Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Ошибка не нова, новы результаты её применения к новому ГОСТу 29.04.02 05:21 Число просмотров: 3348
Автор: Komlin Статус: Незарегистрированный пользователь
|
Уважаемый Юрий.
Я разумеется не претендую на авторство формул соответствия между ключём и хэшем,
они действительно очевидны и скорее всего общеизвестны. Полагаю Алексей Чиликов тоже.
Скорее всего в материалах конференций можно найти и другие удобные формулы для
конктретного параметра.
Новым в предложенном методе являлась идея подбирать корректный открытый ключ исходя
из документа (Или из документа и подобранного r такого, что R(r) == (Pi), X(R)<q
как предлагает Алексей)
И , как правильно Вы заметили, тот факт , что из-за неудачно подобранного соотношения q/p <1/4
эти операции в новом ГОСТе могут быть произведены за малое время.
По поводу компоновки документа
> Уважаемые коллеги, описанная ошибка не столь уж и нова. > Проблема расчёта подписи без секретного ключа в методах > El-Gamal'я известна около 7 лет. > > См. например книгу В. В. Ищенко "Основы современной > криптологии", издание 1995 г. > > стр. 219 > > " Следует также заметить, что ещё один вид подписей (n,n) > может быть сформирован и без участия секретного ключа ... > Вероятность этого крайне мала из-за принятого условия > q<<p и не снижает стойкости метода по сравнению с > подбором ключа". > > Именно поэтому для DSS требуется подтверждение владения > ключём. > > Описанный Комлином случай r=s=h=(q-d+1)Q (mod q) (и его > модификация r=s, описанная ниже А. Чиликовым) являются > частным вариантом этого утверждения. > > Новым в данном сообщении является отмеченный Aлександром > Комлиным факт, что вероятность саморасчёта подписи в > применении к новому ГОСТу приобретает приемлемые величины, > а требование подтвержения владения ключём явно не > отображено. > > Разумеется, я не смею утверждать, что A. V. Komlin ( или А. > Чиликов) не выводили этих формул самостоятельно (они > очевидны), но хотелось бы отметить, что акцент в > опубликованной заметке следовало сделать на идее > определения открытого ключа для заданных значений хэша и > вероятности её осуществления в ГОСТе. > > Вывод очевидных истин в начале статьи необязателен, он > только утомляет читателя. > > > > >
|
|
|