У цьому прикладі використовувана геш-функція фіксована, відома всім об’єктам проблемної області, і отже, геш-ідентифікатори не вимагаються. Геш-атрибути Н, і Н2 створють за допомогою SHA-1. Інший геш-атрибут Н3 обчислюють за допомогою наступної функції h з двома 160-бітовими входами, на виході якої є 80-бітовий результат.
И і/) = {(и-! © и2) + (Уі © v2)} mod 280
для u = u- ‘280 + u2 і v = Л| -280 + v2, де Є — побітова операція «виключне чи».
Параметри проблемної області, особистий ключ підпису і перевірковий ключ ті самі, що й у А.1.
А.ЗЛ Процес підписування
А.3.1.1 Створювання попереднього підпису
Підписувач виробляє рандомізатор, що е випадковим чи псевдовипадковим цілим числом К, таким, що 0 < К < N. У цьому прикладі використовують 1024-бітовий рандомізатор К та, відповідно, попередній підпис П з А.2.1.1.
Ні попередньо обчислюють і зберігають у пам’яті, щоб більш ефективно обчислювати свідоцтво.
Ні = геш-атрибут попереднього підпису П =
7В2В1483 46B8D0B0 F42C762B FE83D691 С9ВС3841
А.ЗЛ .2 Гзтування повідомлення
У цьому прикладі повідомлення таке саме, як у А.2.1.2.
Н = геш-атрибут повідомлення М =
A9D66D4B 652597FB 32DD1092 E7C9CDE1 8F0C7FBC
А.3.1.3 Обчислювання свідоцтва і першої частини підпису
У цьому прикладі свідоцтво утворить першу частину підпису.
R - Н2 = геш-атрибут Ні Н =
D6149DF3 DA7E60EA 817CAADE D2F9F785 8800903F
А.3.1.4 Обчислювання призначення
Призначення Т є результатом обчислювання геш-атрибута Н3 для даних R [| Н.
T = h(HR)= 360Є D98CD6C0 01Е15ЕА4
А.3.1.5 Обчислювання другої частини підпису Другу частину S підпису обчислюють у такий спосіб. S = К ■ ХТ mod N =
|
FA17252E |
94A3D992 |
С5СЕ7953 |
D0939F9E |
45А4АЕ8А |
|
A9F2B89F |
1345528F |
658959С9 |
В5В16Е92 |
9131A3A0 |
|
BFA8490C |
Е4652452 |
90ECCFDF |
73Е67220 |
7D34AFA0 |
|
F0B1C381 |
EDE82B2C |
2B2D520E |
4Е91ЕВ67 |
98922DF5 |
|
04В1883Е |
D7CD9AC3 |
1ЕЗЕ4Е99 |
FF2E57F9 |
ACE6F5E6 |
|
745А029Е |
1821081F |
02DB73ED |
6640А148 |
EF281E9B |
|
63E3B7E1 |
DA0E9AA9 |
|
|
|
Підпис S складається з двох частин (R, S).
А.3.2 Процес перевіряння
Перевірювачу доступні значення таких елементів даних:
N, V, Y,M,Z = (R, S).
А.3.2.1 Готування повідомлення
Н - геш-атрибут повідомлення М.
А.3.2.2 Відновлювання призначення
Призначення Т оновлюють обчислюванням геш-атрибута Н3 для даних RH:
T=h(RH).
А.3.2.3 Повторне обчислювання попереднього підпису
Перевірювач робить повторне обчислювання значення П =YT - S^mod N попереднього підпису. Якщо (Ут mod N) і (Sv mod N) обчислюють окремо, то їх подають у такий спосіб:
|
YT mod N = |
||||
|
390АВ7ЕВ |
69А80ЕЕ0 |
D382FFA6 |
6D6557B3 |
D17D68A4 |
|
CE2D67F1 |
FCF76F27 |
D660941A |
90941033 |
D3269612 |
|
DC989EA4 |
78257463 |
8C98ADEA |
F05DAC71 |
87А000ВЕ |
|
С7Е20991 |
9B0598D1 |
49В22923 |
6C45DF67 |
358E4DEF |
|
900DC37C |
8812СЕ7А |
D827A550 |
3703BC3C |
DE843E4E |
|
В12С7С16 |
DBB7AD5B |
97F4F0D9 |
D4918CA5 |
32060А48 |
|
Е58А9445 |
437318Е9 |
|
|
|
Sv mod N =
|
ЗА65050А |
97021Е9А |
8А6Е825А |
26EE068D |
EF06D046 |
|
0617D9FE |
ЗС577159 |
06C15DD0 |
2EBF8707 |
СС681798 |
|
373В4Е16 |
9А12А839 |
04B7CBAF |
D578BC4E |
7D0FD50D |
|
0С7Е549С |
СЕСС18ВА |
A198682F |
СВ46844А |
Е5С904Е4 |
|
А9003Е35 |
A0035D96 |
B170F5A7 |
Е1С5В285 |
4F66C7BD |
|
8132ЕВ24 |
A9F3EDF1 |
10ЕС1С02 |
377В0963 |
ACEFBB7B |
|
8А48243В |
F771D47F |
|
|
|
A.3.2.4 Повторне обчислювання свідоцтва і перевіряння свідоцтва Свідоцтво повторно обчислюють як ҐІ = YT■ mod N.
П = YT ■ Sv mod N = R.
Повторно обчислене свідоцтво таке саме, як і відновлене свідоцтво R.
А.4 Числовий приклад цифрових підписів, що відновлюють геш-код повідомлень, описаних у розділі 11
У цьому прикладі використовувана геш-функція фіксована, відома всім об’єктам проблемної області, отже, геш-ідентифікатори не потрібні. Геш-атрибут створюється за допомогою SHA-1.
Параметри проблемної області, особистий ключ підпису і перевірковий ключ такі самі, яку розділі А.1.
А.4.1 Процес підписування
А.4.1.1 Створювання попереднього підпису
Об’єкт виробляє рандомізатор, який є випадковим чи псевдовипадковим цілим числом К, таким, що 0 < К< N. У цьому прикладі використовують 1024-бітовий рандомізатор К і відповідний попередній підпис П, наведений в А.2.1.1.
А.4.1.2 Гзтування повідомлення
У цьому прикладі повідомлення таке саме, як в А.2.1.2. а його геш-атрибут Н такий самий, як вА.3.1.2.
Н = геш-атрибут повідомлення М.
А.4.1.3 Обчислювання свідоцтва і першої частини підпису
У цьому прикладі свідоцтво R утворить першу частину підпису.
R = П ■ Н mod N =
|
425DCEDD |
1D408F3F |
6633CEFE |
225B92DE |
920BE1AF |
|
BD2CE776 |
446410Е7 |
А08527ВС |
5ADA0DDD |
13С8В371 |
|
053FD48C |
69BD86FA |
1114ЕЕ0С |
698В7Е10 |
1662529С |
|
9B53662D |
64BCD974 |
4DCF5276 |
BF576154 |
407AB43F |
|
85ВСС21В |
2075В492 |
142А5724 |
464А6Е30 |
21777BD0 |
|
C5BBC02F |
7B93F42C |
07916DA7 |
1BD4D276 |
81D21D5A |
|
58F5A5AC |
D8C3A8EA |
|
|
|
А.4.1.4 Обчислювання призначення
У цьому прикладі призначення Т дорівнює R:
Т = R.
А.4.1.5 Обчислювання другої частини підпису
Другу частину S підпису обчислюють як: S = К ■ ХТ mod N =
|
3205Е60Е |
84ЕВ7АС6 |
28866B9D |
2СА2А080 |
D182BF95 |
|
27FE80D3 |
EC2EF3F9 |
F27F0FF3 |
4DCEC086 |
BDB0E072 |
|
08EDE468 |
E5C2F36C |
25452213 |
A3AD3731 |
3A518CF9 |
|
1DE84C4D |
25АА2АВ9 |
84D76885 |
СА9В8А2С |
DB388F1D |
|
139AA00F |
15340501 |
D6B1F867 |
D5313E2B |
60F64E34 |
|
F7650FED |
23С032ЕВ |
DDB82BD0 |
A5AB49FA |
CC5F5AAB |
|
AB17F14A |
180Е6А76 |
|
|
|
Підпис £ складається з двох частин (R, S).
А.4.2 Процес перевіряння
Перевірювачу доступні такі елементи даних:
N, V, Y, М, S = (R, S).
А.4.2.1 Готування повідомлення
Н = геш-атрибут повідомлення М.
А.4.2.2 Відновлювання призначення
У цьому прикладі призначення Т дорівнює R:
Т = R.
А.4.2.3 Повторне обчислювання попереднього підпису
Перевірювач робить повторне обчислювання значення П = YTSv mod N попереднього підпису. Якщо (Уг mod /V) і (Sv mod Л/) обчислюють окремо, їх подають у такий спосіб:
YT mod N =
|
E7D8C6CC |
45A8B29F |
200F5C52 |
148824E0 |
771624FC |
|
DE0FDD70 |
BC83BE2E |
22AAFE20 |
C0233C14 |
E6E4E8E2 |
|
ВЕЕЕ7С5С |
022FD464 |
92D0A055 |
5A0D7782 |
7AFBEFB4 |
|
6D8085FD |
AF8A27C1 |
775285B7 |
DD7894F4 |
F05DAF37 |
|
BFCF170C |
B3638CE7 |
A796D639 |
B296D8D9 |
09B8DE8F |
|
8AC5A98F |
3BBDA623 |
3BB66C95 |
5127A854 |
4DC7206B |
|
ED0EB25D |
0AB17CDC |
|
|
|
|
Sy mod C = |
|
|
|
|
|
F673DE2 |
802FA537 |
DE498937 |
F969AA84 |
9F9CE1F0 |
|
708BDEB3 |
D389CD31 |
2F5BDBD1 |
C036BDD4 |
449D4FB4 |
|
00AD359F |
02B997A6 |
273B23CF |
1F414C1F |
C27B7556 |
|
74D64887 |
1B2A3185 |
12E098D9 |
2ED260C8 |
CC511679 |
|
886C4EA2 |
2D638A5A |
B727D984 |
B6F1C2E4 |
501761 BA |
|
74066387 |
CB0DBA34 |
A9822A32 |
E1761CE8 |
4622E52D |
|
71AB16D9 |
267B748E |
|
|
|
А.4.2.4 Повторне обчислювання свідоцтва і перевіряння свідоцтва Свідоцтво повторно обчислюють у такий спосіб:
П = YTSv mod N = П = YTSvmod N-H mod N = R.
Повторно обчислене свідоцтво П = yTSlzmod N те саме, що й відновлене свідоцтво R.
Враховуючи повторно обчислене значення попереднього підпису П , перевірювач одержує повторно обчислене значення свідоцтва Н , зробивши обчислювання:
|
H = П 1R mod N = |
||||
|
43F85D2C |
D63CD833 |
94D74837 |
591623A2 |
26734169 |
|
5BF58243 |
070B14C7 |
8B93E68F |
4FFF6D7E |
FA150C1D |
|
052ECB5F |
D743721D |
2481469B |
C1375059 |
3A05C239 |
|
98E9FA85 |
3EE7634E |
013726BF |
8A04FDD3 |
A9DEA82D |
|
2B93F990 |
55E842BE |
A40DCB27 |
0E74F8BC |
1A243E46 |
|
A274BD40 711EA20E |
7B5B7A40 E3CEEFD2 |
45B5F936 |
B30CAA2E |
7C4F1F72 |
Н = П 1R mod N = П 1R mod П = YT S^mod N
ДОДАТОК В
(довідковий)
ІНФОРМАЦІЯ ПРО ПАТЕНТИ
У період готування ISO/IEC 14888-2 була зібрана інформація про патенти, від яких могло б залежати застосування цього стандарту. Ідентифікаційні дані цих патентів наведені в таблиці В.1. Однак ISO/IEC не може дати достовірну чи всебічну інформацію щодо дієвості або можливостей цих патентів.
Зазначені власники патентів обумовили, що для застосування ISO/IEC ліцензії будуть надаватися у відповідний строк, за умови, що ті, хто має в них потребу, згідні їх оплатити.
Подальша інформація надається зазначеними власниками патентів.
Таблиця В.1 — Ідентифікаційні дані патентів
|
Область |
Винахідники |
Патент |
Дата випуску |
Контактна адреса |
|
Ідентифікація Fiat-Shamir |
Shamir-Fiat |
US 4,748,668 |
1988-05-31 |
News Digital Systems Ltd. Stoneham Rectory Stoneham Lane Eastleigh Hampshire SO50 9NW, UK |
|
Ідентифікація GQ |
Guillou- Quisquator |
US 5,140,634 EP 0.311.470 |
1992-08-18 1992-12-16 |
CCETT Patent and I PR Office BP 59 4 Rue du Clos Courtel F-35512 Cesson Sevigne France Philips International B.V. Corporate Patents and Tremarks P.O. Box 220 5600 AE Eindhoven The Netherlands |
БІБЛІОГРАФІЯ
Guillou Louis С., Quisquater Jean-Jacques. «А practical zero-knowledge protocol fitted to security microprocessor minimizing both transmission and memory», Advances in Cryptology-Eurocrypt ’88, Christoph G. Gunther (Ed.), Lecture Notes in Computer Science 330, Springer-Verlag, 1988, pp. 123—128.
M. Girault & J. Stern. «On the length of cryptographic hash-values used in identification schemes», Advances in Cryptology-Crypto’94, Y. Desmedt (Ed.), Lecture Notes in Computer Science 330, Springer- Verlag, 1994, pp. 202—215
.УКНД 35.040
Ключові слова: механізм цифрового підписування, автетифікація, сертифікати, безпека, факто- ризація, рандомізатор, попередній підпис, свідоцтво, функції перевіряння, генерування ключа.
Редактор Є. Козир
Технічний редактор О. Марченко
Коректор О. Ніколаєнко
Верстальник С. Павленко
Підписано до друку 05.12.2006. Формат 60 х 84 1/8.
Ум. друк. арк. 2,32. Зам. 9092. Ціна договірна.
Відділ редагування нормативних документів ДП «УкрНДНЦ»
03115, Київ, вул. Святошинська, 2
