> Я написал, что для h подходит подпись вида (s, r), где s > любое, > а r = X(R). При этом, естественно, R должно быть допустимой > точкой эллиптической кривой, то есть qR = 0. Но это > решается > перебором R, и не накладывает ограничений на h. > Легко проверить, что тогда и qQ = 0 (что и требуется).
Имелось в виду, что с учётом r' =kP %q вероятность встретить при переборе qR==0 и составляет q/p.
То есть перебирать всяко придётся, что h, что r. Т. е метод применим только для ГОСТа (возможно и для ECDSA ).
Хотя конечно перебирать r быстрее и проще, чем варьировать пробелами в документе вычисляя подходящее h (если это имеет значение при переборе 4-х вариантов).
> Я не совсем понял, почему Вы решили, что s == r ?
Подождите, тогда уже я не совсем поняла, как в Вашем методе, посторонний зная Q, h, может рассчитать для них обратно s,r?
Ведь суть ошибки была не просто в вычеслении Q для M (h,e), но и в вычислении любым желающим подписи для них.
Мне не неясно, как из формулы Q = z2^{-1} (R - z1 P), получить обратно R, с учётом того, что X(R) входит в z2==X(R)*e %q?
> Суть в том, что можно подписать любое сообщение, а не > только > те, у которых хороший хеш. Суть Комлиновской статьи и была в том, что в практических условиях хороший хэш можно подобрать для любого документа, например варьируя пробелами.
> Вообще же, я согласен с Юрием (a-ka НеСлучайный Посетитель) > - > выкладки довольно просты, а интересен контекст применения. > Т.е. необходимо потребовать проверку ключа при регистрации.
Или проверку qQ==0 (y^q %q ==1) как Вы и предлагали в прошлом комментарии.
Вообще непонятно как авторы ГОСТа могли его пропустить. Или мы что-то недопонимаем?
> С уважением, > Алексей Чиликов > > > Приветствую Алексей. > > > > Ваш предложение (s==r) вместо (h==r==s) конечно > упрощает > > оригинальный Комлинский метод, но вероятность его > такая же > > (q/p). > > > > r= X(C) %q == X(kP) %q, следовательно мы не можем > строго > > утверждать > > что для Q = z2^{-1} (R - z1 P); > > > > qQ==0 > > > > Мы можем это утверждать только с вероятностью q/p. > > То есть это по прежнему ошибка именно нового ГОСТа (и > > возможно ECDSA - надо только разобраться с его > > диапазонами) > > > > > > > > Кстати я не согласна с утверждением A.V.K что для > ГОСТа > > "худшая" вероятность составляет 1/16 > > IMHO в худшем случае вероятность 2^254 / 2^256 = 1/4. > > > > Это конечно не принципиально, но пару секунд на > подборе > > сэкономит. ;) > >
|