当前位置:文档之家 › EIGamal密码体制

EIGamal密码体制

  • 格式:ppt
  • 大小:537.00 KB
  • 文档页数:25

下载文档原格式

  / 25

合集下载

ElGamal公钥密码体制

ElGamal公钥密码体制

ElGamal公钥密码体制1、问题描述设计ElGamal公钥密码体制算法。

2、算法设计(1)选取大素数p和p的一个原根a,(a,p)=1,1<a<p(2)随机选取整数d,1<d<p-1,计算b≡ad (mod p);p,a,b为公钥,d为私钥(3)加密:对0<m<p,秘密的随机选取整数k,1<k<p-1,加密后密文为c=(c1 ,c2 ),c1 ≡ak (mod p), c2 ≡ m bk (mod p)(4)解密:明文m ≡c2 ( c1 d) -1 (mod p)主要步骤3、算法分析该算法的基础是找到一个原根,大数的原根产生过程比较慢,本人目前也只能产生8位以内的素数的原根,还有待改进。

同时也涉及到模幂运算,选取的幂指数如果较大,时间复杂度也会相应的增加。

int inverse(int a,int m){long int c,d;int j;int q[100],r[100],t[100],s[100];c=a;d=m;r[0]=c;r[1]=d;s[0]=1;s[1]=0;t[0]=0;t[1]=1;for(j=1;r[j]!=0;j++){q[j]=(int)(r[j-1]/r[j]);r[j+1]=r[j-1]-q[j]*r[j];if(j>=2){s[j]=s[j-2]-q[j-1]*s[j-1];t[j]=t[j-2]-q[j-1]*t[j-1];}}return s[j-1];}int gcd(int a,int b){int c;if(a<b){c=b;b=a;a=c;}while(b!=0){c=b;b=a%b;a=c;}return a;}void main(){int p,g,k,s,x,r,t=1,i,j,f,y,m,M;cin>>p>>g>>k;s=2;for(i=1;i<=k;i++){t*=s;t=t%p;}while(t<0){t=t+p-1;}cout<<"public key is"<<"("<<t<<","<<g<<","<<p<<")"<<endl;cin>>r;if(gcd(p-1,r)!=1)cout<<"the data is not suitable"<<endl;x=1;for(j=1;j<=r;j++){x*=s;x=x%p;}cin>>m;f=inverse(r,p-1);y=(m-k*x)*f%(p-1);while(y<0){y=y+p-1;}cout<<"the signature is"<<"("<<x<<","<<y<<")"<<endl;for(i=1;i<=m;i++){g*=g;}g=g%p;for(i=1;i<x;i++){y*=y;}for(j=1;j<y;j++){x*=x;}M=x*y%p;if(M=p){cout<<"the signature is useful"<<endl;}else{cout<<"the signature is not useful"<<endl;}}运行结果。

elgamal公钥密码体制

elgamal公钥密码体制

ElGamal公钥密码体制是一种基于离散对数问题的非对称加密算法,由Tahir ElGamal 在1985年提出。

在ElGamal密码体制中,公钥包括一个大素数和该素数的一个本原元,私钥则是一个随机数。

通过公钥加密的消息可以使用私钥进行解密,而私钥签名的消息可以使用公钥进行验证。

ElGamal公钥密码体制的安全性基于离散对数问题的难解性,即在一个有限域中,给定元素g和h,找到整数x使得h=g^x在计算上是不可行的。

由于离散对数问题的难解性,ElGamal密码体制可以提供较高的安全性。

与RSA算法相比,ElGamal算法在加密和签名方面都具有较高的效率和灵活性。

此外,由于ElGamal算法是基于离散对数问题的,因此它可以用于构造其他密码学方案,如数字签名、密钥协商等。

需要注意的是,虽然ElGamal公钥密码体制具有较高的安全性,但在实际应用中仍需要注意密钥的生成、存储和使用安全,以避免潜在的安全风险。

ElGamal公钥密码体制及安全性

ElGamal公钥密码体制及安全性


下面我们首先计算
γ
2,0

0×(p-1)/2
mod 29
= 20 mod 29 = 1, γ
2,1

1×(p-1)/2mod
29
= 228/2 mod 29
= 28. 因为 = 28 =γ
2,1 ,
0
ß mod 29 = 1828/2 mod 29
所以 a = 1.令
ß = ß α 1 因为
0, 1 e i 1
i

根据目前的计算能力,只有当p-1 的素因子是小素数时,才 能有效分解 p-1求得 。因此,Pohlig-Hellman 算法适用于p1 的素因子是小素数的情况。 例5.8 设p = 29, 则 p-1= 28 = 22×7.设α = 2, ß 18. = 求log 。令log a .
s ( p 1 ) qi
mod p
qi ,s
· ,k, · ·
s = 0, 1,2, ·· i -1. 将这些 q ·
ei i
排成一个
下面利用表L求 a mod q
a mod q
ei i
, i= 1,2,
1 i
· ,k. · ·
e i 1

q
ei 1 i
a a q a
0
ß=αd mod p,
所以
k c2(c1d)–1≡mß (α
dk
)
–1
(mod p)
–1(mod
≡mα
dk

dk
)
p) α ∈zp*
≡m(mod p). 因此,解密变换能正确的从密文恢复相应的明文。
5.4.2. ElGamal公钥密码体制的安全性

ELGamal算法

ELGamal算法


实例解析: p=19; a=13,d=10,a与d均小于 p,符合条件; y = 13^10(mod19)=6; 公钥:y=6 a=13 p=19 私钥:d=10





签名过程: 1.随机选取一个数k,1< k<p-1,且k和p-1互质 2、计算r,r满足:r≡a^k (mod p) 3、待签名信息为m, 计算s≡(m-dr)*(k^(1)) (mod p-1) (r,s)构成对m的签名

一个群被称为有限群,如果它有有限个元素。元素 的数阶叫做群 G 的阶 例如,模19下7的阶为3,[1, 7, 49, 343, 2401, 16807, 117649, 823543, 5764801...]={1,7,11,1,7,11,1,7,11...}这里的 1,7,11循环,实际只有3个元素





群是一个集合G,连同一个运算 "· ",它结合任何两个元素 a 和 b 而形成另一个元素,记为 a · b。符号 "· " 是对具体给出的运算,比如加 法的一般的占位符。要具备成为群的资格,这个集合和运算 (G, · ) 必须 满足叫做群公理的四个要求: 1.封闭性。 对于所有 G 中 a, b,运算 a · b 的结果也在G 中。 2.结合性。 对于所有 G 中的 a, b 和 c,等式 (a · b) · c = a · (b · c) 成立。 3.单位元。 存在 G 中的一个元素 e,使得对于所有 G 中的元素 a,等式 e · a = a · e = a 成立。 4.反元素。 对于每个 G 中的 a,存在 G 中的一个元素 b 使得 a · b = b · a = e, 这里的 e 是单位元。

第7讲 公钥密码体制

第7讲 公钥密码体制

二、RSA密码体制
参数选择:
独立地选取两大素数p1和p2(各512bit的数), 计算 n=p1×p2 其欧拉函数值(n)=(p1-1)(p2-1) 随机选一整数e, 1e<(n),((n), e)=1(因而在模(n)下e有逆元) d=e-1 mod (n) 公钥为n,e; 私钥为d (p1, p2不再需要,可以销毁)
* MIPS-年指以每秒执行1,000,000条指令的计算机运行一年
二、RSA密码体制
安全性:分解模数n
技术进展使分解算法和计算能力在不断提高,计算所需的硬件费用在不断下降 RSA-129: 110位十进制数字早已能分解。 Rivest等最初悬赏$100的RSA-129,已经 由包括五大洲43个国家600多人参加,用1600台机子同时产生820条指令数据, 通过Internet网,耗时8个月,于1994年4月2日
但数学上至今还未证明分解模就是攻击RSA的最佳方法,
也未证明分解大整数就是NP问题, 可能有尚未发现的多项式时间分解算法。 人们完全可以设想有另外的途径破译RSA, 如求出解密指数d或找到(p1-1)(p2-1)等。 但这些途径都不比分解n来得容易。 甚至Alexi等[1988]曾揭示,从RSA加密的密文恢复某些比特的困难性也和 恢复整组明文一样困难。 这一视在困难性问题是个NP问题,但还没人证明它为NPC问题。
因为(e1, e2,)=1,所以由Euclidean算法有r e1+s e2=1
计算 (y1-1)-r y2s = x mod n (假设r是负数)
二、RSA密码体制
安全性:低加密指数攻击
小的e可加快加密和验证签字速度,且所需的存储密钥空间小
但若加密钥e选择得太小,则容易受到攻击 网中三用户的加密钥e均选3,分别模n1, n2, n3 (互素,否则可求出公因子,而降低安全性)

elgamal加密算法原理

elgamal加密算法原理

ElGamal加密算法原理ElGamal加密算法是一种公钥密码体制,由Taher Elgamal在1985年提出。

它基于离散对数问题的困难性,被广泛应用于保护数据的机密性和安全通信。

ElGamal加密算法涉及到两个关键方面:密钥生成和加解密过程。

在下面的内容中,我们将详细介绍这些方面的基本原理。

1. 密钥生成ElGamal加密算法使用一对相关联的公钥和私钥来进行加解密操作。

下面是生成这些密钥的步骤:1.选择一个大素数p作为有限域,以及一个生成元g。

2.随机选择一个整数x(0 < x < p-1),作为私钥。

3.计算y = g^x mod p,并将(x, y, p, g)作为公钥,(x)作为私钥。

在这个过程中,p和g是公开信息,而x是保密的。

2. 加解密过程加密假设Alice想要向Bob发送一条消息m。

下面是Bob使用ElGamal加密算法对消息进行加密的步骤:1.Alice首先获取Bob的公钥信息(y, p, g)。

2.Alice选择一个随机整数k(0 < k < p-1)。

3.Alice计算c1 = g^k mod p,并发送给Bob。

4.Alice计算c2 = (y^k * m) mod p,并发送给Bob。

在这个过程中,c1和c2是加密后的消息,Alice只需要将它们发送给Bob即可。

解密Bob接收到加密后的消息(c1, c2)后,可以使用ElGamal加密算法进行解密。

下面是解密的步骤:1.Bob使用自己的私钥x计算s = c1^x mod p。

2.Bob计算m’ = (s^(-1) * c2) mod p。

最终,Bob可以得到原始消息m’。

3. 安全性分析ElGamal加密算法基于离散对数问题的困难性,具有较高的安全性。

攻击者需要解决离散对数问题才能成功破解加密文本。

然而,在实际应用中,ElGamal加密算法存在一些安全性问题和限制:•密文扩张:加密后的消息长度为明文长度的两倍或更多。

第六讲 Elgaml和ECC与密钥管理


是否模11平方剩余 No No Yes Yes No Yes No Yes Yes No Yes
y
4,7 5,6 2,9 2,9 3,8 2,9
34
Chapter 10 ElGamal and ECC and Key Management
Chapter 10 ElGamal and ECC and Key Management
11
椭圆曲线密码已成为除RSA密码之外呼声最高的公钥密码之一。 它密钥短、签名短,软件实现规模小、硬件实现电路省电。普遍认 为,160位长的椭圆曲线密码的安全性相当于1024位的RSA密码, 而且运算速度也较快。 一些国际标准化组织已把椭圆曲线密码作为新的信息安全标准。 如,IEEE P1363/D4,ANSI F9.62,ANSI F9.63等标准,分 别规范了椭圆曲线密码在Internet协议安全、电子商务、Web服 务器、空间通信、移动通信、智能卡 V-1 mod p =(UM)V-1 mod p =UM(C1 d)-1 mod p =UM((αk)d)-1 mod p =UM((αd)k)-1 mod p =UM((y)k)-1 mod p =UM(U)-1 mod p =M mod p
Chapter 10 ElGamal and ECC and Key Management
Chapter 10 ElGamal and ECC and Key Management
15
G a k k
G a
Chapter 10 ElGamal and ECC and Key Management
16
椭圆曲线
一般来讲,椭圆曲线的曲线方程是以下形式的三次方程:
Chapter 10 ElGamal and ECC and Key Management

信息安全概论第四章公钥密码体制


14
Diffie-Hellman密钥交换算法 密钥交换算法
Diffie和Hellman在其里程碑意义的文章中, 虽然给出了密码的思想,但是没有给出真正意 义上的公钥密码实例,也既没能找出一个真正 带陷门的单向函数 然而,他们给出单向函数的实例,并且基于此 提出Diffie-Hellman密钥交换算法
13
常用的公开密钥算法
公钥算法的种类很多,具有代表性的三种密码: 公钥算法的种类很多,具有代表性的三种密码: 基于整数分解难题(IFP)的算法体制 基于整数分解难题(IFP)的算法体制(RSA) 基于离散对数难题(DLP)算法体制 基于离散对数难题(DLP)算法体制(ElGamal) 基于椭圆曲线离散对数难题( ECDLP ) 的算法体制 基于椭圆曲线离散对数难题 ( ECDLP) (ECC)
3
4.1 公钥密码体制的基本原理
对称算法的不足
(1)密钥管理量的困难 传统密钥管理:两两分别用一个密钥时, 传统密钥管理:两两分别用一个密钥时,则n个用户需 C(n,2)=n(n-1)/2个密钥 当用户量增大时, 个密钥, 要C(n,2)=n(n-1)/2个密钥,当用户量增大时,密钥空 间急剧增大。 间急剧增大。如: n=100 时, C(100,2)=4,995 n=5000时 n=5000时, C(5000,2)=12,497,500 (2)密钥必须通过某一信道协商,对这个信道的安全 密钥必须通过某一信道协商, 性的要求比正常的传送消息的信道的安全性要高
7
公开密钥密码的重要特性

加密与解密由不同的密钥完成 Y: X: Y = EKU(X) X = DKR(Y) = DKR(EKU(X))
加密: X฀ 解密: Y฀
฀ 知道加密算法,从加密密钥得到解密密钥在计算上 , 是不可行的 ฀ 两个密钥中任何一个都可以用作加密而另一个用 作解密(不是必须的) X = DKR(EKU(X))

elgamal 离散对数

ElGamal离散对数介绍ElGamal是一种基于离散对数问题的公钥密码体制。

它由塞尔弗·埃尔加马尔在1985年提出,是非对称密钥加密算法中的一种重要算法。

ElGamal算法具有安全性高、可证明安全等特点,在实际应用中得到广泛使用。

离散对数问题在介绍ElGamal算法之前,首先需要了解离散对数问题(Discrete Logarithm Problem)。

离散对数问题是指给定一个有限群G和元素g,找到满足g^x ≡ h (mod p)的整数x。

其中p是一个大素数,g是群G的生成元,h是群G中的一个元素。

离散对数问题被认为是计算复杂度非常高的问题,目前没有有效的算法可以在多项式时间内解决。

这使得离散对数成为了很多公钥密码体制的基础。

ElGamal加密算法ElGamal加密算法利用了离散对数问题来实现公钥加密和解密过程。

它包括了密钥生成、加密和解密三个主要步骤。

密钥生成1.选择一个大素数p作为模,并选择一个生成元g。

2.随机选择一个整数a,满足1 ≤ a ≤ p-2。

3.计算h = g^a (mod p)。

4.公钥为(p, g, h),私钥为a。

加密假设要加密的明文为m,加密过程如下: 1. 随机选择一个整数k,满足1 ≤ k ≤ p-2。

2. 计算c1 = g^k (mod p)。

3. 计算c2 = m * h^k (mod p)。

4. 密文为(c1, c2)。

解密解密过程如下: 1. 根据私钥a计算s = c1^a (mod p)。

2. 计算m’ = c2 * s^-1 (mod p)。

其中s^-1是s的模p的逆元素。

3. 明文为m’。

安全性分析ElGamal算法的安全性基于离散对数问题的困难性。

在大素数p和合适的参数选择下,破解ElGamal加密需要计算离散对数,这是一个非常耗时的任务。

然而,在实际应用中,需要注意一些安全性问题。

例如,如果相同的随机数k被重复使用来加密不同的明文,则可以通过观察两个密文之间的关系来推导出私钥a。

超椭圆密码体制简介.


上述性质足以说明超椭圆曲线的Jacobian商群是一个有限的加法交换群。 根据它所依赖的核心问题,超椭圆曲线的密码体制基本上可以看做是有限乘法群 上或椭圆曲线有理点群上的密码体制的模拟
Diffie-Hellman密钥交换算法的安全性完全基于以下这样一
个事实:虽然计算模一个素数的指数非常容易,但计算一个 离散对数却非常难。 Diffie-Hellman密钥交换算法已经扩展到了正广泛应用的椭 圆曲线密码体制ECC中,许多关于ECC的标准中都加入了 这一个简单密钥交换协议。基于这一点,具有诸多共性的超 椭圆曲线密码体制HECC同样可以把Diffie-Hellman简单密钥 交换协议扩展到HECC上来
• 一般认为,若一个数学基础满足上诉4个条件,就可以用它
来模拟几乎所有的离散对数密码体制
超椭圆曲线的Jacobian商群是一个有限可交换群;超椭圆曲线的Jacobian商群具 有以下性质: 1、群上元素的个数是有限的,其大小可以通过曲线上有理点的个数和曲线的 亏格来定义 2、商群的零元素是一个无穷远点。 3、群上只有一个基本运算:除子的加法运算,且该运算在算法的定义下具有 封闭性和可交换性
ห้องสมุดไป่ตู้ 1
超椭圆曲线密码体 制的基本参数 一个有限域Fq,其中q为一个 大的素数整数或者是一个形 如2^m,m是一个较大整数
Fq上一条适合建立密码体 制的超椭圆曲线HEC
2
3
超椭圆曲线的Jacobian商 群的阶n及一个基点G
超椭圆曲线密码体制的Diffie-hellman密钥协商协议
超椭圆曲线密码体制的Diffie-hellman密钥协商协议
超椭圆曲线密码体制的理论研究
在本章,主要包括以下两个方面的内容: 改进了明文信息嵌入在Jacobian商群 中除子的方法,证明了这一方法在理论上以 及在现实上都是可行的; 将Diffie-Hellman的密钥交换协议, ElGamal加密体制扩展到了超椭圆曲线上, 提出了一个基于超椭圆曲线密码体制的安全 的数字签名方法,构成了超椭圆曲线的一个 密码
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

求解得
lo g 5 2 = 6 5 7 8 lo g 5 3 = 6 1 9 0 lo g 5 7 = 1 3 0 1
解 c1 = 2 853 m o d 2 5 7 9 = 4 3 5 c 2 = 1 2 9 9 × 9 4 9 853 m o d 2 5 7 9 = 2 3 9 6 所 以 密 文 c = ( c1 , c 2 ) = ( 4 3 5 , 2 3 9 6 )
6
反 之 , 如 知 道 密 文 c = ( c1 , c 2 ) = ( 4 3 5 , 2 3 9 6 ) 则 明 文 m = 2 3 9 6 × ( 4 3 5 765 ) −1 m o d 2 5 7 9 = 1 2 9 9
1985年,T.EIGamal提出
描述如下:
1) 选 取 大 素 数 p , α ∈ z ∗ 是 一 个 本 原 元 , p , α 公 开 。 p 2)随 机 选 取 整 数 d ,1 ≤ d ≤ p − 2, 计 算
β = α d m od p β 是 公 开 的 加 密 密 钥 , d是 保 密 的 解 密 密 钥 。
(10,644)(11,654)(12,26) (13,147)(14,800) (15,727)(16,781)(17,464)(18,632)(19,275) (20,528)(21,496)(22,564)(23,15) (24,676) (25,586)(26,575)(27,295)(28,81)
(618,0,1)
( x2i , a2i , b2i )
(76,0,2)
14
上 表 中 x10 = x 20 = 422, 所 以 c = (5 − 11)(15 − 11) − 1 mod 101 = 76 × 95 mod 101 = 49
∗ 即 在 z 8 0 9 中 lo g 8 9 6 1 8 = 4 9
易验证3
309
≡ 525 mod(809)
10
2、Pollard ρ离散对数算法
令G是群,〈α〉是n阶循环子群, β ∈ α〉 1 U S2 U S3是G的一个划分,定义函数 〈 ,S f :< α > × zn × zn →< α > × zn × zn如下: ( β x, a, b + 1), x ∈ S1 f ( x, a, b) = ( x 2 , 2a, 2b), x ∈ S2 (ax, a + 1, b), x ∈ S 3 且( x, a, b)满足x = α a β b , 初始向量( ,,)。易知 100 ( x, a, b)满足上述性质,则 f ( x, a, b)也满足这一性质。 从而定义序列 (1, 0, 0), i = 0 ( xi , ai , bi ) = f ( xi −1 , ai −1 , bi −1 ), i ≥ 1
பைடு நூலகம்
(13, ) (14, ) 256 355 (18, ) (19, ) 314 644 (2 3, ) (24, ) 777 259 (28, ) 163
查表发现(10, 644) ∈ L1 , (19, 644) ∈ L2 , 第二坐标相同, 因此log3325 = 29 ×10 + 19 = 309
11
在序列中我们比较( x2i , a2i , b2i ),( xi , ai , bi ), 直到发现x2i = xi , i ≥ 1 这时就有
αa βb = αa βb
2i 2i i
i
下面看如何计算c = logα
因 为 α 是 n阶 元 素 , 就 有
β
由 α a 2 i β b2 i = α ai β bi , 则 α a 2 i + cb2 i = α ai + cbi , a 2 i + cb2 i ≡ a i + cbi mod n c ( b2 i − bi ) ≡ a i − a 2 i mod n 即
三、有限域上离散对数的计算方法 1、SHanks算法 、 算法
设p是一个素数,α 是z∗生成元,β ∈ z∗ .令m= p-1 ,求logα β p p 1) 计算α mj mod p, 0 ≤ j ≤ m − 1. 2)将m个有序对(j,α mj modp)按第二个坐标排序,得到表L1 3) 计算βα −i mod p, 0 ≤ i ≤ m − 1 4)将m个有序对(i,βα -i modp)按第二个坐标排序,得到表L2 5)寻找( j , y ) ∈ L1和(i, y ) ∈ L2,它们的第二个坐标相同。 6)计算 logα β = mj + i mod( p − 1).
例 设 p = 10007, α =5, β =9451 , 求 log 5 9451 解 令 Β = {2 ,,, 。 显 然 log 5 5 = 1, 故 只 需 要 3 5 7} 计 算 log 5 , 5 , 5 。 log log
2 3 7
17
取 x = 4 0 6 3, 5 1 3 6 ,9 8 6 5 , 计 算 5 4063 m o d 1 0 0 0 7 = 4 2 = 2 × 3 × 7 5 5136 m o d 1 0 0 0 7 = 5 4 = 2 × 3 3 5 9865 m o d 1 0 0 0 7 = 1 8 9 = 3 2 × 7
4
5)解密变换:对任意的密文 c = (c1 ,c 2 ) ∈ z ∗ × z ∗ p p , 明文为 m = c 2 (c1d ) −1 mod p
解密变换能从密文恢复相应明文
因 为 c1 = α
k
m od p
k
c2 = m β
m od p
β = α
所 以
d
m od p
k
c 2 ( c 1d ) − 1 ≡ m β
3)明 文 空 间 为 z ∗ , 密 文 空 间 为 z ∗ × z ∗。 p p p 4) 加 密 变 换 : 对 任 意 的 明 文 m ∈ z ∗ , 秘 密 随 机 p 选 取 一 个 整 数 k ,1 ≤ k ≤ p - 2, 密 文 为 c = ( c1 , c 2 ) 其中 c 1 = α k m od p, c 2 = m β k m od p
从 而 如 果 ( b2 i - bi , n) 1, 则 = c = ( a i - a 2 i )( b2 i - bi ) − 1 mod n
12
例如设p = 809是素数,α = 89是z∗ 中n = 101阶元素。 809
β = 618 ∈< α >, 求 logα β .
解 首 先 定 义 S 1 ,S 2 ,S 3 : S 1 = { x ∈ z 8 0 9 : x ≡ 1 m o d 3} S 2 = { x ∈ z 8 0 9 : x ≡ 0 m o d 3} S 3 = { x ∈ z 8 0 9 : x ≡ 2 m o d 3}
三、指数演算法
设 p是 一 个 素 数 , α 是 z∗的 生 成 元 , β ∈ z∗ .求 log α β p p 设 Β = ( p1 p 2 L p B )
算法分两步完成: 第 一 步 计 算 log α p i , i = 1, 2, L , B 第 二 步 利 用 log α p i 来 求 log α β
9
列表L2包括序对(i,525 × (3 ) mod809),0 ≤ i ≤ 28.
(0, ) 525 (5,32) 1 (1, ) (2, ) 175 328 (6, ) 44 (7, ) 554 (3, ) 379 (8, ) 724 (4, ) 396 (9, ) 511
i −1
(10, )(11, )(12, ) 440 686 768 (15, )(16, )(17, ) 388 399 133 (20, )(21, )(22, ) 754 521 713 (25, )(26, )(27, ) 356 658 489

dk
) −1 m o d p
≡ m α d k (α d k ) − 1 m o d p ≡ m m od p
5
注: 1)同一明文可有不同的密文 2)p一般取300位十进制数,p-1有大素因子。
3)破解密码,即求密钥d,等价于求解离散对数 d = logα
β
例 如 设 p = 2579, α = 2是 模 p 所 谓 本 原 元 。 令 a = 765 所 以 β = 2 765 mod 2579 = 949. 已 知 明 文 m = 1299 , 求 其 密 文 ( k=853)
x j ≡ a1 j logα p1 + a2 j logα p2 + L + a Bj logα pB mod( p − 1) 1 ≤ j ≤ B ,由此解出 logα pi .
16
第二步 随机选取s,1 ≤ s ≤ p − 2, 使得 βα s modp的素因子在B中
则有 βα s ≡ P c1 P2c2 L PBcB mod p 1 从而得到logα β 即 logα β + s ≡ c1 log α p1 + c2 log α p2 + L + cB log α pB mod( p − 1)
15
首先看第一步
选 x,≤ x ≤ p − 2使得 α x mod p的素因子都在 Β 中, 1
a a 则有 α x ≡ p1a1 p 2 2 L p BB mod p

x ≡ a1 log α p1 + a 2 log α p2 + L + a B log α p B mod( p − 1) 方程中有 B 个未知数,适当选取 B 个 x j ,1 ≤ x j ≤ p − 2 1 ≤ j ≤ B,可以得到 B 个相互独立的同余方程