Большое спасибо за замечания. Многие из них я постараюсь учести в меру времени и сил, на остальные ответ ниже.
> Теперь замечания по статье, не особо вникая в детали: > > Заглавие. > > Используется понятие УК "мошенничество". Вряд ли, в > ближайшее время криптографические системы смогут > удовлетворять требованиям уголовного права. Поскольку они применяются в условиях действующих законов, то им всё равно придётся
столкнуться и их (законов) требованиями и определениями.
- Одно из рассматриваемых в статье свойств ГОСТ Р
34.10-94 не является главным результатом нововведения.
На сколько я понимаю исходный алгоритм Эль-Гамаля универсальных подписей не имеет.
> > Абзац: "Суть ошибки состоит в том...", не корректен. Т.к. > из текста статьи не следует не возможность доказательства > того, что (x0,1) не может быть выдана корректной программой > в рамках ГОСТа. Из текста статьи следует, что сложность > поиска (вероятность возникновения) такого (x0,1) не меньше, > чем сложность подбора (вероятность возникновения) закрытого > ключа. Соответственно, противоречие в п. 1. ГОСТ Р 34.10-94 > не обосновано.
Суть ошибки в том, что существуют две универсальные подписи (x1,1), (x0,1).
(x1 - секретный ключ). О (не)возможности доказания случайного появления (x0,1) ниже.
> п. 4. Вторая универсальная подпись... > > Разбить на два пункта, конечно, если хочется ещё раз > упомянуть "универсальную подпись", а именно: > > - успешность алгоритма проверки ЭЦП с частотой 1/2 > подписи (M,r,s) на открытом ключе автора y и на > "псевдооткрытом ключе" p-y для алгоритмов Эль-Гамаля, ГОСТ > Р 34.10*, *DSA; На самом деле немножко наоборот. В качестве "официального" открытого ключа указывается
y1= p- (a^x0 mod p)
> Легко видеть, что x0 просто не существует. > > 1. Элементы a^x mod p образуют мультипликативную > подгруппу порядка q по построению алгоритма ЭЦП (выбор > параметров p, q, a); > > 2. q- простое число, 2^254 < q < 2^256, > следовательно, q - нечётно; > > 3. Следовательно, если в подгруппу входит элемент y, то > элемент -y в подгруппу не входит;
Речь вообще-то идёт об элементе p-y.
Т.е Вы утверждаете, что если есть x0 <q, не может существовать x1<q, такого что
a^x1 mod p == p- a^x0 mod q.
Пожалуйста, дайте доказательство этого утверждения, если можно подробное
( Я не утверждаю, что его нет просто мне оно не известно).
> ---------------------------------------------- >
> 6.1 - Т.е. заявляем, что любому сообщению, удовлетворяющему > алгоритму проверки ЭЦП на открытом ключе y1, следует > верить, как нашему.
Нет, не так. Мы заявляем y1 в качестве открытого ключа вообще
никак не упоминая факт наличия x0, y0
> 6.4 - Сам по себе ГОСТ Р 34.10-94 не заявляет не > возможность чего бы то ни было без относительно к > реализации конкретного средства ЭЦП. А конкретное средство > ЭЦП накладывает определённые требования на пользователя > этого средства. При рассмотрении этого пункта сильно не > хватает рассмотрения использования предсказуемых k в > средстве ЭЦП в математической части статьи. К слову, > интересный казус ГК, пользователь должен доказывать тот > факт, что он использовал средство ЭЦП согласно правилам > эксплуатации, а не наоборот :)
Для отказа в выдаче страховке именно страховщику необходимо доказать
факт мошенничества или нарушения условий страховки. Соблюсти последние хотя
бы формально злоумышленник конечно постарается.
А мошенничество уже находистся в сфере действия УК.
> > Я не понял упоминания подписи Эль-Гамаля вида (0,1).
Речь как раз и шла о том, что такая подпись не является корректной по определению (s>0)
> Производительность может быть аргументом. На пример, > говорят, что основным мотивом разработки алгоритма ЭЦП > Лан-Крипто была более высокая скорость реализации > Эль-Гамаля на другом поле. Как пишут сами представители Лан-Крипто, они разрабатывали алгоритм
исходя из требования нормально работы даже на i286.
IMHO, даже в 1994 году это было уже неактуально. Да и как-то странно смотрится
одновременное с эти увеличение порядка p.
> ---------------------------------------------- > > п. 7, ЧАВО п. 2 > > Использование: r= a^k (mod p); r' = r (mod q) принципиально > для алгоритма Эль-Гамаля. > > Успехов. > -- > LSE, Сергей Леонтьев, Крипто-Про, http://www.CryptoPro.ru
|