Доказать стойкость простой ЦП на эллиптической кривой

Bars · 07/01/11 55

Всем привет!

Описана схема цифровой подписи на эллиптических кривых. $G$ - базовый элемент кривой над $\mathbb Z_p$ . Абонент $A$ выбирает закрытый ключ $x_A$ и формирует открытый ключ $y_A = x_A G$

$B$ выбирает значение $k$
$B$ посылает $c = kG$ абоненту $A$
$A$ посылает сообщение $m$ и его подпись $s = m - x_A c$ абоненту $B$
$B$ проверяет, что $m = s + x_A c$

Нужно показать, что подделка такой подписи столь же трудна, как атака на криптографию на эллиптических кривых

Вот, до чего я дошел.

Предположим, что мы обладаем оракулом $f$ , умеющим подделывать подпись: $f \colon (m, k, y) \mapsto s : m = s + x k G, y = x G$
или что то же самое $f \colon (m, k, xG) \mapsto m - x k G$
Или можно более простую функцию $g$ построить:
$$g(k, xG) = -f(O, k, xG), O = 0G$$

И тогда будет
$g \colon (k, xG) \mapsto x k G$

Насколько я понимаю осталось только показать, как с помощью $g$ вычислять дискретный логарифм на эллиптической кривой. Но $g$ на выходе выдает точку кривой, а нам нужно натуральное число... и не знаю, что с этим можно сделать. Ещё не знаю придется ли использовать порядок $ord(G)$ элемента $G$

Заранее благодарю за любую помощь :-)

AV_77 · 11/11/07 1198 Москва

Абонент $A$ выбирает закрытый ключ $x_A$ и формирует открытый ключ $y_A = x_A G$
$B$ выбирает значение $k$
$B$ посылает $c = kG$ абоненту $C$
$C$ посылает $c$ абоненту $A$ .
$A$ посылает сообщение $m$ и его подпись $s = m - x_A c$ абоненту $C$
$C$ посылает сообщение $m' = m - r$ и его подпись $s' = s - r$ абоненту $B$ .
$B$ проверяет, что $m' = s' + x_A c$
Как-то так.

Научный форум dxdy

Правила форума

Доказать стойкость простой ЦП на эллиптической кривой

Кто сейчас на конференции