Большое спасибо за замечания. Многие из них я постараюсь учести в меру времени и сил, на остальные ответ ниже.
> Теперь замечания по статье, не особо вникая в детали:
>
> Заглавие.
>
> Используется понятие УК "мошенничество". Вряд ли, в
> ближайшее время криптографические системы смогут
> удовлетворять требованиям уголовного права.
Поскольку они применяются в условиях действующих законов, то им всё равно придётся
столкнуться и их (законов) требованиями и определениями.
- Одно из рассматриваемых в статье свойств ГОСТ Р
34.10-94 не является главным результатом нововведения.
На сколько я понимаю исходный алгоритм Эль-Гамаля универсальных подписей не имеет.
>
> Абзац: "Суть ошибки состоит в том...", не корректен. Т.к.
> из текста статьи не следует не возможность доказательства
> того, что (x0,1) не может быть выдана корректной программой
> в рамках ГОСТа. Из текста статьи следует, что сложность
> поиска (вероятность возникновения) такого (x0,1) не меньше,
> чем сложность подбора (вероятность возникновения) закрытого
> ключа. Соответственно, противоречие в п. 1. ГОСТ Р 34.10-94
> не обосновано.
Суть ошибки в том, что существуют две универсальные подписи (x1,1), (x0,1).
(x1 - секретный ключ). О (не)возможности доказания случайного появления (x0,1) ниже.
> п. 4. Вторая универсальная подпись...
>
> Разбить на два пункта, конечно, если хочется ещё раз
> упомянуть "универсальную подпись", а именно:
>
> - успешность алгоритма проверки ЭЦП с частотой 1/2
> подписи (M,r,s) на открытом ключе автора y и на
> "псевдооткрытом ключе" p-y для алгоритмов Эль-Гамаля, ГОСТ
> Р 34.10*, *DSA;
На самом деле немножко наоборот. В качестве "официального" открытого ключа указывается
y1= p- (a^x0 mod p)
> Легко видеть, что x0 просто не существует.
>
> 1. Элементы a^x mod p образуют мультипликативную
> подгруппу порядка q по построению алгоритма ЭЦП (выбор
> параметров p, q, a);
>
> 2. q- простое число, 2^254 < q < 2^256,
> следовательно, q - нечётно;
>
> 3. Следовательно, если в подгруппу входит элемент y, то
> элемент -y в подгруппу не входит;
Речь вообще-то идёт об элементе p-y.
Т.е Вы утверждаете, что если есть x0 <q, не может существовать x1<q, такого что
a^x1 mod p == p- a^x0 mod q.
Пожалуйста, дайте доказательство этого утверждения, если можно подробное
( Я не утверждаю, что его нет просто мне оно не известно).
> ----------------------------------------------
>
> 6.1 - Т.е. заявляем, что любому сообщению, удовлетворяющему
> алгоритму проверки ЭЦП на открытом ключе y1, следует
> верить, как нашему.
Нет, не так. Мы заявляем y1 в качестве открытого ключа вообще
никак не упоминая факт наличия x0, y0
> 6.4 - Сам по себе ГОСТ Р 34.10-94 не заявляет не
> возможность чего бы то ни было без относительно к
> реализации конкретного средства ЭЦП. А конкретное средство
> ЭЦП накладывает определённые требования на пользователя
> этого средства. При рассмотрении этого пункта сильно не
> хватает рассмотрения использования предсказуемых k в
> средстве ЭЦП в математической части статьи. К слову,
> интересный казус ГК, пользователь должен доказывать тот
> факт, что он использовал средство ЭЦП согласно правилам
> эксплуатации, а не наоборот :)
Для отказа в выдаче страховке именно страховщику необходимо доказать
факт мошенничества или нарушения условий страховки. Соблюсти последние хотя
бы формально злоумышленник конечно постарается.
А мошенничество уже находистся в сфере действия УК.
>
> Я не понял упоминания подписи Эль-Гамаля вида (0,1).
Речь как раз и шла о том, что такая подпись не является корректной по определению (s>0)
> Производительность может быть аргументом. На пример,
> говорят, что основным мотивом разработки алгоритма ЭЦП
> Лан-Крипто была более высокая скорость реализации
> Эль-Гамаля на другом поле.
Как пишут сами представители Лан-Крипто, они разрабатывали алгоритм
исходя из требования нормально работы даже на i286.
IMHO, даже в 1994 году это было уже неактуально. Да и как-то странно смотрится
одновременное с эти увеличение порядка p.
> ----------------------------------------------
>
> п. 7, ЧАВО п. 2
>
> Использование: r= a^k (mod p); r' = r (mod q) принципиально
> для алгоритма Эль-Гамаля.
>
> Успехов.
> --
> LSE, Сергей Леонтьев, Крипто-Про, http://www.CryptoPro.ru
|
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
