ElGamal to jeden z dwóch najważniejszych algorytmów kryptografii asymetrycznej (obok RSA). System jest oparty na trudności problemu logarytmu dyskretnego w ciele liczb całkowitych modulo duża liczba pierwsza. Algorytm w połowie lat 80. XX wieku przedstawił Egipcjanin Taher Elgamal[1].

Algorytm ElGamala umożliwia szyfrowanie oraz obsługę podpisów cyfrowych. Setki modyfikacji algorytmu ElGamala (podobnie jak modyfikacje algorytmu RSA) mają różne inne zastosowania.

Na koncepcji algorytmu ElGamala jest też oparta kryptografia krzywych eliptycznych – w tym przypadku zamiast grupy multiplikatywnej ciała używamy grupy punktów na krzywej eliptycznej.

Szyfrowanie

edytuj

Generowanie klucza: wybieramy dowolną liczbę pierwszą   dowolną liczbę   będącą pierwiastkiem pierwotnym modulo   oraz dowolne całkowite   takie, że:  [2]Liczymy  

 

co potrafimy zrobić szybko za pomocą potęgowania przez podnoszenie do kwadratu.

  jest wybierana w ten sposób, aby zapewnić równomierną dystrybucję   (podobnie jak w protokole Diffiego-Hellmana[3]).

Następnie publikujemy   jako klucz publiczny i zachowujemy   jako klucz prywatny.

Szyfrowanie: mając do zaszyfrowania wiadomość   przedstawiamy ją jako element grupy [ ] wybieramy losowo liczbę   i liczymy (modulo  )

 

Deszyfrowanie: podnosimy otrzymane   do potęgi  

 

Następnie znajdujemy odwrotność   (nadal modulo  ) rozszerzonym algorytmem Euklidesa:

 
 
 

W końcu dzielimy   przez   czyli mnożymy przez jej odwrotność –  

 

Podpis cyfrowy

edytuj

Klucz jest generowany w ten sam sposób.

Żeby wygenerować podpis wiadomości   losujemy liczbę   i liczymy:

 (mod p),
  (mod(p-1)), gdzie   jest funkcją haszującą.

Podpisem jest para  

Żeby zweryfikować podpis, sprawdzamy równanie:

 

Dla prawidłowego podpisu będzie się zgadzać:

 
 
 
 

Ważne jest zachowanie tajności wylosowanego   Jeśli   byłoby znane, to można by odzyskać klucz prywatny z podpisu:

 

Poziom bezpieczeństwa

edytuj

Jeżeli rząd grupy multiplikatywnej jest iloczynem liczb pierwszych, spośród których nawet jedna nie jest odpowiednio duża, istnieje efektywna metoda obliczania wykładnika. Nie jest znana ogólna metoda szybkiego liczenia logarytmu dyskretnego, więc nie wiemy, jak za pomocą   i   uzyskać   które w pełni wystarczyłoby do odszyfrowania wiadomości. Nie ma jednak dowodu, że taka nie istnieje. To ostatnie nie może raczej dziwić, gdyż takich dowodów nie ma dla żadnego znanego szyfru asymetrycznego.

Nie mamy jednak dowodu, że złamanie problemu logarytmu dyskretnego jest jedynym sposobem złamania tego szyfru. Być może istnieje szybki algorytm, który, znając       i     (czyli klucz publiczny i szyfrogram wiadomości), jest w stanie odzyskać   obchodząc w jakiś sposób ten problem.

Przypisy

edytuj
  1. Taher Elgamal w serwisie LinkedIn (ang.).
  2. ElGamal Część z serii dokumentów o algorytmach szyfrujących (ang.)
  3. [1] Wpis na what-why-how o protokole Diffiego-Hellmana (ang.)