Elgamal-Signature
使用 Pointcheval-Stern 簽名算法的 El Gamal 存在主義偽造
我發現存在一種聲稱可以使 El Gamal 簽名生成更安全的算法。該算法可在此處以 pdf 格式找到。
我主要對如下所示的兩參數偽造感興趣:
讓 $ 1 < e,v < p-1 $ 是隨機元素和 $ gcd (v,p-1)=1 $ . 如果 $ r = g^e \cdot y^v \bmod{p} $ 和 $ s = -r \cdot v^{-1} \bmod{p-1} $ , 元組 $ (r,s) $ 是消息的有效簽名 $ m = e \cdot s \bmod{p-1} $ .
我的問題是這是如何工作的?有解釋清楚的證據嗎?
您考慮的方案是原始的ElGamal 簽名。眾所周知,該方案在存在上是可偽造的。
根據定義,消息上的有效原始 ElGamal 簽名 $ m \in {1, \dots, p-1} $ 是一對 $ (r,s) $ 令人滿意的 $ g^m \equiv y^r \cdot r^s \pmod p $ .
和 $ r = g^e \cdot y^v \bmod p $ 和 $ s = -r\cdot v^{-1} \bmod (p-1) $ 對於隨機整數 $ e $ 和 $ v $ 這對 $ (r,s) $ 是消息上的有效簽名 $ m = e \cdot s \bmod (p-1) $ . 要查看它,您必須檢查 $ g^m \equiv y^r \cdot r^s \pmod p $ :
- 為了 $ m = e \cdot s \bmod (p-1) $ , 我們有 $ g^m \equiv g^{e\cdot s} \pmod p $ ;
- 和 $ r = g^e \cdot y^v \bmod p $ 和 $ s = -r\cdot v^{-1} \bmod (p-1) $ , 我們有 $ y^r \cdot r^s \equiv y^r \cdot (g^e \cdot y^v)^s \equiv y^{r+v\cdot s}\cdot g^{e\cdot s} \equiv y^{r+v\cdot (-r\cdot v^{-1})}\cdot g^{e\cdot s} \equiv y^0 \cdot g^{e\cdot s} \equiv g^{e\cdot s} \pmod p $ .
由於兩側模數相等 $ p $ ,簽名有效。量子點