Cryptography Reference
In-Depth Information
G
berechnet
B
:
=
bP
∈
E
und
C
:
=
bQ
+
N∈
E
.
G
sendet den Geheimtext
C
=(
B
,
C
)
an
T
.
C
=(
B
,
C
)
G
T
(
F
,
EP
,
Q
)
14.1.3 Entschlüsselung
Erhält der Empfänger
T
vom Sender
G
den Geheimtext
C
=(
B
,
C
)
, so berechnet
er mit seinem geheimen Schlüssel
a
das Element
−
aB
+
C
. Es gilt nämlich wegen
B
=
bP
,
C
=
bQ
+
N
und
Q
=
aP
:
−aB
+
C
=
−abP
+
bQ
+
N
=
−abP
+
abP
+
N
=
N
,
und damit erhält
T
den Klartext
N∈
E
zurück.
Bemerkung
Bei der praktischen Anwendung des ElGamal-Verfahrens in elliptischen Kurven
tauchen zwei Probleme auf:
N∈E
ist keineswegs trivial.
•
Die Codierung eines Klartextes in ein
•
Die Datenexpansion:
Ein
Klartext liefert imGeheimtext
vier
Elemente aus
F
,
jeweils zwei Koordinaten von
B
und
C
.
14.2 Das Signaturverfahren ECDSA
Der
Elliptic Curve Digital Signature Algorithm
, kurz
ECDSA
, ist das Pendant
zum Signaturverfahren DSS (vgl. Abschnitt 12.4). Das Verfahren ist in ANSI X9.62
standardisiert.
Gegeben ist eine elliptische Kurve
E
:
y
2
=
x
3
+
ax
+
b
über
Z
p
, wobei wir vereinfachend
p
>
3 voraussetzen. Die Elemente
a
,
b
∈
Z
p
seien so gewählt, dass
x
3
+
ax
+
b
keine mehrfachen Nullstellen besitzt.
Es sei
P
=(
u
,
v
)
∈
E
ein
affiner
Punkt der Kurve von Primzahlordnung
q
=
o
(
P
)
.
α ∈{
2, . . . ,
q −
}
Der Teilnehmer
T
wählt zufällig ein
als geheimen Schlüssel,
berechnet
Q
=
α P
und publiziert seinen öffentlichen Schlüssel
2
(
p
,
a
,
b
,
P
,
Q
,
q
)
.