Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Снова всё напутали!!! Или это специально? 19.04.02 12:29 Число просмотров: 2747
Автор: Экспертик Статус: Незарегистрированный пользователь Отредактировано 19.04.02 12:37 Количество правок: 1
|
Давайти ещё раз определимся с условиями:
Ключами у нас являются пара (x1,y1)
Универсальными подписями пары (x1,1) и (x0,1). У комлина в статье вместо x0 - x, но мне кажется это вносит путаницу, поэтому я пользуюсь x0.
Теперь обсуждение.
>> Поэтому пара X1,1 невозможна. (т.к.при S=X1 kH кратно q:)
> Почему это? Для владельца Х1 - вполне возможна (при k=0). И
А так же при k кратном q. Но речь шла не об этом.
Имелось в виду, что при секретном ключе=x1, значение (x1,1) не может быть выданно коректной программой т.к. из-за простоты q невозможно существование k в диапазоне [1,q-1] такого, что kh=q. Поэтому данный ключ применять для мошеничества бесполезно ибо можно сформировать только специально. Согласны?
> X0, тоже возможна, или Вы беретесь доказать, что не > существует k, таких, что: > S=(X0*r'+kH) mod q = X1 ? > Кажется, ниже Вы утверждали аналогичное... Здесь ошибка в формуле. S в нашем случае = (X1*r'+kH) mod q
Соответственно равенство X0= (X1+ kH) %q может существовать при k/=0 и только при них.
Поэтому владелец ключа (x1;y1) может подписать документ парой (X0,1)
Она также будет универсальной, но в отличии от первой МОЖЕТ быть выдана программой при легальном k. по крайней мере нальзя доказать обратного.
> > S=X0 ==> k=0, r'=1 правильно?
> > НЕТ!!! Наоборот, в случае k=0 S=X1. ...
> "Значение S совпадает с X только при ОДНОВРЕМЕННОМ > соблюдении условий равенства r' единице и k - нулю".
С X , в смысле секретной подписью, X1- ДА! А вот с числом X0/=X1, не являющеся в данном случае секретной подписью НЕТ (см. выше) . Что здесь непонятного???
Ведь формула для вычесления подписи при секретном ключе X1 выглядит так
( X1+kH) %q. Как же она может быть равна X0 при k=0???
> Т.е. разбираться зачем q должно делить (p-1) и a^q (mod p)=1
По моему уже объясняла, что это обеспечивает уникальность секретного ключа для открытого y=a^x %p.
Но в случае с r' и k неприменимо так как там используется ещё одна операция mod q!!! r= a^k %p %q
Если мне не верите попробуйте сами повторить доказательство уникальности пары ключей для случая r;a
P.S. Что-то мы много ненужных веток понаделали, давай перенесём все споры в эту.
Вот мои ответы из других ветвей.
> не пришли к консенсусу насчет ошибка это или нет, а Вы > хотите, чтобы ФАПСИ кинулось ГОСТ менять ;) Но пока не приведено ни одного веского контр-доказательства!
Для того чтобы доказать факт мошенничества надо показать, что нет такого k Е [1;q-1] , что a^k %p %q ==1 и/или x0==(kH+x1) %q
Но это доказательство упирается в те же проблемы (решение x^a %b =c), что и опровержение надёжности подписи,
Фактически в статье заявленно, что в рамках ГОСТа для ключей (x1,y1) может быть сформированна ( специально или случайно) универсальная подпись (x0,1) , такая, что документ подписанный её может почти произвольно меняться (главное , чтобы z2 оставалось чётным). А ГОСТ утверждает, что
" Внедрение системы ЭЦП на базе настоящего стандарта обеспечивает защиту передаваемых сообщений от подделки, искажения"
Что это если не ошибка?
|
|
|