> > собственно, даже за правильными выкладками проблемы не
> > видно.
> Всё видно! По крайней мере в статье № 2
> Есть универсальный ключ (x',1) , где x' /=x . Он может быть
> получен случайно самой программой (r' может быть равно 1 и
> при k/=0), а значит сопутствующий ему документ можно менять
> почти произвольно (главное, чтобы z2 оставалось чётным - те
> самые 50% H)
теперь понял, куда вы клоните ;) если исходить из предположения, что одна из сторон прямо нарушает требования алгоритма (а не просто использует недосказанность), то да. тем не менее:
1. (могу ошибаться). печенкой чую, что r'=1 получится только при k=0 или k>q и кратном ему (что прямо запрещено алгоритмом) .
2. всю махинацию может замутить только настоящий владелец ключа. т.е. он либо действительно скомпрометировал ключ (неправильно хранил дискету), либо специально сделал подпись с недопустимым k.
3. доказать, что выданная пользователю программане_моглавыбрать такое k элементарно, это часть процедуры разбора конфликта (проверка ПО на соответствие эталону).
соответственно, ясно видно, что это махинация и кто ее затеял. тут уже можно начинать читать ст. 165 УК РФ ;)
> > 1. какой смысл расматривать k=0, если из стандарта
> ЯВНО
> > следует, что это невозможно (0 < k < q).
> > соответственно, последующие рассуждения - в сад.
> 1) Знаешь, то что в ГОСТе написано, что это невозможно это
> совсем ничего не значит. Бумага всё стерпит. Чем
> математически это обоснованно? Ничем. Даже проверки r=1 для
> входных значений нет! Пойми, мошеннику ГОСТ не указ.
> Главное, что выходные значения получаются достоверными.
но тогда это сразу укажет, что подпись сделана не программой, а специальным средством клиента с целью мошенничества.
> 2) В сущности эта подстановка используется автором только,
> чтобы найти универсальный ключ. Его пригодность
т.е. практического смысла не имеет.
> доказывается независимым выводом. И самое главное,
> доказать, что такой набор значений не может быть получен
> случайно невозможен (т.к. x'/=x, а r' являясь результатом
> двойного деления на остаток ( a**k %p %q ) может быть
> равно единице и при легальных k ( если a**k %p = q+1 (
> или 2q+1 и т.д.) ).
в несимметричной криптографии вообще многое доказать невозможно, она вся базируется на задачах, полиномиальных алгоритмов решения для которых не найдено. давайте вообще ее запретим.
> > 2. k=1. такая гипотеза делается мнимым злоумышленником
> Вероятно это так, но это пробема прошлой статьи. Мы говорим
> о новой.
я отвечал на то, что прочитал. конечно, если потом редактировать обсуждаемый материал, можно найти любые аргументы. я вот сейчас тоже поправлю свои вчерашние постинги и буду доволен ;)
> > 3. y1=y-p вообще ни в какие ворота не лезет. для УЦ
> есть
> > документальное свидетельство принадлежности данного
> > открытого ключа абоненту (собственноручная подпись на
> > распечатке). он знать ничего не знает о секретном
> ключе Х.
>
> Вот именно,просто предъявляем в качестве открытого y1=p-y,
> и даже отправляем для него пару -другую нормальных
> платёжек. ( как их вычислить даже не зная x1 описанно в
> статье)
ой, как меня это уже устало!
чтобы сформировать подпись, которая дает корректный результат проверки с y или y1, надо знать x или x1.
рассуждаем дальше. тот, кто принес y1 обладает знанием x или x1.
левый человек (а наш хитрый клиент доказывает свою невиновность) не имеет возможности вычислить x или x1 по y1. значит, налицо попытка мошенничества клиента.
> Необязательно утверждать, что он их вычислил. Подпись
> (x0,1) может быть создана самой программой, случайно. После
обратное (неслучайность формирования) легко доказывается экспертизой программы.
а мы вообще о чем, опять об r=1 или об y1=p-y?
> ( В отличии от (x1,1) который НЕ МОЖЕТ быть сформирован
> правильной программой, т.к. q простое).
сначала говорим:
(x0,1) может быть создана самой программой, случайно
потом:
(x1,1) который НЕ МОЖЕТ быть сформирован
давайте определимся, может быть сформировано r=1 или нет?
> Хотя знаешь, если появляется универсальный ключ, которого
> по ГОСТу не должно быть в принципе, не так уж трудно судье
почему это "в принципе"?
насколько я понимаю, решение уравнения y=a^x (mod p) относительно X может иметь более одного решения. только вот алгоритма этого решения пока не придумали ;) и ничего, юзаем во всю ;)
> поверить, что есть и другая ошибка, позволяющая вычислить
> унив. ключ из y1.
> ( Собственно я то же не уверена, что это не будет вскоре
> найдено более простым способом).
ну-ну.
> Тот факт, что по r нельзя определить k теперь уже работает
> на мошенника.
нет. при условии нормально написанной программы (выбор 0< k < q) и наличии ее эталона
> Теперь понял?
Наталья, вы думаете, я постесняюсь сказать "нет"? ;)
таки нет, не понял ;)
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
