Signatur Nyberg - Rueppel

Nyberg- Rueppel Signature Scheme er en offentlig nøgle elektronisk signaturordning baseret på det endelige felt diskrete logaritmeproblem . Algoritmen kan ikke bruges til kryptering (i modsætning til RSA og ElGamal-skemaet ). Signaturen oprettes hemmeligt, men kan verificeres offentligt. Det betyder, at kun ét emne kan oprette en meddelelsessignatur, men enhver kan bekræfte, at den er korrekt . Ordningen er foreslået af Kaisa Nyberg og Rainer Rueppel i 1993 ved den første ACM- konference ( engelsk 1st ACM-konference om computer- og kommunikationssikkerhed ) [1] som en modifikation af DSA [2] [3] .

Brug af algoritmen

Signaturskemaet med meddelelsesgendannelse indebærer en procedure, hvor meddelelsen gendannes, efter at signaturen er blevet verificeret . Med andre ord, lad der være to brugere, Alice og Bob, og en usikret kommunikationskanal mellem dem. Bruger Alice signerer en offentlig besked med en privat nøgle , og den resulterende signatur sendes til brugeren Bob, som igen bruger den offentlige nøgle til at godkende signaturen og gendanne beskeden. Med et positivt resultat af kontrollen er Bob overbevist om meddelelsens integritet, om dens originalitet (det vil sige, at meddelelsen blev sendt af brugeren Alice), og er også frataget muligheden for at hævde, at Alice ikke sendte denne besked. Det er vigtigt, at kun Alice er i stand til at underskrive sin besked, fordi kun hun kender sin private nøgle , og at hendes signatur kan verificeres af enhver bruger, da kun den offentlige nøgle er nødvendig for dette [4] .

Indstillinger for digital signaturskema

For at bygge et digitalt signatursystem og generere nøgler er det nødvendigt [2] [5] [6] :

Vælg en åben redundansfunktion, der konverterer den faktiske besked til data, som derefter signeres. Dette ligner hash-funktionen i applikationssignaturskemaer, men i modsætning til dem skal redundansfunktionen være let reversibel. $f$
Vælg et stort primtal . $Q$
Vælg et stort primtal , sådan som er deleligt med . $P$ $(P-1)$ $Q$
Generer et tilfældigt tal og beregn . Hvis , så kig efter en anden tilfældig , indtil den er lig med , som vil sikre, at betingelsen er opfyldt $H<P$ $G=H^{(P-1)/Q}\mod P$ $G=1$ $H$ $G$ $en$ $G^{Q}=1\mod P$

Offentlige og private nøgler

Den hemmelige nøgle er et tal $x\in (0,Q)$
Den offentlige nøgle beregnes ved hjælp af formlen $Y=G^{x}\mod p$

De offentlige muligheder er . Den private parameter er . Nøgleparret er [2] [5] [6] . $(P,Q,G,Y)$ $x$ $(Y,x)$

Meddelelsessignatur

Meddelelsessignaturen udføres i henhold til følgende algoritme [2] [5] [6] :

Vælg et tilfældigt tal og find . $k\in \mathbb {Z} /Q\mathbb {Z}$ $R=G^{k}(modP)$
Find . $E=f(M)\cdot R(modP)$
Definer . $S=x\cdot E+k(modQ)$

Signaturen er et par . $(E,S)$

Signaturbekræftelse og meddelelsesgendannelse

Baseret på parret og modulo-heltallet skal du sikre dig, at signaturen tilhører brugeren med den offentlige nøgle og gendanne meddelelsen . $(E,S)$ $Q$ $Y$ $M$ Signaturverifikation udføres i henhold til algoritmen:

Beregn . $U_{1}=G^{S}\cdot Y^{-E}=G^{S-Ex}=G^{k}(modP)$
Beregn . $U_{2}={E \over U_{1}}(modP)$

Nu skal vi sikre os, at det er værdien af redundansfunktionen, dvs. $U_{2}$ $U_{2}=f(M)$ Hvis ligheden ikke er opfyldt, så er underskriften falsk og afvises. Ellers bliver meddelelsen gendannet, og signaturen [2] [5] [6] modtages . $M=f^{-1}(U_{2})$

Algoritmeskema

Fordele og ulemper ved ordningen

Signaturordningen er baseret på de samme principper som DSA , den væsentligste forskel er, at ordningen implementerer beskedgendannelse fra signaturen. I modsætning til RSA pendler signatur og gendannelse ikke, og algoritmen kan derfor ikke bruges til kryptering . Fordelene ved meddelelsesgendannelse er, at applikationen af ordningen udføres uden brug af hash-funktioner , en kortere signatur på korte meddelelser, mulighed for direkte applikation i skemaer baseret på et offentligt nøgle-identifikationssystem, hvor brugeren efter registrering i nøglecentret, kan autentificere sig til enhver anden bruger uden yderligere brug af et nøglecenter, eller i nøgleaftaleprotokoller, der etablerer en delt nøgle mellem to parter baseret på gensidig godkendelse [2] [7] [8] .

Eksempel

Meddelelsessignatur [9]

Lad os vælge skemaparametrene: $Q=101,P=607,G=601.$
Lad nøgleparret se ud . $(391.3)$
For at underskrive en besked beregner vi en midlertidig nøgle og . $M=12$ $k=45$ $R=G^{k}(modP)=143$
Lad så og $f(M)=M+2^{4}\cdot M$ $f(M)=204$

$E=f(M)\cdot R(modP)=36$ , . $S=x\cdot E+k(modQ)=52$

I alt, et par tal , det vil sige - dette er en signatur. $(E,S)$ $(36,52)$

Signaturbekræftelse og meddelelsesgendannelse [9]

Vi beregner . Bemærk, at værdien er den samme som værdien af . $U_{1}=G^{S}\cdot Y^{-E}=143$ $U_{1}$ $R$
Vi beregner . $U_{2}={E \over U_{1}}(modP)=204$
Nu skal vi kontrollere, hvad der er repræsenteret i formen for et eller andet heltal , og sørge for dette, konkluderer vi, at signaturen er korrekt. $U_{2}=204$ $M+2^{4}\cdot M$ $M$
Vi gendanner beskeden som en løsning på ligningen . $M=12$ $M+2^{4}\cdot M=204$

Se også

Noter

↑ ACM-konference om computer- og kommunikationssikkerhed (CCS) . Hentet 9. december 2014. Arkiveret fra originalen 10. februar 2019. (ubestemt)
↑ 1 2 3 4 5 6 Nyberg, K., Rueppel, RA, 1993 .
↑ Elgamal, 1985 .
↑ Smart, 2005 , s. 261.
↑ 1 2 3 4 Nyberg, K., Rueppel, RA, 1996 .
↑ 1 2 3 4 Smart, 2005 , s. 278.
↑ Smart, 2005 , s. 271.
↑ Bauer, 2007 , s. 228.
↑ 1 2 Smart, 2005 , s. 279.

Litteratur

Bauer F. Dechiffrerede hemmeligheder. Metoder og principper for kryptologi. - Mir, 2007. - 550 s.
Smart, N. Kryptografi. - Technosphere, 2005. - 528 s.
Elgamal, T. Et offentligt nøglekryptosystem og et signaturskema baseret på diskrete logaritmer // Advances in Cryptology: bog. - 1985.
Nyberg, K., Rueppel, R.A. Message Recovery for Signature Schemes Based on the Discrete Logaritm Problem // Designs, Codes and Cryptography : journal. - 1996. - Nr. Bind 7, hæfte 1-2 . - S. 61-81 .
Nyberg, K., Rueppel, RA En ny signaturordning baseret på DSA giver beskedgendannelse // 1st ACM Conference on Computer and Communications Security, Fairfax, Virginia (3.-5. nov., 1993). - 1993.

Offentlig nøgle kryptosystemer

Algoritmer

Faktorisering af heltal	Benalo kryptosystem Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern betalingsmodtager Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskret logaritme	BLS Cramer - Shoup Diffie-Hellman protokol DSA ECDH Kurve25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Krypteret nøgleudveksling Ordning af ElGamal underskriftsordning MQV Schnorr ordning SPEKE SRP STS
Kryptografi på gitter	NTRUEncrypt NTRUSign Læringsbaseret nøgleudveksling med fejl Signaturbaseret træning med fejl i ringen LYKKELIGHED Nyt håb
Andet	AE CEILIDH EPOC Skjulte feltligninger IES Lamports underskrift McEliece Merkle-Hellman rygsæk kryptosystem Naccache-Stern rygsæk kryptosystem Tre trins protokol XTR

Teori

Standarder

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Post kvantekryptering

Emner

Elektronisk signatur
OAEP
Fingeraftryk
PKI
web af tillid
Nøglestørrelse
Identitetsbaseret kryptografi
Postkvantekryptografi
OpenPGP-kort