KCDSA

KCDSA (Корейський алгоритм цифрового підпису на основі сертифіката) — це алгоритм цифрового підпису, створений групою під керівництвом Корейського агентства безпеки та Інтернет^[en] (KISA). Це варіант ElGamal, аналогічний Алгоритму цифрового підпису та ГОСТ Р 34.10-94^[ru]. Стандартний алгоритм реалізовано над ${\displaystyle GF(p)}$, але також вказано варіант на еліптичних кривих (EC-KCDSA).

Для KCDSA потрібна колізійно стійка криптографічна хеш-функція, яка може створювати вихідні дані змінного розміру (від 128 до 256 біт із кроком 32 біт). HAS-160^[en], інший корейський стандарт, є запропонованим вибором.

• ${\displaystyle p}$ : велике просте таке, що ${\displaystyle |p|=512+256i}$ для ${\displaystyle i=0,1,\dots ,6}$ .
• ${\displaystyle q}$ : основний множник ${\displaystyle p-1}$ такий, що ${\displaystyle |q|=128+32j}$ для ${\displaystyle j=0,1,\dots ,4}$ .
• ${\displaystyle g}$ : базовий елемент порядку ${\displaystyle q}$ в ${\displaystyle \operatorname {GF} (p)}$ .

• ${\displaystyle x}$ : особистий ключ підпису підписувача такий, що ${\displaystyle 0<x<q}$ .
• ${\displaystyle y}$ : відкритий ключ перевірки підписувача, обчислений ${\displaystyle y=g^{\bar {x}}{\pmod {p}},}$ де ${\displaystyle {\bar {x}}=x^{-1}{\pmod {q}}}$ .
• ${\displaystyle z}$ : хеш-значення даних сертифіката, тобто ${\displaystyle z=h({\text{Cert Data}})}$ .

У специфікації 1998 року неясно, який саме формат «Даних сертифіката». У переглянутій специфікації z визначається як B нижніх бітів відкритого ключа y, де B — розмір блоку хеш-функції в бітах (зазвичай 512 або 1024). Ефект полягає в тому, що перший вхідний блок відповідає y mod 2^B.

• ${\displaystyle z}$ : молодші B бітів y.

• ${\displaystyle h}$ : колізійно стійка хеш-функція з |q|-бітовими дайджестами.

• Підписувач навмання вибирає ціле число ${\displaystyle 0<k<q}$ і обчислює ${\displaystyle w=g^{k}\mod {p}}$
• Потім обчислює першу частину: ${\displaystyle r=h(w)}$
• Потім обчислює другу частину: ${\displaystyle s=x(k-r\oplus h(z\parallel m)){\pmod {q}}}$
• Якщо ${\displaystyle s=0}$, процес потрібно повторити спочатку.
• Підписом є кортеж ${\displaystyle (r,s)}$

• Верифікатор перевіряє це ${\displaystyle 0\leq r<2^{|q|}}$ і ${\displaystyle 0<s<q}$ і відхиляє підпис як недійсний, якщо ні.
• Верифікатор обчислює ${\displaystyle e=r\oplus h(z\parallel m)}$
• Потім він перевіряє, чи ${\displaystyle r=h(y^{s}\cdot g^{e}\mod {p})}$

• Специфікація та аналіз KCDSA