KCDSA

KCDSA ( Korean Certificate-based Digital Signature Algorithm ) är en digital signaturalgoritm skapad av ett team som leds av Korea Internet & Security Agency ( KISA). Det är en ElGamal- variant som liknar Digital Signature Algorithm och GOST R 34.10-94. Standardalgoritmen är implementerad över ${\displaystyle GF(p)}$ , men en elliptisk kurvvariant ( EC-KCDSA specificeras också.

KCDSA kräver en kollisionsbeständig kryptografisk hashfunktion som kan producera en utdata i variabel storlek (från 128 till 256 bitar, i 32-bitars steg). HAS-160 , en annan koreansk standard, är det föreslagna valet.

Domänparametrar

• ${\displaystyle p}$ : ett stort primtal så att ${\displaystyle |p|=512+256i}$ för ${\displaystyle i=0,1,\dots ,6}$ .
• ${\displaystyle q}$ : en primfaktor av ${\displaystyle p-1}$ så att ${\displaystyle |q|=128+32j}$ för ${\displaystyle j=0,1,\dots ,4}$ .
• ${\displaystyle g}$ : ett baselement av ordningen ${\displaystyle q}$ i ${\displaystyle \operatorname {GF} (p)}$ .

Den reviderade versionen av tilläggsspecifikationen kräver antingen att ${\displaystyle (p-1)/q2}$ är primtal eller att alla dess primtalsfaktorer är större än ${\displaystyle q}$ .

Användarparametrar

• ${\displaystyle x}$ : undertecknarens privata signaturnyckel så att ${\displaystyle 0<x<q}$ .
• ${\displaystyle y}$ : undertecknarens offentliga verifieringsnyckel beräknad av ${\displaystyle y=g^{\bar {x}}{\pmod {p}},}$ där ${\displaystyle {\bar {x}}=x^{-1}{\pmod {q}}}$ .
• ${\displaystyle z}$ : ett hash-värde av Cert Data , dvs. ${\displaystyle z=h({\text{Cert Data}})}$ .

Specifikationen från 1998 är oklart om det exakta formatet för "Cert Data". I den reviderade specifikationen definieras z som de nedre B-bitarna i den publika nyckeln y, där B är blockstorleken för hashfunktionen i bitar (typiskt 512 eller 1024). Effekten är att det första ingångsblocket motsvarar y mod 2^B.

• ${\displaystyle z}$ : de nedre B-bitarna av y.

Hash-funktion

• ${\displaystyle h}$ : en kollisionsbeständig hashfunktion med |q|-bitars sammandrag.

Signering

För att signera ett meddelande ${\displaystyle m}$ :

• Signeraren väljer slumpmässigt ett heltal ${\displaystyle 0<k<q}$ och beräknar ${\displaystyle w=g^{k}\mod {p}}$
• Beräknar sedan den första delen: ${\displaystyle r=h(w)}$
• Beräknar sedan den andra delen: ${\displaystyle s=x(kr\oplus h(z\parallel m)){\pmod {q}} }$
• Om ${\displaystyle s=0}$ måste processen upprepas från början.
• Signaturen är ${\displaystyle (r,s)}$

Specifikationen är vag när det gäller hur heltalet ${\displaystyle w}$ ska omtolkas som en bytesträng som matas in till hashfunktionen. I exemplet i avsnitt C.1 överensstämmer tolkningen med ${\displaystyle r=h(I2OSP(w,|q|/8)) }$ med definitionen av I2OSP från PKCS#1/RFC3447.

Verifierar

För att verifiera en signatur ${\displaystyle (r,s)}$ på ett meddelande ${\displaystyle m}$ :

• Verifieraren kontrollerar att ${\displaystyle 0\leq r<2^{|q|}}$ och ${\displaystyle 0<s<q}$ och avvisar signaturen som ogiltig om inte.
• Verifierare beräknar ${\displaystyle e=r\oplus h(z\parallel m)}$
• Verifieraren kontrollerar om ${\displaystyle r=h(y^{s}\cdot g^{e}\mod {p})}$ . Om så är fallet är signaturen giltig; annars är det inte giltigt.

externa länkar

• KCDSA specifikation och analys