ElGamal数字签名笔记

一、ElGamal数字签名的基本要素

1）a和q，q是素数，a是q的本原根。
2）签名方生成随机整数XA，(1<XA<q−1)X_A，(1<X_A<q-1)XA，(1<XA<q−1)，计算YA=aXA(modq)Y_A=a^{X_A}\pmod qYA=aXA(modq)，得到公钥{q,a,YAq,a,Y_Aq,a,YA}，私钥XAX_AXA。

二、ElGamal数字签名核心思想

签名方用私钥生成签名，然后将原文件和签名发送给验证方，验证方用公钥对签名解密得到原文件，并做比对。在ElGamal中，原文件是V1=am(modq)V_1=a^m \pmod qV1=am(modq)，私钥是XAX_AXA，生成的签名是(S1,S2)(S_1,S_2)(S1,S2)，验证是用公钥{q,a,YAq,a,Y_Aq,a,YA}和签名(S1,S2)(S_1,S_2)(S1,S2)结合起来运算，得到V2=S1S2×YAS1(modq)V_2=S_1^{S_2} \times Y_A^{S_1}\pmod qV2=S1S2×YAS1(modq)，并对比V1V_1V1和V2V_2V2。在这之中，验证是恢复原文件的过程，这里重点讨论这一过程。该过程的还原思路建立在这个等式下：

1)am−S1XA×aS1XA≡am(modq)，S11) a^{m-S_1X_{A}} \times a^{S_1X_{A}}\equiv a^{m} \pmod{q}，S_11)am−S1XA×aS1XA≡am(modq)，S1是常数；
2)2)2) 对于任意整数i,j，ai=aj(modq)i,j，a^{i}=a^{j}\pmod{q}i,j，ai=aj(modq)，当且仅当i≡j(modq−1)i \equiv j \pmod{q-1}i≡j(modq−1).

这里暂且还不知道S1S_1S1是什么，就当作常数来看；

根据YA=aXA(modq)，有aS1XA=YAS1(modq)Y_A=a^{X_A} \pmod q，有a^{S_1X_{A}}=Y_A^{S_1}\pmod qYA=aXA(modq)，有aS1XA=YAS1(modq)
于是am−S1XA×aS1XA≡am−S1XA×YAS1(modq)a^{m-S_1X_{A}} \times a^{S_1X_{A}}\equiv a^{m-S_1X_{A}} \times Y_A^{S_1}\pmod qam−S1XA×aS1XA≡am−S1XA×YAS1(modq);

此时等式右边就构成了验证逻辑，只要签名方给出S1S_1S1和(m−S1XA)(m-S_1X_A)(m−S1XA)，验证方就能用公钥验证。但是此时一个关键问题是知道了S1S_1S1，(m−S1XA)(m-S_1X_A)(m−S1XA)中的私钥XAX_AXA就能被算出来。所以要么隐藏S1S_1S1，要么隐藏(m−S1XA)(m-S_1X_A)(m−S1XA)。ElGamal数字签名则是隐藏了(m−S1XA)(m-S_1X_A)(m−S1XA)，选择将其增加一层加密，加密的密钥用离散对数将其保护起来：

选择随机整数KKK，满足1≤K≤q−1,且K和q−11\leq K\leq q-1,且K和q-11≤K≤q−1,且K和q−1互素,并计算K−1(modq−1)K^{-1}\pmod{q-1}K−1(modq−1)

随机整数KKK就是实际上的密钥。至于为什么K−1K^{-1}K−1是模q−1q-1q−1，是因为欧拉定理。

计算K−1×(m−S1XA)K^{-1}\times(m-S_1X_A)K−1×(m−S1XA)，令S2=K−1×(m−S1XA)S_2=K^{-1}\times(m-S_1X_A)S2=K−1×(m−S1XA)。
原式化为aK×S2×YAS1a^{K\times S_2}\times Y_A^{S_1}aK×S2×YAS1

这样的话，只要给出aKa^KaK和S1、S2S_1、S_2S1、S2就能完成密钥。

关于离散对数的笔记：
离散对数问题，比如k=aX(modq)k=a^{X} \pmod{q}k=aX(modq)(aaa是qqq的本原根)，公开kkk和aaa，可以保证XXX计算不出来，这是安全性的根本。反过来说，对于关于XXX的算法，要想保护XXX的安全，没有必要把XXX放在信道上传输，只利用离散对数将其“包装”成kkk，实际应用中传输kkk并用kkk来运算，就能完成加密和解密。

由于aKa^KaK保障了KKK的安全，所以不用担心KKK泄露。同时S1S_1S1是任意的整数，干脆令S1=aKS_1=a^KS1=aK,原式则可以变为：

S1S2×YAS1=am(modq)S_1^{S_2} \times Y_A^{S_1}=a^m\pmod qS1S2×YAS1=am(modq)

S1、S2S_1、S_2S1、S2是签名。

三、验证ElGamal签名

验证只要用给的公钥{q,a,YAq,a,Y_Aq,a,YA}和签名(S1,S2)(S_1,S_2)(S1,S2)，计算出V2=S1S2×YAS1(modq)V_2=S_1^{S_2} \times Y_A^{S_1}\pmod qV2=S1S2×YAS1(modq)，并和V1=am(modq)V_1=a^m \pmod qV1=am(modq)对比即可。