Несколько подписей

Что если несколько человек захотят подписать один и тот же документ ? Проще всего, чтобы они подписали его порознь, но рассматриваемая схема подписи делает это лучше . Пусть Алиса и Боб подписывают документ, а Кэрол проверяет подписи, но в процесс подписания может быть вовлечено произвольное количество людей . Как и раньше, Алиса и Боб обладают уникальными значениями /иВ: (J_A,B_A) и (J_B,B_B). Значения п и v являются об­щими для всей системы.

(1) Алиса выбирает случайное целое г_А, находящееся в диапазоне от 1 до и-1. Она вычисляет Т_А = г/ mod n и посылает Т_А Бобу.

(2) Боб выбирает случайное целое г_в, находящееся в диапазоне от 1 до и-1. Он вычисляет Т_в = г/ mod n и по­сылает Т_в Алисе.

(3) Алиса и Боб, каждый вычисляет Т= (Т_А*Т_В) mod п.

(4) Алиса и Боб, каждый вычисляет d = ЩМ,Т), где М - подписываемое сообщение, а Щх) - однонаправлен­ная хэш-функция. Значение d, полученное с помощью хэш-функции, должно быть в диапазоне от 0 до v-1 [1280]. Если выход хэш-функции выходит за этот диапазон, он должен быть приведен по модулю v.

(5) Алиса вычисляет D_A = r_AB_A^d mod n и посылает D_A Бобу.

(6) Боб вычисляет D_B = r_BB_B^d mod n и посылает D_B Алисе.

(7) Алиса и Боб, каждый вычисляет D = D_A D_B mod п. Подпись состоит из сообщения М, двух вычисленных значений, d and D, и атрибутов обоих подписывающих: J_A и J_B.

(8) Кэрол вычисляет J = J_A J_B mod n.

(9) Кэрол вычисляет Т = D^vj mod п. Затем она вычисляет d' = Н(М,Т). Если d = d', то множественная под­пись действительна.

Этот протокол может быть расширен на любое количество людей. Для этого подписывающие сообщение люди должны перемножить свои значения Г, на этапе (3), и свои значения Д на этапе (7). Чтобы проверить множественную подпись, нужно на этапе (8) перемножить значения У, подписывающих (8). Либо все подписи правильны, либо существует по крайней мере одна неправильная подпись .

21.3 SCHNORR

Безопасность схемы проверки подлинности и подписи Клауса Шнорра [1396,1397] опирается на трудность вычисления дискретных логарифмов. Для генерации пары ключей сначала выбираются два простых числа, р и q так, чтобы q было сомножителем р-1. Затем выбирается а, не равное 1, такое что a^q = 1 (mod/;). Все эти числа могут быть свободно опубликованы и использоваться группой пользователей .

Для генерации конкретной пары ключей выбирается случайное число, меньшее д. Оно служит закрытым ключом, s. Затем вычисляется открытый ключ v = d^s mod/;.