Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Похоже ты не понял главного! 17.04.02 16:36 Число просмотров: 2818
Автор: Экспертик Статус: Незарегистрированный пользователь Отредактировано 18.04.02 07:25 Количество правок: 2
|
> замечаний не было, потому что я ее не проверял - верил на > слово. > собственно, даже за правильными выкладками проблемы не > видно. Всё видно! По крайней мере в статье № 2
Есть универсальный ключ (x',1) , где x' /=x . Он может быть получен случайно самой программой (r' может быть равно 1 и при k/=0), а значит сопутствующий ему документ можно менять почти произвольно (главное, чтобы z2 оставалось чётным - те самые 50% H)
> поехали по порядку. Давай по порядку :)
> 1. какой смысл расматривать k=0, если из стандарта ЯВНО > следует, что это невозможно (0 < k < q). > соответственно, последующие рассуждения - в сад. 1) Знаешь, то что в ГОСТе написано, что это невозможно это совсем ничего не значит. Бумага всё стерпит. Чем математически это обоснованно? Ничем. Даже проверки r=1 для входных значений нет! Пойми, мошеннику ГОСТ не указ. Главное, что выходные значения получаются достоверными.
2) В сущности эта подстановка используется автором только, чтобы найти универсальный ключ. Его пригодность доказывается независимым выводом. И самое главное, доказать, что такой набор значений не может быть получен случайно невозможен (т.к. x'/=x, а r' являясь результатом двойного деления на остаток ( a**k %p %q ) может быть равно единице и при легальных k ( если a**k %p = q+1 ( или 2q+1 и т.д.) ).
> 2. k=1. такая гипотеза делается мнимым злоумышленником Вероятно это так, но это пробема прошлой статьи. Мы говорим о новой.
> 3. y1=y-p вообще ни в какие ворота не лезет. для УЦ есть > документальное свидетельство принадлежности данного > открытого ключа абоненту (собственноручная подпись на > распечатке). он знать ничего не знает о секретном ключе Х.
Вот именно,просто предъявляем в качестве открытого y1=p-y, и даже отправляем для него пару -другую нормальных платёжек. ( как их вычислить даже не зная x1 описанно в статье)
> как и что доказывать? если пытаться предъявить "истинный" > ключ Х, то не срастется проверка y1= a^ x. а если его > "потерять" - еще худе, потому как единственное > доказательство заверенная распечатка открытого ключа. > однозначно, что подпись мог сформировать только обладатель > Х (соответствующего Y) или обладатель X1 (соответствующего > Y1). > вычислить x по y - нерешаемая задача (с этим-то хоть > спорить не будем?). утверждение, что мифический > злоумышленник вычислил Х (т.к. в случае "утери" > предполагается что у клиента был ключ Х1) врядли будет > принято судом в качестве неопровержимого доказательства, > ибо также можно утверждать, что кто-то просто "угадал" > секретный ключ.
Необязательно утверждать, что он их вычислил. Подпись (x0,1) может быть создана самой программой, случайно. После этого, поскольку подпись универсальная, к ней можно подставлять любой документ, а ведь ГОСТ заявлял о "защите от подделок и искажений".
( В отличии от (x1,1) который НЕ МОЖЕТ быть сформирован правильной программой, т.к. q простое).
Хотя знаешь, если появляется универсальный ключ, которого по ГОСТу не должно быть в принципе, не так уж трудно судье поверить, что есть и другая ошибка, позволяющая вычислить унив. ключ из y1.
( Собственно я то же не уверена, что это не будет вскоре найдено более простым способом).
Тот факт, что по r нельзя определить k теперь уже работает на мошенника.
Теперь понял?
|
|
|