> теперь понял, куда вы клоните ;) если исходить из
> предположения, что одна из сторон прямо нарушает требования
> алгоритма (а не просто использует недосказанность), то да.
> тем не менее:
Да, нарушает. Потому, что ГОСТ позволяет делать это безнаказанно ( в математическом плане).
> 1. (могу ошибаться). печенкой чую, что r'=1 получится
> только при k=0 или k>q и кратном ему (что прямо
> запрещено алгоритмом) .
"Печёнкою чую" - это конечно веское доказательство. Но в математике, увы неприменимое.
По-моему только что ясно доказали, что k может существовать
повторяю из a^k %p %q следует (как уже написал Комлин), что может существовать k, такое 1...k...q-1 если оно
удовлетворяет a^k %p = jq+1. Учитывая, что p>>q, (p/q~ 2^764) проверить это в конкретном случае практически невозможно.
Кроме того, скорее всего оно найдётся.
Вот если бы второй операции остатка от деления не было (как в случае с y = a^x %p ) тогда да.
> 2. всю махинацию может замутить только настоящий владелец
> ключа. т.е. он либо действительно скомпрометировал ключ
> (неправильно хранил дискету), либо специально сделал
> подпись с недопустимым k.
> 3. доказать, что выданная пользователю программане_могла
> выбрать такое k элементарно, это часть процедуры разбора
> конфликта (проверка ПО на соответствие эталону).
Это имело бы смысл, если k могло быть только равным нулю. В обратном случае ( в нашем) процедура разбора бесполезна.
> > > 1. какой смысл расматривать k=0, если из
> стандарта
> > ЯВНО
> > > следует, что это невозможно (0 < k < q).
> > > соответственно, последующие рассуждения - в сад.
> > 1) Знаешь, то что в ГОСТе написано, что это невозможно
> это
> > совсем ничего не значит. Бумага всё стерпит. Чем
> > математически это обоснованно? Ничем. Даже проверки
> r=1 для
> > входных значений нет! Пойми, мошеннику ГОСТ не указ.
> > Главное, что выходные значения получаются
> достоверными.
> но тогда это сразу укажет, что подпись сделана не
> программой, а специальным средством клиента с целью
> мошенничества.
В том-то и дело, что эти значения МОГУТ быть выданны программой. Честное слово устала повторять очевидное.
> > 2) В сущности эта подстановка используется автором
> только,
> > чтобы найти универсальный ключ. Его пригодность
> > доказывается независимым выводом. И самое главное,
> > доказать, что такой набор значений не может быть
> получен
> > случайно невозможен (т.к. x'/=x, а r' являясь
> результатом
> > двойного деления на остаток ( a**k %p %q ) может быть
> > равно единице и при легальных k ( если a**k %p =
> q+1 (
> > или 2q+1 и т.д.) ).
> в несимметричной криптографии вообще многое доказать
> невозможно, она вся базируется на задачах, полиномиальных
> алгоритмов решения для которых не найдено. давайте вообще
> ее запретим.
Она существует, не потому, что её положения нельзя доказать (это бессмылица), а ИМЕННО потому, что
их НЕЛЬЗЯ ОПРОВЕРГНУТЬ. Как и выкладки Комлина. Поэтому, пока его выкладки не опровергнуты, их нельзя отбрасывать.
> > > 2. k=1. такая гипотеза делается мнимым
> злоумышленником
> > Вероятно это так, но это пробема прошлой статьи. Мы
> говорим
> > о новой.
> я отвечал на то, что прочитал. конечно, если потом
> редактировать обсуждаемый материал, можно найти любые
> аргументы. я вот сейчас тоже поправлю свои вчерашние
> постинги и буду доволен ;)
Ваши ответы в данной ветке появились после опубликования нового метода. Это легко проверить и по тексту и по датам.
> >
> > Вот именно,просто предъявляем в качестве открытого
> y1=p-y,
> > и даже отправляем для него пару -другую нормальных
> > платёжек. ( как их вычислить даже не зная x1 описанно
> в
> > статье)
> ой, как меня это уже устало!
> чтобы сформировать подпись, которая дает корректный
> результат проверки с y или y1, надо знать x или x1.
> рассуждаем дальше. тот, кто принес y1 обладает знанием x
> или x1.
> левый человек (а наш хитрый клиент доказывает свою
> невиновность) не имеет возможности вычислить x или x1 по
> y1. значит, налицо попытка мошенничества клиента.
Теперь, когда Комлин написал статью может быть и можно. И то не строго.
> > Необязательно утверждать, что он их вычислил. Подпись
> > (x0,1) может быть создана самой программой, случайно.
> После
> обратное (неслучайность формирования) легко доказывается
> экспертизой программы.
> а мы вообще о чем, опять об r=1 или об y1=p-y?
Ещё раз спрашиваю, как именно. Только не отделывайтесь общими фразами, а напишите конкретные и строгие формулы.
>
> > ( В отличии от (x1,1) который НЕ МОЖЕТ быть
> сформирован
> > правильной программой, т.к. q простое).
> сначала говорим:
> (x0,1) может быть создана самой программой, случайно
> потом:
> (x1,1) который НЕ МОЖЕТ быть сформирован
>
> давайте определимся, может быть сформировано r=1 или нет?
R'=1 МОЖЕТ! S=X0 МОЖЕТ. А ВОТ S=X1 - НЕ МОЖЕТ (т.к. это означало бы, что есть kh==q) . Неужели такие вещи непонятны?
> > Хотя знаешь, если появляется универсальный ключ,
> которого
> > по ГОСТу не должно быть в принципе, не так уж трудно
> судье
> почему это "в принципе"?
> насколько я понимаю, решение уравнения y=a^x (mod p)
> относительно X может иметь более одного решения. только вот
> алгоритма этого решения пока не придумали ;) и ничего,
> юзаем во всю ;)
>
> > поверить, что есть и другая ошибка, позволяющая
> вычислить
> > унив. ключ из y1.
> > ( Собственно я то же не уверена, что это не будет
> вскоре
> > найдено более простым способом).
> ну-ну.
>
> > Тот факт, что по r нельзя определить k теперь уже
> работает
> > на мошенника.
> нет. при условии нормально написанной программы (выбор
> 0< k < q) и наличии ее эталона
>
> > Теперь понял?
> Наталья, вы думаете, я постесняюсь сказать "нет"? ;)
> таки нет, не понял ;)
Не поняли, или не захотели понять? Ведь Вы же должны понимать,что утверждения "печёнкой чую", даже в околонаучном споре
неприменимы. И зачем очевидная неправда по правке статьи.
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
