> > собственно, даже за правильными выкладками проблемы не > > видно. > Всё видно! По крайней мере в статье № 2 > Есть универсальный ключ (x',1) , где x' /=x . Он может быть > получен случайно самой программой (r' может быть равно 1 и > при k/=0), а значит сопутствующий ему документ можно менять > почти произвольно (главное, чтобы z2 оставалось чётным - те > самые 50% H)
теперь понял, куда вы клоните ;) если исходить из предположения, что одна из сторон прямо нарушает требования алгоритма (а не просто использует недосказанность), то да. тем не менее:
1. (могу ошибаться). печенкой чую, что r'=1 получится только при k=0 или k>q и кратном ему (что прямо запрещено алгоритмом) .
2. всю махинацию может замутить только настоящий владелец ключа. т.е. он либо действительно скомпрометировал ключ (неправильно хранил дискету), либо специально сделал подпись с недопустимым k.
3. доказать, что выданная пользователю программане_моглавыбрать такое k элементарно, это часть процедуры разбора конфликта (проверка ПО на соответствие эталону).
соответственно, ясно видно, что это махинация и кто ее затеял. тут уже можно начинать читать ст. 165 УК РФ ;)
> > 1. какой смысл расматривать k=0, если из стандарта > ЯВНО > > следует, что это невозможно (0 < k < q). > > соответственно, последующие рассуждения - в сад. > 1) Знаешь, то что в ГОСТе написано, что это невозможно это > совсем ничего не значит. Бумага всё стерпит. Чем > математически это обоснованно? Ничем. Даже проверки r=1 для > входных значений нет! Пойми, мошеннику ГОСТ не указ. > Главное, что выходные значения получаются достоверными. но тогда это сразу укажет, что подпись сделана не программой, а специальным средством клиента с целью мошенничества.
> 2) В сущности эта подстановка используется автором только, > чтобы найти универсальный ключ. Его пригодность т.е. практического смысла не имеет.
> доказывается независимым выводом. И самое главное, > доказать, что такой набор значений не может быть получен > случайно невозможен (т.к. x'/=x, а r' являясь результатом > двойного деления на остаток ( a**k %p %q ) может быть > равно единице и при легальных k ( если a**k %p = q+1 ( > или 2q+1 и т.д.) ). в несимметричной криптографии вообще многое доказать невозможно, она вся базируется на задачах, полиномиальных алгоритмов решения для которых не найдено. давайте вообще ее запретим.
> > 2. k=1. такая гипотеза делается мнимым злоумышленником > Вероятно это так, но это пробема прошлой статьи. Мы говорим > о новой. я отвечал на то, что прочитал. конечно, если потом редактировать обсуждаемый материал, можно найти любые аргументы. я вот сейчас тоже поправлю свои вчерашние постинги и буду доволен ;)
> > 3. y1=y-p вообще ни в какие ворота не лезет. для УЦ > есть > > документальное свидетельство принадлежности данного > > открытого ключа абоненту (собственноручная подпись на > > распечатке). он знать ничего не знает о секретном > ключе Х. > > Вот именно,просто предъявляем в качестве открытого y1=p-y, > и даже отправляем для него пару -другую нормальных > платёжек. ( как их вычислить даже не зная x1 описанно в > статье) ой, как меня это уже устало!
чтобы сформировать подпись, которая дает корректный результат проверки с y или y1, надо знать x или x1.
рассуждаем дальше. тот, кто принес y1 обладает знанием x или x1.
левый человек (а наш хитрый клиент доказывает свою невиновность) не имеет возможности вычислить x или x1 по y1. значит, налицо попытка мошенничества клиента.
> Необязательно утверждать, что он их вычислил. Подпись > (x0,1) может быть создана самой программой, случайно. После обратное (неслучайность формирования) легко доказывается экспертизой программы.
а мы вообще о чем, опять об r=1 или об y1=p-y?
> ( В отличии от (x1,1) который НЕ МОЖЕТ быть сформирован > правильной программой, т.к. q простое). сначала говорим:
(x0,1) может быть создана самой программой, случайно
потом:
(x1,1) который НЕ МОЖЕТ быть сформирован
давайте определимся, может быть сформировано r=1 или нет?
> Хотя знаешь, если появляется универсальный ключ, которого > по ГОСТу не должно быть в принципе, не так уж трудно судье почему это "в принципе"?
насколько я понимаю, решение уравнения y=a^x (mod p) относительно X может иметь более одного решения. только вот алгоритма этого решения пока не придумали ;) и ничего, юзаем во всю ;)
> поверить, что есть и другая ошибка, позволяющая вычислить > унив. ключ из y1. > ( Собственно я то же не уверена, что это не будет вскоре > найдено более простым способом). ну-ну.
> Тот факт, что по r нельзя определить k теперь уже работает > на мошенника. нет. при условии нормально написанной программы (выбор 0< k < q) и наличии ее эталона
> Теперь понял? Наталья, вы думаете, я постесняюсь сказать "нет"? ;)
таки нет, не понял ;)
|