Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
И все же не такая :)) 29.04.02 02:46 Число просмотров: 3375
Автор: Lexy Статус: Незарегистрированный пользователь
|
Добрый вечер, Наталья!
Я не совсем понял, почему Вы решили, что s == r ?
Я написал, что для h подходит подпись вида (s, r), где s любое,
а r = X(R). При этом, естественно, R должно быть допустимой
точкой эллиптической кривой, то есть qR = 0. Но это решается
перебором R, и не накладывает ограничений на h.
Легко проверить, что тогда и qQ = 0 (что и требуется).
Суть в том, что можно подписать любое сообщение, а не только
те, у которых хороший хеш.
Вообще же, я согласен с Юрием (a-ka НеСлучайный Посетитель) -
выкладки довольно просты, а интересен контекст применения.
Т.е. необходимо потребовать проверку ключа при регистрации.
С уважением,
Алексей Чиликов
> Приветствую Алексей. > > Ваш предложение (s==r) вместо (h==r==s) конечно упрощает > оригинальный Комлинский метод, но вероятность его такая же > (q/p). > > r= X(C) %q == X(kP) %q, следовательно мы не можем строго > утверждать > что для Q = z2^{-1} (R - z1 P); > > qQ==0 > > Мы можем это утверждать только с вероятностью q/p. > То есть это по прежнему ошибка именно нового ГОСТа (и > возможно ECDSA - надо только разобраться с его > диапазонами) > > > > Кстати я не согласна с утверждением A.V.K что для ГОСТа > "худшая" вероятность составляет 1/16 > IMHO в худшем случае вероятность 2^254 / 2^256 = 1/4. > > Это конечно не принципиально, но пару секунд на подборе > сэкономит. ;) >
|
|
|