ElGamal签名方案的安全性分析与改进[收稿日期]2007311226[作者简介]芦殿军(19702),男,11012年大学毕业副教授,现主要从事代数组合与密码学方面的教学与研究工作。ElGamal签名方案的安全性分析与改进芦殿军,张秉儒(青海师范大学数学与信息科学系,青海西宁810108)[摘要]通过对ElGamal签名方案的描述,分析了两种对ElGamal签名体制的伪造攻击方法和两种条件伪造攻击方法,提出了使用该体制的几种失败可能,且作了一些相应的改进,提高了ElGamal签名方案的运算效率。[关键词]ElGamal体制;ElGamal签名方案;安全性分析;伪造攻击[]TN911133[文献标识码]A[]167321409(2022)012N193202自1976年Diffie和Hellman发表了《密码学新方法》之后,多种密码算法相继出现,目前公认比较安全和有效的公钥算法体制主要有RSA体制,离散对数体制及椭圆曲线体制等。它们具有数字签名,认证和鉴别等多种功能,并且保密性强,密钥管理方便,特别适合于现代保密通讯的需要。而数字签名作为一项重要的安全技术,在保证数据的完整性,可用性,保密性,可控性方面,特别是在大型网络安全通信中的密钥分配,认证以及电子商务系统中起着极其重要的作用。随着电子商务的兴起,如何有效地进行信息保护已成为一个研究热点,而---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---ElGamal签名方案就是实现信息保护的一种有效手段,但在实际应用中也存在一些不足。笔者分析了几种对ElGamal签名体制的攻击方法,作出了一些相应的改进,以提高其运算效率。ElGamal签名体制[1]是由T1ElGamal在11015年提出的。其修正形式已被美国NIST作为数字签名标准DSS[2],同时它又是Rabin体制[3]的一种变形。ElGamal签名方案像ElGamal公钥密码体制一样是非确定性的,这就意味着对任何给定的消息,有许多个有效的签名,验证算法必须能接受合法的有效签名中的任何一个,其安全性依赖于计算有限域上离散对数这一难题。ElGamal签名方案描述如下:设p是一个素数,它满足在Zp中离散对数问题是难解的,α∈Z3p是一个本原元,P=Z3p,A=Zq×Zq,定义:K={(p,α,a,β):β=αa(modp)}值p,α和β是公开的,a是保密的。对K=(p,α,a,β)和一个(秘密)随机数k,定义:sigk(x,k)=(γ,δ)γ=αkmodpδ=(x-aγ)k-1mod(p-1)1≤k≤q-1对x,γ∈Z3p和δ∈Zp-1,定义:verk(x,γ,δ)=真Ζβγγδ≡αx(modp)1ElGamal签名方案的安全性分析假设攻击者(Oscar)在不知道a的情况下企图伪造一个给定消息x的签名。如果Oscar选择一个值γ,然后企图找到相应的δ,他必须计算离散对数logαxβ-γγ。另外,他如果首先选择δ,然后企图找到γ,他就试图“解”一个未知数γ的方程βγγδ≡αx(modp),这又是一个已知的没有可行解法的问题,如果Oscar选择一个γ和δ,然后企图解出x,他---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---将再次面临离散对数问题logβγγδa。因此,Oscar利用这种方式不能签名一个“随机”消息,然而该方案不能排除某些特定的攻击方法。111伪造攻击1Oscar同时选择γ,δ和x来签名一个随机消息:设i和j(0≤i,j≤p-2)是整数,且共产党(j,p-1)=1。利用逐步搜索法完成下列计算:?391?长江大学学报(自然科学版)2022年3月第5卷第1期:理工JournalofYangtzeUniversity(NatSciEdit)Mar12022,Vol15No11:SciEng[收稿日期]2007311226[作者简介]芦殿军(19702),男,11012年大学毕业副教授,现主要从事代数组合与密码学方面的教学与研究工作。ElGamal签名方案的安全性分析与改进芦殿军,张秉儒(青海师范大学数学与信息科学系,青海西宁810108)[摘要]通过对ElGamal签名方案的描述,分析了两种对ElGamal签名体制的伪造攻击方法和两种条件伪造攻击方法,提出了使用该体制的几种失败可能,且作了一些相应的改进,提高了ElGamal签名方案的运算效率。[关键词]ElGamal体制;ElGamal签名方案;安全性分析;伪造攻击[]TN911133[文献标识码]A[]167321409(2022)012N193202自1976年Diffie和Hellman发表了《密码学新方法》之后,多种密码算法相继出现,目前公认比较安全和有效的公钥算法体制主要有RSA体制,离散对数体制及椭圆曲线体制等。它们具有数字签名,认证和鉴别等多种功能,并且保...