Υπογραφή ElGamal

Οι υπογραφές ElGamal βασίζονται στη μη υπολογισιμότητα του προβλήματος του διακριτού λογαρίθμου σε ένα πεπερασμένο πεδίο: είναι εύκολο να υψωθεί ένας ακέραιος ${\displaystyle g}$ σε μια δύναμη ${\displaystyle x}$, αλλά είναι δύσκολο να υπολογιστεί το ${\displaystyle x}$ απο το ${\displaystyle g^x}$.^[1] Για τη δημιουργία κλειδιών, κάθε οντότητα ${\displaystyle A}$ τρέχει τον παρακάτω βασικό αλγόριθμο για το σχήμα ElGamal:

1. Επίλεξε ένα μεγάλου μεγέθους πρώτο αριθμό ${\displaystyle p}$ και ένα γεννήτορα ${\displaystyle g}$ για μια ομάδα ${\displaystyle {\mathbb{Z}}_p^{*}}$.
2. Επίλεξε έναν τυχαίο αριθμό ${\displaystyle x}$, τέτοιον ώστε ${\displaystyle 1\le x\le p-2}$.
3. Υπολόγισε ${\displaystyle y=g^{x}modp}$.

Το δημόσιο κλειδί του ${\displaystyle A}$ είναι το ${\displaystyle E_A=(p,g,y)}$ και το ιδιωτικό του κλειδί είναι το ${\displaystyle D_A=x}$.

Για την κρυπτογράφηση ενός μηνύματος ${\displaystyle m}$ για τη ${\displaystyle B}$, η ${\displaystyle A}$ αποκτά το

${\displaystyle E_B}$ και εκτελεί τον παρακάτω αλγόριθμο:

1. Αναπαράστησε το ${\displaystyle m}$ με ένα σύνολο απο τμήματα ${\displaystyle m_i}$, το καθένα στο διάστημα ${\displaystyle [0,p-1]}$.
2. Διάλεξε έναν τυχαίο ακέραιο ${\displaystyle k}$, τέτοιον ώστε ${\displaystyle 1\le k\le p-2}$.
3. Υπολόγισε το ${\displaystyle a=g^{k}modp}$ και ${\displaystyle b=m_i{y}^{k}modp}$.

Το κρυπτογράφημα για τη ${\displaystyle B}$ είναι τα ${\displaystyle (a,b)}$. Η ${\displaystyle B}$ αποκρυπτογραφεί κάθε ένα από τα ${\displaystyle (a,b)}$, το οποίο είναι δυο φορές το μέγεθος του αρχικού μηνύματος,^[2] χρησιμοποιώντας το ${\displaystyle D_B}$ και εκτελώντας:

1. Υπολόγισε το ${\displaystyle a^{p-1-x}modp}$.
2. Υπολόγισε το ${\displaystyle m_i=a^{-x}bmodp}$.

Το σπάσιμο της κρυπτογράφησης ElGamal είναι ισοδύναμο με το να λυθεί το πρόβλημα του διακριτού λογάριθμου. Παρ'όλα αυτά, ο τυχαίος αριθμός ${\displaystyle k}$ πρέπει να επιλεχθεί διαφορετικός και ανεξάρτητα για διαφορετικές κρυπτογραφήσεις. Αλλιώς, η πιθανή γνώση του μηνύματος θα μπορούσε να οδηγήσει στην ανάκτηση άλλων μηνυμάτων που κρυπτογραφήθηκαν με το ίδιο ${\displaystyle k}$.

Η υπογραφή ElGamal είναι ένα τυχαίο σχήμα και δημιουργεί υπογραφές με προσθήκη, χρησιμοποιώντας μια μονόδρομη συνάρτηση σύνοψης ${\displaystyle h:\{0,1{\}}^{*}\to {\mathbb{Z}}_p}$. Για να υπογράψει ένα μήνυμα ${\displaystyle m}$ οποιουδήποτε μήκους, ο ${\displaystyle A}$ εκτελεί τον παρακάτω αλγόριθμο με το ιδιωτικό του κλειδί ${\displaystyle D_A}$:

1. Επέλεξε έναν τυχαίο ακέραιο ${\displaystyle k}$, τέτοιον ώστε ${\displaystyle 1\le k\le p-2}$ και ${\displaystyle gcd(k,p-1)=1}$. Ο ${\displaystyle k}$ πρέπει να κρατηθεί μυστικός.
2. Υπολόγισε ${\displaystyle r=g^{k}modp}$.
3. Υπολόγισε ${\displaystyle k^{-1}mod(p-1)}$.
4. Υπολόγισε ${\displaystyle s=k^{-1}(h(m)-xr)mod(p-1)}$.

To ζεύγος ${\displaystyle (r,s)}$ είναι η υπογραφή του ${\displaystyle A}$ στο ${\displaystyle m}$. ^[3]Οποιαδήποτε άλλη οντότητα που έχει το ${\displaystyle E_A}$ μπορεί να επιβεβαιώσει την υπογραφή με τα παρακάτω βήματα:

1. Επιβεβαίωσε ότι ${\displaystyle 1\le r\le p-1}$, αλλιώς απόρριψε την υπογραφή.
2. Υπολόγισε ${\displaystyle u_1=y^r{r}^{s}modp}$.
3. Υπολόγισε ${\displaystyle h(m)}$.
4. Υπολόγισε ${\displaystyle u_2=g^h(m)modp}$.
5. Έλεγξε αν ${\displaystyle u_1=u_2}$. Αν ναι, αποδέξου την υπογραφή.

Η επιβεβαίωση μιας υπογραφής ElGamal είναι πιο αργή απο αυτή μιας υπογραφής RSA με μικρό εκθέτη. Είναι δυνατόν να γίνουν η ύψωση σε δύναμη με υπόλοιπο και ο Ευκλείδειος Αλγόριθμος(Βήματα 2 και 3 της Δημιουργίας Υπογραφής) εκ των προτέρων. Παρ'όλα αυτά η επιβεβαίωση θα παραμείνει σημαντικά πιο αργή απο αυτή του RSA. Συνιστάται η χρήση υπολοίπου ${\displaystyle p}$ μήκους 1024 bits ή μεγαλύτερου.

• Σύγχρονη κρυπτογραφία θεωρία και εφαρμογές,MIKE BURMESTER, ΣΤΕΦΑΝΟΣ ΓΚΡΙΤΖΑΛΗΣ, ΣΩΚΡΑΤΗΣ ΚΑΤΣΙΚΑΣ, ΒΑΣΙΛΕΙΟΣ ΧΡΥΣΙΚΟΠΟΥΛΟΣ, ΑΘΗΝΑ 2011
• Handbook of Applied Cryptography, A. Menezes, S. Vastone, October 1996