Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Похоже ты не понял главного! 17.04.02 16:36 Число просмотров: 2818
Автор: Экспертик Статус: Незарегистрированный пользователь
Отредактировано 18.04.02 07:25 Количество правок: 2
|
> замечаний не было, потому что я ее не проверял - верил на
> слово.
> собственно, даже за правильными выкладками проблемы не
> видно.
Всё видно! По крайней мере в статье № 2
Есть универсальный ключ (x',1) , где x' /=x . Он может быть получен случайно самой программой (r' может быть равно 1 и при k/=0), а значит сопутствующий ему документ можно менять почти произвольно (главное, чтобы z2 оставалось чётным - те самые 50% H)
> поехали по порядку.
Давай по порядку :)
> 1. какой смысл расматривать k=0, если из стандарта ЯВНО
> следует, что это невозможно (0 < k < q).
> соответственно, последующие рассуждения - в сад.
1) Знаешь, то что в ГОСТе написано, что это невозможно это совсем ничего не значит. Бумага всё стерпит. Чем математически это обоснованно? Ничем. Даже проверки r=1 для входных значений нет! Пойми, мошеннику ГОСТ не указ. Главное, что выходные значения получаются достоверными.
2) В сущности эта подстановка используется автором только, чтобы найти универсальный ключ. Его пригодность доказывается независимым выводом. И самое главное, доказать, что такой набор значений не может быть получен случайно невозможен (т.к. x'/=x, а r' являясь результатом двойного деления на остаток ( a**k %p %q ) может быть равно единице и при легальных k ( если a**k %p = q+1 ( или 2q+1 и т.д.) ).
> 2. k=1. такая гипотеза делается мнимым злоумышленником
Вероятно это так, но это пробема прошлой статьи. Мы говорим о новой.
> 3. y1=y-p вообще ни в какие ворота не лезет. для УЦ есть
> документальное свидетельство принадлежности данного
> открытого ключа абоненту (собственноручная подпись на
> распечатке). он знать ничего не знает о секретном ключе Х.
Вот именно,просто предъявляем в качестве открытого y1=p-y, и даже отправляем для него пару -другую нормальных платёжек. ( как их вычислить даже не зная x1 описанно в статье)
> как и что доказывать? если пытаться предъявить "истинный"
> ключ Х, то не срастется проверка y1= a^ x. а если его
> "потерять" - еще худе, потому как единственное
> доказательство заверенная распечатка открытого ключа.
> однозначно, что подпись мог сформировать только обладатель
> Х (соответствующего Y) или обладатель X1 (соответствующего
> Y1).
> вычислить x по y - нерешаемая задача (с этим-то хоть
> спорить не будем?). утверждение, что мифический
> злоумышленник вычислил Х (т.к. в случае "утери"
> предполагается что у клиента был ключ Х1) врядли будет
> принято судом в качестве неопровержимого доказательства,
> ибо также можно утверждать, что кто-то просто "угадал"
> секретный ключ.
Необязательно утверждать, что он их вычислил. Подпись (x0,1) может быть создана самой программой, случайно. После этого, поскольку подпись универсальная, к ней можно подставлять любой документ, а ведь ГОСТ заявлял о "защите от подделок и искажений".
( В отличии от (x1,1) который НЕ МОЖЕТ быть сформирован правильной программой, т.к. q простое).
Хотя знаешь, если появляется универсальный ключ, которого по ГОСТу не должно быть в принципе, не так уж трудно судье поверить, что есть и другая ошибка, позволяющая вычислить унив. ключ из y1.
( Собственно я то же не уверена, что это не будет вскоре найдено более простым способом).
Тот факт, что по r нельзя определить k теперь уже работает на мошенника.
Теперь понял?
|
|
|
подробно о проекте
Анализ криптографических сетевых...
