Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Вероятность такая же. 28.04.02 16:47 Число просмотров: 3104
Автор: Экспертик Статус: Незарегистрированный пользователь
|
Приветствую Алексей.
Ваш предложение (s==r) вместо (h==r==s) конечно упрощает оригинальный Комлинский метод, но вероятность его такая же (q/p).
r= X(C) %q == X(kP) %q, следовательно мы не можем строго утверждать
что для Q = z2^{-1} (R - z1 P);
qQ==0
Мы можем это утверждать только с вероятностью q/p.
То есть это по прежнему ошибка именно нового ГОСТа (и возможно ECDSA - надо только разобраться с его диапазонами)
Кстати я не согласна с утверждением A.V.K что для ГОСТа "худшая" вероятность составляет 1/16
IMHO в худшем случае вероятность 2^254 / 2^256 = 1/4.
Это конечно не принципиально, но пару секунд на подборе сэкономит. ;)
> Всем доброе утро! > > Можно показать более общий факт, чем тот который указан > автором. > А именно:
> Для любых значений h, s, r, если существует точка R, такая > что X(R) = r, > можно найти открытый ключ Y, такой что подпись (s,r) будет > Вычисляем > Q = z2^{-1} (R - z1 P);
> > Убеждаемся, что > C = z1 P + z2 Q = z1 P + (R - z1 P) = R > > X(C) = X(R) = R > > Таким образом, подпись (s,r) подходит для хеша h (т.е > сообщения M). > > При этом нет никаких ограничений на h, следовательно можно > подписывать > любые сообщения (вероятность равна 100%, а не q/p). > > Аналогичные рассуждения, видимо, проходят и для остальных > стандартов. > > Осталась одна проблема - никто (в том числе и > злоумышленник) не знает > секретного ключа d для Y. Таким ообразом, ключ Y - > одноразовый, им можно > подписать только сообщение M. И что будет делать мошенник, > если его > попросят подписать что-то еще? > > Вывод - достаточно при регистрации ключа потребовать > подписания > контрольного сообщения. > > С уважением, > Алексей Чиликов.
|
|
|