Методи ЕЦП в групі точок ЕК з відновленням повідомлень, страница 2

– обчислення першої частини підпису;

– обчислення другої частини підпису;

– відновлення попереднього підпису;

– відновлення вхідних даних.

17.1.2.1 Ключі підпису і перевірки ЦП

Для обчислення ключової пари, що складається з відкритого і особистого ключа підпису може бути використаним один з наведених нижче методів. При цьому ключ підпису є особистим і повинен триматися у таємниці. Відносно особистого ключа повинні бути забезпеченими такі послуги як конфіденційність, цілісність, справжність та доступність, а відносно відкритого ключа цілісність, справжність та доступність.

Сутність першого методу І генерації ключа.

Для наперед заданого дійсного набору доменних параметрів еліптичної кривої особистий ключ підпису та відповідний йому відкритий ключ перевірки при використанні І методу можуть  бути генерованими таким чином.

1 Обрати з множини  випадкове або псевдовипадкове ціле число  - особистий ключ ЦП. Ціле число  має бути захищене від несанкціонованого розкриття і має бути непередбачуваним. У широкому змісті відносно особистого ключа  повинні бути наданими такі послуги як конфіденційність, цілісність, справжність та доступність.

2 Обчислити точку еліптичної кривої  - тобто відкритий ключ.

3 Ключовою парою є , де  повинен використовуватись як відкритий ключ перевірки ЦП , а  як особистий ключ, тобто ключ вироблення ЦП.

В стандарті для узгодження та одноманітного позначення використаються такі позначення  і , де G базова точка.

Сутність другого ІІ методу генерація ключа.

Для наперед заданого дійсного набору доменних параметрів еліптичної кривої особистий ключ підпису та відповідний йому відкритий ключ перевірки при використанні ІІ методу можуть  бути генерованими таким чином.

1. Обрати з множини  випадкове або псевдовипадкове ціле число  та  обчислити ціле число  у інтервалі  засобом вирішення порівняння виду . Цілі числа  і  мають бути захищеними від несанкціонованого розкриття і мають бути непередбачуваними. У широкому змісті відносно  і  повинні бути наданими такі послуги як конфіденційність, цілісність, справжність та доступність.

2. Обчислити точку еліптичної кривої , тобто відкритий ключ.

3 Ключовою парою є , де  повинен використовуватись як відкритий ключ перевірки ЦП , а  як особистий ключ, тобто ключ вироблення ЦП.

В стандарті для узгодження та одноманітного позначення використаються такі позначення  і , де G базова точка.

Аналіз та порівняння наведених методів генерування ключових пар показав що вони повністю співпадають з методами, що використаються в стандарті ЦП ISO/IEC 15946 [18, 19, 22, 26]. Крім того, перед використанням відкритого ключа перевірник повинен мати гарантію щодо його дійсності та справжності. Ці гарантії можуть бути забезпеченими засобами, що наведені в пункті 5.1.3 цього стандарту.

17.1.2.2 Формування ключа сеансу і попередній підпис

Перед кожним обчисленням підпису об'єкт, що підписує, повинен мати доступ до нового значення ключа сеансу, відносно якого повинна бути забезпеченою конфіденційність. В буквальному перекладі ключ сеансу можна назвати рандомізатор. Якраз така назва і використається в оригіналі стандарту.

Ключем сеансу (рандомізатором) є ціле число  таке, що . Реалізація схеми підпису має забезпечувати задоволення двох наступних вимог:

– ключ сеансу, що використовується, не повинен ніколи і нікому розкриватися,але одразу після використання, він повинен бути знищеним;

– ключ сеансу повинен  генеруватися таким чином, щоб імовірність використання одного і того ж ключа сеансу при формуванні підписів для двох різних повідомлень була зневажливо малою.

Попередній підпис обчислюється як функція ключа сеансу.

Аналіз показав що розкриття ключа сеансу після його використання може надати порушнику можливість розкриття особистого ключа підпису. Ключі сеансу, що вже використані, вже не потрібні ні підписувачу ні перевірнику, і отже можуть бути негайно знищені після формування підпису. Якщо одне і теж саме значення ключа сеансу використовується при формуванні підписів для двох різних повідомлень, то існує можливість компрометації та підробки підпису.

17.1.2.3 Обчислення першої частини підпису

Перша частина підпису обчислюється як функція попереднього підпису  і вхідних даних , які є цілим числом з , що залежать від повідомлення. Перша частина підпису є цілим числом  таким, що .