KCDSA

KCDSA (Корейський алгоритм цифрового підпису на основі сертифіката) — це алгоритм цифрового підпису, створений групою під керівництвом Шаблон:Iw (KISA). Це варіант ElGamal, аналогічний Алгоритму цифрового підпису та Шаблон:Iw. Стандартний алгоритм реалізовано над ${\displaystyle GF(p)}$, але також вказано варіант на еліптичних кривих (EC-KCDSA).

Для KCDSA потрібна колізійно стійка криптографічна хеш-функція, яка може створювати вихідні дані змінного розміру (від 128 до 256 біт із кроком 32 біт). Шаблон:Iw, інший корейський стандарт, є запропонованим вибором.

• ${\displaystyle p}$ : велике просте таке, що ${\displaystyle |p|=512+256i}$ для ${\displaystyle i=0,1,\dots ,6}$ .
• ${\displaystyle q}$ : основний множник ${\displaystyle p-1}$ такий, що ${\displaystyle |q|=128+32j}$ для ${\displaystyle j=0,1,\dots ,4}$ .
• ${\displaystyle g}$ : базовий елемент порядку ${\displaystyle q}$ в ${\displaystyle \mathrm{GF}(p)}$ .

• ${\displaystyle x}$ : особистий ключ підпису підписувача такий, що ${\displaystyle 0<x<q}$ .
• ${\displaystyle y}$ : відкритий ключ перевірки підписувача, обчислений ${\displaystyle y=g^{\overline{x}}(\mathrm{mod}p),}$ де ${\displaystyle \overline{x}=x^{-1}(\mathrm{mod}q)}$ .
• ${\displaystyle z}$ : хеш-значення даних сертифіката, тобто ${\displaystyle z=h(\text{Cert Data})}$ .

У специфікації 1998 року неясно, який саме формат «Даних сертифіката». У переглянутій специфікації z визначається як B нижніх бітів відкритого ключа y, де B — розмір блоку хеш-функції в бітах (зазвичай 512 або 1024). Ефект полягає в тому, що перший вхідний блок відповідає y mod 2^B.

• ${\displaystyle z}$ : молодші B бітів y.

• ${\displaystyle h}$ : колізійно стійка хеш-функція з |q|-бітовими дайджестами.

• Підписувач навмання вибирає ціле число ${\displaystyle 0<k<q}$ і обчислює ${\displaystyle w=g^{k}modp}$
• Потім обчислює першу частину: ${\displaystyle r=h(w)}$
• Потім обчислює другу частину: ${\displaystyle s=x(k-r\oplus h(z\parallel m))(\mathrm{mod}q)}$
• Якщо ${\displaystyle s=0}$, процес потрібно повторити спочатку.
• Підписом є кортеж ${\displaystyle (r,s)}$

• Верифікатор перевіряє це ${\displaystyle 0\le r<2^{|q|}}$ і ${\displaystyle 0<s<q}$ і відхиляє підпис як недійсний, якщо ні.
• Верифікатор обчислює ${\displaystyle e=r\oplus h(z\parallel m)}$
• Потім він перевіряє, чи ${\displaystyle r=h(y^s\cdot g^{e}modp)}$

• Специфікація та аналіз KCDSA