Схема Эль-Гамаля

Схема Эль-Гамаля (Elgamal) — криптосистема с открытым ключом, основанная на трудности вычисления дискретных логарифмов в конечном поле. Криптосистема включает в себя алгоритм шифрования и алгоритм цифровой подписи. Схема Эль-Гамаля лежит в основе бывших стандартов электронной цифровой подписи в США (DSA) и России (ГОСТ Р 34.10-94).

Схема была предложена Тахером Эль-Гамалем в 1985 году.^[1] Эль-Гамаль разработал один из вариантов алгоритма Диффи-Хеллмана. Он усовершенствовал систему Диффи-Хеллмана и получил два алгоритма, которые использовались для шифрования и для обеспечения аутентификации. В отличие от RSA, алгоритм Эль-Гамаля не был запатентован и поэтому стал более дешёвой альтернативой, так как не требовалась оплата взносов за лицензию. Считается, что алгоритм попадает под действие патента Диффи-Хеллмана.

Генерация ключейПравить

Генерируется случайное простое число $\text{[math]}$ $\text{[math]}$ $p$ .
Выбирается целое число $\text{[math]}$ $\text{[math]}$ $g$ — первообразный корень $\text{[math]}$ $\text{[math]}$ $p$ .
Выбирается случайное целое число $\text{[math]}$ $\text{[math]}$ $x$ такое, что $\text{[math]}$ $\text{[math]}$ $(1<x<p-1)$ .
Вычисляется $\text{[math]}$ $\text{[math]}$ $y=g^{x}{\bmod {p}}$ .
Открытым ключом является $\text{[math]}$ $\text{[math]}$ $(y,g,p)$ , закрытым ключом — число $\text{[math]}$ $\text{[math]}$ $x$ .

Работа в режиме шифрованияПравить

Шифросистема Эль-Гамаля является фактически одним из способов выработки открытых ключей Диффи — Хеллмана.^{[источник не указан 458 дней]} Шифрование по схеме Эль-Гамаля не следует путать с алгоритмом цифровой подписи по схеме Эль-Гамаля.

ШифрованиеПравить

Сообщение $\text{[math]}$ $\text{[math]}$ $M$ должно быть меньше числа $\text{[math]}$ $\text{[math]}$ $p$ . Сообщение шифруется следующим образом:

Выбирается сессионный ключ — случайное целое число, взаимно простое с $\text{[math]}$ $\text{[math]}$ $(p-1)$ , $\text{[math]}$ $\text{[math]}$ $k$ такое, что $\text{[math]}$ $\text{[math]}$ $1<k<p-1$ .
Вычисляются числа $\text{[math]}$ $\text{[math]}$ $a=g^{k}{\bmod {p}}$ и $\text{[math]}$ $\text{[math]}$ $b=y^{k}M{\bmod {p}}$ .
Пара чисел $\text{[math]}$ $\text{[math]}$ $(a,b)$ является шифротекстом.

Нетрудно заметить, что длина шифротекста в схеме Эль-Гамаля вдвое больше исходного сообщения $\text{[math]}$ $\text{[math]}$ $M$ .

РасшифрованиеПравить

Зная закрытый ключ $\text{[math]}$ $\text{[math]}$ $x$ , исходное сообщение можно вычислить из шифротекста $\text{[math]}$ $\text{[math]}$ $(a,b)$ по формуле:

\text{[math]}

M=b(a^{x})^{-1}{\bmod {p}}.

При этом нетрудно проверить, что

\text{[math]}

(a^{x})^{-1}=g^{-kx}{\bmod {p}}

и поэтому

\text{[math]}

b(a^{x})^{-1}=(y^{k}M)g^{-xk}\equiv (g^{xk}M)g^{-xk}\equiv M{\pmod {p}}

.

Для практических вычислений больше подходит следующая формула:

\text{[math]}

M=b(a^{x})^{-1}=ba^{(p-1-x)}{\pmod {p}}

Схема шифрованияПравить

ПримерПравить

Шифрование
1. Допустим, что нужно зашифровать сообщение $\text{[math]}$ $\text{[math]}$ $M=5$ .
2. Произведем генерацию ключей:
  1. Пусть $\text{[math]}$ $\text{[math]}$ $p=11,g=2$ . Выберем $\text{[math]}$ $\text{[math]}$ $x=8$ - случайное целое число $\text{[math]}$ $\text{[math]}$ $x$ такое,что $\text{[math]}$ $\text{[math]}$ $1<x<p$ .
  2. Вычислим $\text{[math]}$ $\text{[math]}$ $y=g^{x}{\bmod {p}}=2^{8}{\bmod {11}}=3$ .
  3. Итак, открытым ключом является тройка $\text{[math]}$ $\text{[math]}$ $(p,g,y)=(11,2,3)$ ,а закрытым ключом - число $\text{[math]}$ $\text{[math]}$ $x=8$ .
3. Выбираем случайное целое число $\text{[math]}$ $\text{[math]}$ $k$ такое, что 1 < k < (p − 1). Пусть $\text{[math]}$ $\text{[math]}$ $k=9$ .
4. Вычисляем число $\text{[math]}$ $\text{[math]}$ $a=g^{k}{\bmod {p}}=2^{9}{\bmod {11}}=512{\bmod {11}}=6$ .
5. Вычисляем число $\text{[math]}$ $\text{[math]}$ $b=y^{k}M{\bmod {p}}=3^{9}5{\bmod {11}}=19683\cdot 5{\bmod {11}}=9$ .
6. Полученная пара $\text{[math]}$ $\text{[math]}$ $(a,b)=(6,9)$ является шифротекстом.
Расшифрование
1. Необходимо получить сообщение $\text{[math]}$ $\text{[math]}$ $M=5$ по известному шифротексту $\text{[math]}$ $\text{[math]}$ $(a,b)=(6,9)$ и закрытому ключу $\text{[math]}$ $\text{[math]}$ $x=8$ .
2. Вычисляем M по формуле: $\text{[math]}$ $\text{[math]}$ $M=b(a^{x})^{-1}{\bmod {p}}=9(6^{8})^{-1}\mod {11}=5$
3. Получили исходное сообщение $\text{[math]}$ $\text{[math]}$ $M=5$ .

Так как в схему Эль-Гамаля вводится случайная величина $\text{[math]}$ $\text{[math]}$ $k$ ,то шифр Эль-Гамаля можно назвать шифром многозначной замены. Из-за случайности выбора числа $\text{[math]}$ $\text{[math]}$ $k$ такую схему еще называют схемой вероятностного шифрования. Вероятностный характер шифрования является преимуществом для схемы Эль-Гамаля, так как у схем вероятностного шифрования наблюдается большая стойкость по сравнению со схемами с определенным процессом шифрования. Недостатком схемы шифрования Эль-Гамаля является удвоение длины зашифрованного текста по сравнению с начальным текстом. Для схемы вероятностного шифрования само сообщение $\text{[math]}$ $\text{[math]}$ $M$ и ключ не определяют шифротекст однозначно. В схеме Эль-Гамаля необходимо использовать различные значения случайной величины $\text{[math]}$ $\text{[math]}$ $k$ для шифровки различных сообщений $\text{[math]}$ $\text{[math]}$ $M$ и $\text{[math]}$ $\text{[math]}$ $M^{'}$ . Если использовать одинаковые $\text{[math]}$ $\text{[math]}$ $k$ , то для соответствующих шифротекстов $\text{[math]}$ $\text{[math]}$ $(a,b)$ и $\text{[math]}$ $\text{[math]}$ $(a',b')$ выполняется соотношение $\text{[math]}$ $\text{[math]}$ $b(b')^{-1}=M(M')^{-1}$ . Из этого выражения можно легко вычислить $\text{[math]}$ $\text{[math]}$ $M^{'}$ , если известно $\text{[math]}$ $\text{[math]}$ $M$ .

Работа в режиме подписиПравить

Цифровая подпись служит для того чтобы можно было установить изменения данных и чтобы установить подлинность подписавшейся стороны. Получатель подписанного сообщения может использовать цифровую подпись для доказательства третьей стороне того, что подпись действительно сделана отправляющей стороной. При работе в режиме подписи предполагается наличие фиксированной хеш-функции $\text{[math]}$ $\text{[math]}$ $h(\cdot )$ , значения которой лежат в интервале $\text{[math]}$ $\text{[math]}$ $\left(1,p-1\right)$ .

Подпись сообщенийПравить

Для подписи сообщения $\text{[math]}$ $\text{[math]}$ $M$ выполняются следующие операции:

Вычисляется дайджест сообщения $\text{[math]}$ $\text{[math]}$ $M$ : $\text{[math]}$ $\text{[math]}$ $m=h(M).$ (Хеш функция может быть любая).
Выбирается случайное число $\text{[math]}$ $\text{[math]}$ $1<k<p-1$ взаимно простое с $\text{[math]}$ $\text{[math]}$ $p-1$ и вычисляется $\text{[math]}$ $\text{[math]}$ $r=g^{k}\,{\bmod {\,}}p.$
Вычисляется число $\text{[math]}$ $\text{[math]}$ $s\,=\,(m-xr)k^{-1}{\pmod {p-1}}$ , где $\text{[math]}$ $\text{[math]}$ $k^{-1}$ это мультипликативное обратное $\text{[math]}$ $\text{[math]}$ $k$ по модулю $\text{[math]}$ $\text{[math]}$ $p-1$ , которое можно найти, например, с помощью расширенного алгоритма Евклида.
Подписью сообщения $\text{[math]}$ $\text{[math]}$ $M$ является пара $\text{[math]}$ $\text{[math]}$ $\left(r,s\right)$ .

Проверка подписиПравить

Зная открытый ключ $\text{[math]}$ $\text{[math]}$ $\left(p,g,y\right)$ , подпись $\text{[math]}$ $\text{[math]}$ $\left(r,s\right)$ сообщения $\text{[math]}$ $\text{[math]}$ $M$ проверяется следующим образом:

Проверяется выполнимость условий: $\text{[math]}$ $\text{[math]}$ $0<r<p$ и $\text{[math]}$ $\text{[math]}$ $0<s<p-1$ .
Если хотя бы одно из них не выполняется,то подпись считается неверной.
Вычисляется дайджест $\text{[math]}$ $\text{[math]}$ $m=h(M).$
Подпись считается верной, если выполняется сравнение:
$\text{[math]}$ $\text{[math]}$ $y^{r}r^{s}\equiv g^{m}{\pmod {p}}.$

Корректность проверкиПравить

Рассматриваемый алгоритм корректен в том смысле, что подпись, вычисленная по указанным выше правилам, будет принята при ее проверке.

Преобразуя определение $\text{[math]}$ $\text{[math]}$ $s$ , имеем

\text{[math]}

m\,\equiv \,xr+sk{\pmod {p-1}}.

Далее, из Малой теоремы Ферма следует, что

\text{[math]}

{\begin{aligned}g^{m}&\equiv g^{xr}g^{ks}\\&\equiv (g^{x})^{r}(g^{k})^{s}\\&\equiv (y)^{r}(r)^{s}{\pmod {p}}.\\\end{aligned}}

ПримерПравить

Подпись сообщения.
1. Допустим,что нужно подписать сообщение $\text{[math]}$ $\text{[math]}$ $M=baaqab$ .
2. Произведем генерацию ключей:
  1. Пусть $\text{[math]}$ $\text{[math]}$ $p=23$ $\text{[math]}$ $\text{[math]}$ $g=5$ переменные, которые известны некоторому сообществу.
  2. Секретный ключ $\text{[math]}$ $\text{[math]}$ $x=7$ — случайное целое число $\text{[math]}$ $\text{[math]}$ $x$ такое, что $\text{[math]}$ $\text{[math]}$ $1<x<p$ .
  3. Вычисляем открытый ключ $\text{[math]}$ $\text{[math]}$ $y$ : $\text{[math]}$ $\text{[math]}$ $y=g^{x}{\bmod {p}}=5^{7}{\bmod {2}}3=17$ .
  4. Итак,открытым ключом является тройка $\text{[math]}$ $\text{[math]}$ $(p,g,y)=(23,5,17)$ .
3. Теперь вычисляем хеш-функцию: $\text{[math]}$ $\text{[math]}$ $h(M)=h(baaqab)=m=3$ .
4. Выберем случайное целое число $\text{[math]}$ $\text{[math]}$ $k$ такое, что выполняется условие $\text{[math]}$ $\text{[math]}$ $1<k<p-1$ . Пусть $\text{[math]}$ $\text{[math]}$ $k=5$ .
5. Вычисляем $\text{[math]}$ $\text{[math]}$ $r=g^{k}{\bmod {p}}=5^{5}{\bmod {2}}3=20$ .
6. Находим $\text{[math]}$ $\text{[math]}$ $k^{-1}$ . Такое число существует, так как НОД $\text{[math]}$ $\text{[math]}$ $(k,p-1)=1$ . Его можно найти с помощью расширенного алгоритма Евклида. Получим $\text{[math]}$ $\text{[math]}$ $k^{-1}=5^{-1}{\pmod {22}}=9$
7. Находим число $\text{[math]}$ $\text{[math]}$ $s\,\equiv \,(m-xr)k^{-1}{\pmod {p-1}}$ . Получим $\text{[math]}$ $\text{[math]}$ $s=21$ , так как $\text{[math]}$ $\text{[math]}$ $s=\,(3-7\cdot 20)5^{-1}{\pmod {22}}=21$
8. Итак, мы подписали сообщение: $\text{[math]}$ $\text{[math]}$ $<baaqab,20,21>$ .

Проверка подлинности полученного сообщения.
1. Вычисляем хеш-функцию: $\text{[math]}$ $\text{[math]}$ $h(M)=h(baaqab)=m=3$ .
2. Проверяем сравнение $\text{[math]}$ $\text{[math]}$ $y^{r}\cdot r^{s}{\pmod {p}}\equiv g^{m}{\pmod {p}}$ .
3. Вычислим левую часть по модулю 23: $\text{[math]}$ $\text{[math]}$ $17^{20}\cdot 20^{21}{\bmod {2}}3=16\cdot 15{\bmod {2}}3=10$ .
4. Вычислим правую часть по модулю 23: $\text{[math]}$ $\text{[math]}$ $5^{3}{\bmod {2}}3=10$ .
5. Так как правая и левая части равны, то это означает что подпись верна.

Главным преимуществом схемы цифровой подписи Эль-Гамаля является возможность вырабатывать цифровые подписи для большого числа сообщений с использованием только одного секретного ключа. Чтобы злоумышленнику подделать подпись, ему нужно решить сложные математические задачи с нахождением логарифма в поле

\text{[math]}

\mathbb {Z} _{p}

. Следует сделать несколько комментариев:

Случайное число $\text{[math]}$ $\text{[math]}$ $k$ должно сразу после вычисления подписи уничтожаться, так как если злоумышленник знает случайное число $\text{[math]}$ $\text{[math]}$ $k$ и саму подпись, то он легко может найти секретный ключ по формуле: $\text{[math]}$ $\text{[math]}$ $x=(m-ks)r^{-1}{\bmod {(}}p-1)$ и полностью подделать подпись.

Число $\text{[math]}$ $\text{[math]}$ $k$ должно быть случайным и не должно дублироваться для различных подписей, полученных при одинаковом значении секретного ключа.

Использование свертки $\text{[math]}$ $\text{[math]}$ $m=h(M)$ объясняется тем,что это защищает подпись от перебора сообщений по известным злоумышленнику значениям подписи. Пример: если выбрать случайные числа $\text{[math]}$ $\text{[math]}$ $i, j$ ,удовлетворяющие условиям $\text{[math]}$ $\text{[math]}$ $0<i<{p-1},0<j<{p-1}$ , НОД(j,p-1)=1 и предположить что
$\text{[math]}$ $\text{[math]}$ $r=g^{i}\cdot y^{-j}{\bmod {p}}$

$\text{[math]}$ $\text{[math]}$ $s=r\cdot j^{-1}{\bmod {(}}p-1)$

$\text{[math]}$ $\text{[math]}$ $m=r\cdot i\cdot j^{-1}{\bmod {(}}p-1)$

то легко удостовериться в том,что пара $\text{[math]}$ $\text{[math]}$ $(r,s)$ является верной цифровой подписью для сообщения $\text{[math]}$ $\text{[math]}$ $x=M$ .

Цифровая подпись Эль-Гамаля стала примером построения других подписей, схожих по своим свойствам. В их основе лежит выполнение сравнения: $\text{[math]}$ $\text{[math]}$ $y^{A}\cdot r^{B}=g^{C}(modp)$ , в котором тройка $\text{[math]}$ $\text{[math]}$ $(A,B,C)$ принимает значения одной из перестановок ±r, ±s и ±m при каком-то выборе знаков. Например, исходная схема Эль-Гамаля получается при $\text{[math]}$ $\text{[math]}$ $A=r$ , $\text{[math]}$ $\text{[math]}$ $B=s$ , $\text{[math]}$ $\text{[math]}$ $C=m$ .На таком принципе построения подписи сделаны стандарты цифровой подписи США и России. В американском стандарте DSS (Digital Signature Standard), используется значения $\text{[math]}$ $\text{[math]}$ $A=r$ , $\text{[math]}$ $\text{[math]}$ $B=-s$ , $\text{[math]}$ $\text{[math]}$ $C=m$ , а в Российском стандарте: $\text{[math]}$ $\text{[math]}$ $A=-x$ , $\text{[math]}$ $\text{[math]}$ $B=-m$ , $\text{[math]}$ $\text{[math]}$ $C=s$ .
Еще одним из преимуществ является возможность уменьшения длины подписи с помощью замены пары чисел $\text{[math]}$ $\text{[math]}$ $(s,m)$ на пару чисел $\text{[math]}$ $\text{[math]}$ $(s{\bmod {q}},m{\bmod {q}}$ ),где $\text{[math]}$ $\text{[math]}$ $q$ является каким-то простым делителем числа $\text{[math]}$ $\text{[math]}$ $(p-1)$ . При этом сравнение для проверки подписи по модулю $\text{[math]}$ $\text{[math]}$ $p$ нужно заменить на новое сравнение по модулю $\text{[math]}$ $\text{[math]}$ $q$ : $\text{[math]}$ $\text{[math]}$ $(~y^{A}\cdot r^{B}){\bmod {p}}=g^{C}{\pmod {q}}$ . Так сделано в американском стандарте DSS (Digital Signature Standard).

Криптостойкость и особенностиПравить

В настоящее время криптосистемы с открытым ключом считаются наиболее перспективными. К ним относится и схема Эль-Гамаля, криптостойкость которой основана на вычислительной сложности проблемы дискретного логарифмирования, где по известным p, g и y требуется вычислить x, удовлетворяющий сравнению:

\text{[math]}

y\equiv g^{x}{\pmod {p}}.

ГОСТ Р34.10-1994, принятый в 1994 году в Российской Федерации, регламентировавший процедуры формирования и проверки электронной цифровой подписи, был основан на схеме Эль-Гамаля. С 2001 года используется новый ГОСТ Р 34.10-2001, использующий арифметику эллиптических кривых, определенных над простыми полями Галуа. Существует большое количество алгоритмов, основанных на схеме Эль-Гамаля: это алгоритмы DSA, ECDSA, KCDSA, схема Шнорра.

Сравнение некоторых алгоритмов:

Алгоритм	Ключ	Назначение	Криптостойкость, MIPS	Примечания
RSA	До 4096 бит	Шифрование и подпись	2,7•10²⁸ для ключа 1300 бит	Основан на трудности задачи факторизации больших чисел; один из первых асимметричных алгоритмов. Включен во многие стандарты
ElGamal	До 4096 бит	Шифрование и подпись	При одинаковой длине ключа криптостойкость равная RSA, т.е. 2,7•10²⁸ для ключа 1300 бит	Основан на трудной задаче вычисления дискретных логарифмов в конечном поле; позволяет быстро генерировать ключи без снижения стойкости. Используется в алгоритме цифровой подписи DSA-стандарта DSS
DSA	До 1024 бит	Только подпись		Основан на трудности задачи дискретного логарифмирования в конечном поле; принят в качестве гос. стандарта США; применяется для секретных и несекретных коммуникаций; разработчиком является АНБ.
ECDSA	До 4096 бит	Шифрование и подпись	Криптостойкость и скорость работы выше, чем у RSA	Современное направление. Разрабатывается многими ведущими математиками

ПримечанияПравить

↑ Elgamal, 1985.

ЛитератураПравить

Elgamal T. A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms, A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms (англ.) // IEEE Trans. Inf. Theory / F. Kschischang — IEEE, 1985. — Vol. 31, Iss. 4. — P. 469—472. — ISSN 0018-9448; 1557-9654 — doi:10.1109/TIT.1985.1057074; doi:10.1007/3-540-39568-7_2
Алфёров А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии.^{[уточнить]}
Б. А. Фороузан. Схема цифровой подписи Эль-Гамаля // Управление ключами шифрования и безопасность сети / Пер. А. Н. Берлин. — Курс лекций.
Menezes A. J., Oorschot P. v., Vanstone S. A. 11.5.2 The ElGamal signature scheme // Handbook of Applied Cryptography (англ.) — CRC Press, 1996. — 816 p. — (Discrete Mathematics and Its Applications) — ISBN 978-0-8493-8523-0

[_9096049fb2527be9-1] Elgamal, 1985.

[1]