить есть ли у него x. > вот именно. значит, раз принес y, то отвечай за него. если > принес y от чужого x - сам виноват. если не от чужого - > значит сам подписал. Почему от другого! От своего (x1)! Это ни его проблемы что для этого открытого ключа существует универсальная подпись. То что написано в мной про x - это лишь простой способ найти её. Не исключено, что существует и другой... Раз уж "невозможная" универсальная подпись нашлась...
AVK> > Что в этом такого страшного? Если для каждого юзера
AVK> > хранится индивидуальный y, то какая проблема и a,p,q
AVK> > сохранить? 320 лишних байт жалко? Кстати в DESe ( очепятка -
AVK> > речь идёт о DSA) прямо
AVK> > рекомендуется иметь уникальные граничные.
CV> страшного - в потенциальной возможности выбрать их плохими
CV> (да еще умышленно).
CV> тоже
CV> а причем тут DES? мы о подписи или об устаревших алгоритмах
CV> симметричного шифрования?
Это просто опечатка, речь конечно идёт о DSA, нетрудно и догадаться...
Но ГОСТ не регламентирует, кто определяет значения, это тоже его недоработка. IMHO, самымй правильный вариант , p,q,a - выбирает разработчик, но обеспечивает их уникальность для каждого пользователя. Не так уж это и сложно. А общем-то здесь спор ни о чём. Моэно и так и эдак. Ошибка то не в этом.
|
|
|