> теперь понял, куда вы клоните ;) если исходить из > предположения, что одна из сторон прямо нарушает требования > алгоритма (а не просто использует недосказанность), то да. > тем не менее: Да, нарушает. Потому, что ГОСТ позволяет делать это безнаказанно ( в математическом плане).
> 1. (могу ошибаться). печенкой чую, что r'=1 получится > только при k=0 или k>q и кратном ему (что прямо > запрещено алгоритмом) . "Печёнкою чую" - это конечно веское доказательство. Но в математике, увы неприменимое.
По-моему только что ясно доказали, что k может существовать
повторяю из a^k %p %q следует (как уже написал Комлин), что может существовать k, такое 1...k...q-1 если оно
удовлетворяет a^k %p = jq+1. Учитывая, что p>>q, (p/q~ 2^764) проверить это в конкретном случае практически невозможно.
Кроме того, скорее всего оно найдётся.
Вот если бы второй операции остатка от деления не было (как в случае с y = a^x %p ) тогда да.
> 2. всю махинацию может замутить только настоящий владелец > ключа. т.е. он либо действительно скомпрометировал ключ > (неправильно хранил дискету), либо специально сделал > подпись с недопустимым k. > 3. доказать, что выданная пользователю программане_могла > выбрать такое k элементарно, это часть процедуры разбора > конфликта (проверка ПО на соответствие эталону).
Это имело бы смысл, если k могло быть только равным нулю. В обратном случае ( в нашем) процедура разбора бесполезна.
> > > 1. какой смысл расматривать k=0, если из > стандарта > > ЯВНО > > > следует, что это невозможно (0 < k < q). > > > соответственно, последующие рассуждения - в сад. > > 1) Знаешь, то что в ГОСТе написано, что это невозможно > это > > совсем ничего не значит. Бумага всё стерпит. Чем > > математически это обоснованно? Ничем. Даже проверки > r=1 для > > входных значений нет! Пойми, мошеннику ГОСТ не указ. > > Главное, что выходные значения получаются > достоверными.
> но тогда это сразу укажет, что подпись сделана не > программой, а специальным средством клиента с целью > мошенничества. В том-то и дело, что эти значения МОГУТ быть выданны программой. Честное слово устала повторять очевидное.
> > 2) В сущности эта подстановка используется автором > только, > > чтобы найти универсальный ключ. Его пригодность > > доказывается независимым выводом. И самое главное, > > доказать, что такой набор значений не может быть > получен > > случайно невозможен (т.к. x'/=x, а r' являясь > результатом > > двойного деления на остаток ( a**k %p %q ) может быть > > равно единице и при легальных k ( если a**k %p = > q+1 ( > > или 2q+1 и т.д.) ). > в несимметричной криптографии вообще многое доказать > невозможно, она вся базируется на задачах, полиномиальных > алгоритмов решения для которых не найдено. давайте вообще > ее запретим.
Она существует, не потому, что её положения нельзя доказать (это бессмылица), а ИМЕННО потому, что
их НЕЛЬЗЯ ОПРОВЕРГНУТЬ. Как и выкладки Комлина. Поэтому, пока его выкладки не опровергнуты, их нельзя отбрасывать.
> > > 2. k=1. такая гипотеза делается мнимым > злоумышленником > > Вероятно это так, но это пробема прошлой статьи. Мы > говорим > > о новой. > я отвечал на то, что прочитал. конечно, если потом > редактировать обсуждаемый материал, можно найти любые > аргументы. я вот сейчас тоже поправлю свои вчерашние > постинги и буду доволен ;) Ваши ответы в данной ветке появились после опубликования нового метода. Это легко проверить и по тексту и по датам.
> > > > Вот именно,просто предъявляем в качестве открытого > y1=p-y, > > и даже отправляем для него пару -другую нормальных > > платёжек. ( как их вычислить даже не зная x1 описанно > в > > статье) > ой, как меня это уже устало! > чтобы сформировать подпись, которая дает корректный > результат проверки с y или y1, надо знать x или x1. > рассуждаем дальше. тот, кто принес y1 обладает знанием x > или x1. > левый человек (а наш хитрый клиент доказывает свою > невиновность) не имеет возможности вычислить x или x1 по > y1. значит, налицо попытка мошенничества клиента.
Теперь, когда Комлин написал статью может быть и можно. И то не строго.
> > Необязательно утверждать, что он их вычислил. Подпись > > (x0,1) может быть создана самой программой, случайно.
> После > обратное (неслучайность формирования) легко доказывается > экспертизой программы. > а мы вообще о чем, опять об r=1 или об y1=p-y? Ещё раз спрашиваю, как именно. Только не отделывайтесь общими фразами, а напишите конкретные и строгие формулы.
> > > ( В отличии от (x1,1) который НЕ МОЖЕТ быть > сформирован > > правильной программой, т.к. q простое). > сначала говорим: > (x0,1) может быть создана самой программой, случайно > потом: > (x1,1) который НЕ МОЖЕТ быть сформирован > > давайте определимся, может быть сформировано r=1 или нет?
R'=1 МОЖЕТ! S=X0 МОЖЕТ. А ВОТ S=X1 - НЕ МОЖЕТ (т.к. это означало бы, что есть kh==q) . Неужели такие вещи непонятны?
> > Хотя знаешь, если появляется универсальный ключ, > которого > > по ГОСТу не должно быть в принципе, не так уж трудно > судье > почему это "в принципе"? > насколько я понимаю, решение уравнения y=a^x (mod p) > относительно X может иметь более одного решения. только вот > алгоритма этого решения пока не придумали ;) и ничего, > юзаем во всю ;) > > > поверить, что есть и другая ошибка, позволяющая > вычислить > > унив. ключ из y1. > > ( Собственно я то же не уверена, что это не будет > вскоре > > найдено более простым способом). > ну-ну. > > > Тот факт, что по r нельзя определить k теперь уже > работает > > на мошенника. > нет. при условии нормально написанной программы (выбор > 0< k < q) и наличии ее эталона > > > Теперь понял? > Наталья, вы думаете, я постесняюсь сказать "нет"? ;) > таки нет, не понял ;)
Не поняли, или не захотели понять? Ведь Вы же должны понимать,что утверждения "печёнкой чую", даже в околонаучном споре
неприменимы. И зачем очевидная неправда по правке статьи.
|