Cryptography Reference
In-Depth Information
Bemerkung
Von der Primzahl
q
verlangt man in der Praxis
4
√
p
und
q
p
k
2
160
,
q
>
q
>
−
1 für
k
=
1, . . . , 20 ,
damit das diskrete Logarithmenproblem hinreichend
schwierig
ist.
Signieren einer Nachricht.
Der Teilnehmer
T
signiert ein Dokument
N
, das in
N∈
Z
2
:
der Praxis als String über
Z
2
gegeben ist, d. h.
T
wählt ein zufälliges
k
∈{
2, . . . ,
q
−
}
1
.
T
berechnet
kP
=(
u
,
v
)
und wählt den kleinsten positiven Repräsentanten
r
von
u
∈
Z
p
.
Falls
r
≡
(
mod
q
)
, so wähle ein neues
k
.
0
Falls
r ≡
(
mod
q
)
0
, so mache im nächsten Schritt weiter.
T
berechnet mit seinem geheimen Schlüssel
α
und einer öffentlich bekannten
Z
2
→
Z
q
:
kollisionsresistenten Hashfunktion
h
:
s
=
k
−
1
(
r α
+
h
(
N
))
∈
Z
q
.
=
Falls
s
0, so wähle ein neues
k
.
Falls
s
=
0, so mache im nächsten Schritt weiter.
T
schickt das
signierte
Dokument
(
N
,
r
,
s
)
an einen Teilnehmer
S
.
Verifikation der Signatur.
Der Teilnehmer
S
kann die Signatur von
T
mittels
des öffentlichen Schlüssels von
T
verifizieren. Dazu berechnet
S
den Kurven-
punkt
R
=
s
−
1
(
rQ
+
h
(
N
)
P
)
∈ E
,
dabei haben wir vereinfacht
s
−
1
für den kleinsten positiven Repräsentanten der
Restklasse
s
−
1
∈
Z
q
geschrieben. Das werden wir so beibehalten.
Gilt
R
=
O
, so wird die Signatur nicht akzeptiert. Ist
R
ein affiner Punkt in
E
,so
wird die Signatur dann als gültig akzeptiert, falls die
x
-Koordinate von
R
gleich
r
ist. Falls die Signatur von
T
stammt, gilt nämlich
R
=
s
−
1
(
rQ
+
h
(
N
)
P
)=
s
−
1
(
r α
+
h
(
N
))
P
=
kP
.
Da nur
T
den geheimen Schlüssel
α
kennt, kann man dies als einen Beweis dafür
auffassen, dass das Dokument
N
von
T
stammt.
Bemerkung
Dieses Verfahren ist auch für elliptische Kurven über Körpern der Form
ν ∈
F
2
ν
,
N
, standardisiert. Dabei sind nur wenige Modifikationen vorzunehmen.