现代密码学概论教学全套课件6 离散对数与数字签名.pptxVIP

现代密码学概论;第6讲 离散对数与数字签名;Merkle的背包(knapsack)问题;易解的背包问题——超递增背包;转换背包;基于背包问题的公钥密码系统 ——MH公钥算法;背包密码系统的意义;Diffie-Hellman密钥交换协议;;执行Diffie-Hellman密钥交换协议应注意的问题;Diffie-Hellman密钥交换;中间人攻击——处于A、B通信中间的主动攻击者能够利用协议的消息以达到成功的攻击;中间人攻击图示;Diffie-Hellman密钥交换的攻击;Diffie-Hellman问题和离散对数问题;ElGamal密码体制;密码体制 Zp*上的ElGamal公钥密码体制 素数p，使得(Zp*, ·)上的离散对数问题是难处理的，令?∈Zp*是一个本原元 令P= Zp*,C=Zp*×Zp*, 定义 K={(p,?,a,?): ?≡?a (mod p)} p,?,?是公钥， a是私钥。 对K=(p,?,a,?),及一个(秘密)随机数k∈Zp-1 ,定义 eK(x,k)=(y1,y2) 其中： y1= ?k mod p y2=x?k mod p 对y1,y2∈Zp* ，定义 dK(y1,y2)=y2(y1a) -1 mod p ;例：p=2579，?=2为Zp*本原元 令a=765，?=2756 mod 2579 = 949 Alice: x=1299, 随机选择k=853 y1=2853 mod 2579 y2=1299×949853 mod 2579 =2396 发送密文y=(y1，y2)=(435,2396)给Bob Bob 收到密文y=(435,2396) x=2396×(435765)-1 mod 2579 =1299 如果Oscar可计算a=log??，则ElGamal密码体制不安全。 一般地，p至少取300位十进制数，p-1具有至少一个较大的素因子。;离散对数问题的算法;Shanks算法;Pollard ?离散对数算法;算法 Pollard ?离散对数算法(G,n,?,?) procedure f(x,a,b) if x∈S1 then f←(?x,a,(b+1) mod n) else if x∈S2 then f←(x2, 2a mod n, 2b mod n) else f←(?x, (a+1) mod n, b) return(f) main 定义划分G=S1∪S2∪S3 (x,a,b) ←f(1,0,0) (x’,a’,b’) ←f(x,a,b) while x≠x’ do (x,a,b) ←f(x,a,b) (x’,a’,b’) ←f(x’,a’,b’) (x’,a’,b’) ←f(x’,a’,b’) if gcd(b’-b,n) ≠1 then return(“failure”) else return(“(a-a’)(b’-b)-1 mod n”);Pohlig-Hellman算法;算法 Pohlig-Hellmen(G,n,?,?,q.c) j←0 ?j← ? while j≤c-1 do ?← 找到满足?= ?in/q的i aj←i ?j+1← j←j+1 return(a0,a1,…,ac-1);指数演算法;例：p=10007, ?=5为本原元，作为模p的离散对数的基 取B={2,3,5,7} , log55=1 x=4063: 54063 mod 10007=42=2×3×7 log52+log53+log57≡4063 (mod10006) x=5136: 55136 mod 10007=54=2×33 log52+3log53+log57≡5136 (mod10006) x=9865: 59865 mod 10007=189=33×7 3log53+log57≡9865 (mod10006) log52=6578, log53=6109, log57=1301 求log59451: 随机取s=7736 9541×57736 mod 1