Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ошибка не нова, новы результаты её применения к новому ГОСТу 28.04.02 17:23 Число просмотров: 4101
Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь Отредактировано 28.04.02 17:33 Количество правок: 2
|
Уважаемые коллеги, описанная ошибка не столь уж и нова. Проблема расчёта подписи без секретного ключа в методах El-Gamal'я известна около 7 лет.
См. например книгу В. В. Ищенко "Основы современной криптологии", издание 1995 г.
стр. 219
" Следует также заметить, что ещё один вид подписей (n,n) может быть сформирован и без участия секретного ключа ... Вероятность этого крайне мала из-за принятого условия q<<p и не снижает стойкости метода по сравнению с подбором ключа".
Именно поэтому для DSS требуется подтверждение владения ключём.
Описанный Комлином случай r=s=h=(q-d+1)Q (mod q) (и его модификация r=s, описанная ниже А. Чиликовым) являются частным вариантом этого утверждения.
Новым в данном сообщении является отмеченный Aлександром Комлиным факт, что вероятность саморасчёта подписи в применении к новому ГОСТу приобретает приемлемые величины, а требование подтвержения владения ключём явно не отображено.
Разумеется, я не смею утверждать, что A. V. Komlin ( или А. Чиликов) не выводили этих формул самостоятельно (они очевидны), но хотелось бы отметить, что акцент в опубликованной заметке следовало сделать на идее определения открытого ключа для заданных значений хэша и вероятности её осуществления в ГОСТе.
Вывод очевидных истин в начале статьи необязателен, он только утомляет читателя.
|
|
|