KCDSA

KCDSA ( koreański algorytm podpisu cyfrowego oparty na certyfikatach ) to algorytm podpisu cyfrowego stworzony przez zespół kierowany przez Koreańską Agencję ds. Internetu i Bezpieczeństwa (KISA). Jest to ElGamal , podobny do Digital Signature Algorithm i GOST R 34.10-94. Standardowy algorytm jest zaimplementowany na $określono$ również wariant krzywej eliptycznej EC -KCDSA

KCDSA wymaga odpornej na kolizje kryptograficznej funkcji skrótu , która może generować dane wyjściowe o zmiennej wielkości (od 128 do 256 bitów, w 32-bitowych przyrostach). Sugerowanym wyborem jest HAS-160 , kolejny koreański standard.

Parametry domeny

${\ displaystyle p}$ : duża liczba pierwsza taka, że ${\ Displaystyle | p | = 512 + 256i}$ dla ${\ Displaystyle i = 0,1, \ kropki, 6}$ .
${\ Displaystyle q}$ : czynnik pierwszy ${\ Displaystyle p-1}$ taki, że ${\ Displaystyle | q | = 128 + 32j}$ dla ${\ Displaystyle j = 0,1, \ kropki, 4}$ .
${\ displaystyle g}$ : podstawowy element porządku w $)$ ${\ Displaystyle \ operatorname {GF} (p$ .

Poprawiona wersja specyfikacji dodatkowo wymaga, aby albo $była$ wszystkie jej czynniki pierwsze były większe niż $}$ .

Parametry użytkownika

${\ displaystyle x}$ : prywatny klucz podpisu sygnatariusza taki, że ${\ displaystyle 0 <x <q}$ .
${\ Displaystyle y}$ : publiczny klucz weryfikacyjny sygnatariusza obliczony przez ${\ Displaystyle y = g ^ {\ bar {x}} {\ pmod {p}},}$ gdzie ${\ Displaystyle {\ bar {x}} = x ^ {- 1} {\ pmod {q}}}$ .
${\ displaystyle z}$ : wartość skrótu danych certyfikatu , tj. ${\ displaystyle z = h ({\ tekst {dane certyfikatu}})}$ .

Specyfikacja z 1998 roku nie jest jasna co do dokładnego formatu „Danych certyfikatu”. W zmienionej specyfikacji z jest zdefiniowane jako dolne B bitów klucza publicznego y, gdzie B to rozmiar bloku funkcji skrótu w bitach (zwykle 512 lub 1024). Efekt jest taki, że pierwszy blok wejściowy odpowiada y mod 2^B.

${\ displaystyle z}$ : dolne B bitów y.

Funkcja mieszająca

${\ displaystyle h}$ : funkcja skrótu odporna na kolizje z | q | -bitowymi skrótami.

Podpisywanie

Podpisać wiadomość ${\ displaystyle m}$ :

Podpisujący losowo wybiera liczbę całkowitą ${\ Displaystyle 0 <k <q}$ i oblicza ${\ Displaystyle w = g ^ {k} \ mod {p}}$
Następnie oblicza pierwszą część: ${\ Displaystyle r = h (w)}$
Następnie oblicza drugą część: ${\ Displaystyle s = x (kr \ oplus h (z \ równoległy m)) {\ pmod {q}} }$
Jeśli ${\ displaystyle s = 0}$ , proces należy powtórzyć od początku.
Podpis to ${\ Displaystyle (r, s)}$

Specyfikacja jest niejasna, jeśli chodzi o reinterpretację liczby całkowitej $jako$ ciągu bajtów wprowadzanych do funkcji skrótu W przykładzie w sekcji C.1 interpretacja jest zgodna z ${\ Displaystyle r = h (I2OSP (w, | q |/8)) }$ używając definicji I2OSP z PKCS#1/RFC3447.

Weryfikacja

Aby zweryfikować podpis na wiadomości ${\ Displaystyle (r, s)} :$ ${\ displaystyle m}$ :

Weryfikator sprawdza, czy ${\ displaystyle 0 \ równoważnik r <2 ^ {| q |}}$ i ${\ displaystyle 0 <s <q}$ i odrzuca podpis jako nieważny, jeśli nie.
mi ${\ Displaystyle e = r \ oplus h (z \ równoległy m)$
Weryfikator sprawdza, czy ${\ Displaystyle r = h (y ^ {s} \ cdot g ^ {e} \ mod {p})}$ . Jeśli tak, to podpis jest ważny; inaczej jest nieważne.

Linki zewnętrzne

Specyfikacja i analiza KCDSA