Опубликован: 19.01.2010 | Уровень: специалист | Доступ: платный
Лекция 15:

Криптосистемы

< Лекция 14 || Лекция 15: 1234567

Безопасность криптосистемы Эль-Гамаля

Ранее были упомянуты две атаки на криптосистему Эль-Гамаля — атаки, основанные на малом значении модуля, и атаки знания исходного текста.

Атаки малого модуля

Если значение модуля p не является достаточно большим, Ева может использовать некоторые эффективные алгоритмы, чтобы решить проблему дискретного логарифма и найти d или r. Если p мало, Ева может просто найти d = loge1e2 mod p и сохранить его, чтобы расшифровать любое сообщение, передаваемое Бобу. Это может быть сделано единожды и работать, пока Боб использует те же самые ключи. Ева может также использовать значение случайного числа r, применяемого Алисой в каждой передаче r = loge1C1 mod p. Оба этих случая подчеркивают, что безопасность криптосистемы Эль-Гамаля зависит от решения проблемы дискретного логарифма с очень большим модулем. Поэтому рекомендовано, что p должны быть по крайней мере 1024 бита ( 300 десятичных цифр).

Атака знания исходного текста

Когда Алиса использует одно и то же значение случайного показателя степени r для того, чтобы зашифровать два исходных текста P и P', Ева обнаруживает P', если она знает P. Предположим, что {C_2} = P \times ({e_2}^r)\bmod {\text{ }}p и {C'_2} = P' \times ({e_2}^r)\bmod {\text{ }}p. Ева находит P', используя следующие шаги:

  1. ({e_2}^k) = {C_2} \times {P^{ - 1}}\bmod p.
  2. P' = C{'_2} \times {({e_2}^k)^{ - 1}}\bmod p.

Поэтому рекомендовано, чтобы Алиса брала при каждой передаче новое значение r, чтобы сорвать атаки.

Чтобы криптосистема Эль-Гамаля была безопасной, модуль p должен содержать по крайней мере 300 десятичных цифр, новых для каждой шифровки.

Пример 15.4

Вот более реальный пример. Боб использует случайное целое число длиной 512 битов (идеально — 1024 ) и целое число p длиной 155 цифр (идеал — 300 цифр). Боб выбирает e1 и d, затем вычисляет e2, как показано ниже; Боб объявляет (e1, e2, p) как свой открытый ключ и d как секретный ключ доступа.

p = 1153489927256167624492531371701433174049009453260983495981434692
19056898698622645932129754737871895144368891765264730936159299937
28061165964347353440008577
___________________________________________________________________
e1= 2
___________________________________________________________________
d = 1007
___________________________________________________________________
e2 = 9788641304300918950876685693809773904388006288733768761002206223
32554507074156189212318317704610141673360150884132940857248537703
1582066010072558707455

Алиса имеет исходный текст P = 3200, чтобы передать Бобу. Она выбирает r = 545131, вычисляет C1 и C2 и передает их Бобу.

P = 3200
r = 545131
_____________________________________________________________________
C1 = 8872970693835284710225704714922756631202600672565621250181883514
29417223599712681114105363661705173051581533189165400973736355080
295736788569060619152881
_____________________________________________________________________
C2 = 7084543330489299445770160123807949995674360218361924469617745069
2124469615516580077945559308034588961440240859952591957920972162
88796813505827795664302950

Боб вычисляет исходный текст P{\text{ }} = {C_2} \times {({C_1}^d)^{ - 1}}\bmod p{\text{ }} = 3200\bmod p

P = 3200

Приложение

Криптосистема Эль-Гамаля может использоваться всякий раз, когда может использоваться RSA. Она применяется для замены ключей, установления подлинности, шифрования и дешифрования маленьких сообщений.

< Лекция 14 || Лекция 15: 1234567
Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Дмитрий Плешаков
Дмитрий Плешаков

Здравствуйте. На данныйц момент я изучаю курс Математика криптографии и теория шифрования. Стоимость обучения на данном курсе указана 1 руб., но, при этом доступ к лекциям указан платный. Не могли бы Вы прояснить данный момент, и, если доступ платный, какова стоимость лекций и общая стоимость курса.

Заранее благодарен.

Сергей Христовский
Сергей Христовский
Россия, Омск
Александр Шумаев
Александр Шумаев
Россия