RU2325768C1

RU2325768C1 - Method of generation and authenticity check of electronic digital signature, which certifies electronic document

Info

Publication number: RU2325768C1
Application number: RU2006138734/09A
Authority: RU
Inventors: н Николай Андреевич Молдов (RU); Николай Андреевич Молдовян; н Александр Андреевич Молдов (RU); Александр Андреевич Молдовян
Original assignee: Николай Андреевич Молдовян
Priority date: 2006-11-02
Filing date: 2006-11-02
Publication date: 2008-05-27

Abstract

FIELD: technological processes.

SUBSTANCE: invention is related to the sphere of cryptographic devices and methods of checking electronic digital signature (EDS). In the method the secret key (SK) is formed, which includes three prime many-digit binary numbers ρ, q and γ. The open key (OK) is formed, which contains three many-digit binary numbers n, α and β, where n=Eρq+l, E - even number, α - number, which is related to index q by module n, and β - number, which is related to index γ by module q. Electronic document (ED) is accepted in the form of many-digit binary number H, electronic digital signature (EDS) Q is formed depending on values of SK, OK and many-digit binary number H, the first checking many-digit binary number A is formed depending on Q, intermediate many-digit binary number W is formed depending on OK and many-digit binary number H, the second checking many-digit binary number B is formed depending on W, and numbers A and B are compared. In case parameters of numbers A and B match, conclusion is drawn about authenticity of electronic digital signature.

EFFECT: reduces size of electronic digital signature without reduction of its resistance level.

8 cl

Description

Изобретение относится к области электросвязи и вычислительной техники, а конкретнее к области криптографических способов аутентификации электронных сообщений, передаваемых по телекоммуникационным сетям и сетям ЭВМ, и может быть использовано в системах передачи электронных сообщений (документов), заверенных электронной цифровой подписью (ЭЦП) (толкование используемых в описании терминов приведено в Приложении 1).The invention relates to the field of telecommunications and computer technology, and more particularly to the field of cryptographic authentication methods for electronic messages transmitted over telecommunication networks and computer networks, and can be used in electronic message systems (documents) certified by electronic digital signature (EDS) (interpretation of the description of terms is given in Appendix 1).

Известен способ формирования и проверки ЭЦП, описанный в книгах [1. М.А. Иванов. Криптография. М., КУДИЦ-ОБРАЗ, 2001; 2. А.Г. Ростовцев, Е.Б. Маховенко. Введение в криптографию с открытым ключом. С-Петербург, Мир и семья, 2001. - с.43]. Известный способ заключается в следующей последовательности действий:A known method of formation and verification of digital signature, described in books [1. M.A. Ivanov. Cryptography. M., KUDITS-IMAGE, 2001; 2. A.G. Rostovtsev, E.B. Makhovenko. Introduction to public key cryptography. St. Petersburg, Peace and Family, 2001. - p. 43]. The known method consists in the following sequence of actions:

формируют секретный ключ в виде трех простых МДЧ p, q и d, формируют открытый ключ (n, е) в виде пары МДЧ n и e, где n - число, представляющее собой произведение двух простых МДЧ p и q, и е - МДЧ, удовлетворяющее условию ed=1 mod (p-1)(q-1), принимают электронный документ, представленный МДЧ Н, в зависимости от значения Н и значения секретного ключа формируют ЭЦП в виде МДЧ Q=S=H^d mod n;form a secret key in the form of three simple MDC p, q and d, form a public key (n, e) in the form of a pair of MDC n and e, where n is a number representing the product of two simple MDC p and q, and e is a MDC, satisfying the condition ed = 1 mod (p-1) (q-1), an electronic document submitted by MDC H is received, depending on the value of H and the value of the secret key, the digital signature is formed in the form of MDC Q = S = H ^d mod n;

формируют первое проверочное МДЧ А=Н;form the first verification MDC A = N;

формируют второе проверочное МДЧ В, для чего МДЧ S возводят в целочисленную степень е по модулю n:В=S^e mod n;form the second verification MDC B, for which MDC S is raised to an integer power e modulo n: B = S ^e mod n;

сравнивают сформированные проверочные МДЧ А и В;comparing the generated verification MDC A and B;

при совпадении параметров сравниваемых МДЧ А и В делают вывод о подлинности ЭЦП.when the parameters of the compared MDC A and B coincide, they conclude that the digital signature is authentic.

Недостатком известного способа является относительно большой размер подписи и необходимость увеличения размера подписи при разработке новых более эффективных алгоритмов разложения числа n на множители или при росте производительности современных вычислительных устройств. Это объясняется тем, что значение элемента подписи S вычисляется путем выполнения арифметических операций по модулю n, а стойкость ЭЦП определяется сложностью разложения модуля n на множители p и q.The disadvantage of this method is the relatively large size of the signature and the need to increase the size of the signature when developing new, more efficient algorithms for decomposing the number n into factors or with an increase in the productivity of modern computing devices. This is because the value of the signature element S is calculated by performing arithmetic operations modulo n, and the stability of the digital signature is determined by the complexity of the decomposition of the module n into factors p and q.

Известен также способ проверки ЭЦП Эль-Гамаля, описанный в книге [Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. - СПб, Лань, 2000. - С.156-159], который включает следующие действия:There is also a method of checking the digital signature of El-Gamal, described in the book [Moldovyan A.A., Moldovyan N.A., Sovetov B.Ya. Cryptography. - St. Petersburg, Doe, 2000. - S.156-159], which includes the following actions:

формируют простое МДЧ p и двоичное число G, являющееся первообразным корнем по модулю p, генерируют секретный ключ в виде МДЧ x, в зависимости от x формируют открытый ключ в виде МДЧ Y=G^x mod p, принимают электронный документ (ЭД), представленный в виде МДЧ Н, в зависимости от Н и секретного ключа формируют ЭЦП Q в виде двух МДЧ S и R, то есть Q=(R, S);form a simple MDC p and a binary number G, which is a primitive root modulo p, generate a secret key in the form of MDC x, depending on x form a public key in the form of MDC Y = G ^x mod p, accept the electronic document (ED) presented in in the form of MDC H, depending on H and the secret key, an EDS Q is formed in the form of two MDC S and R, that is, Q = (R, S);

осуществляют процедуру проверки ЭЦП, включающую вычисление двух контрольных параметров с использованием исходных МДЧ p, G, Y, Н, R и S путем возведения МДЧ G, Y, R в дискретную степень по модулю p и сравнение вычисленных контрольных параметров;carry out a digital signature verification procedure, including the calculation of two control parameters using the original MDC p, G, Y, H, R, and S by raising the MDC G, Y, R to a discrete power modulo p and comparing the calculated control parameters;

при совпадении значений контрольных параметров делают вывод о подлинности ЭЦП.when the values of the control parameters coincide, they conclude that the digital signature is authentic.

Недостатком данного способа также является относительно большой размер ЭЦП. Это объясняется тем, что значения элементов подписи S и R вычисляются путем выполнения арифметических операций по модулю p - 1 и по модулю p соответственно.The disadvantage of this method is also the relatively large size of the EDS. This is because the values of the signature elements S and R are calculated by performing arithmetic operations modulo p - 1 and modulo p, respectively.

Наиболее близким по своей технической сущности к заявленному является известный способ формирования и проверки подлинности ЭЦП, описанный в статье [Костин А.А., Молдовян Д.Н., Молдовян Н.А. Новая криптосистема с открытым ключом на основе RSA-модуля // Вопросы защиты информации. 2005 (68). №1. С.8-12]. Ближайший аналог (прототип) заключается в выполнении следующей последовательности действий:Closest in its technical essence to the claimed is a well-known method of forming and verifying the authenticity of the digital signature, described in the article [Kostin A.A., Moldovyan D.N., Moldovyan N.A. New public key cryptosystem based on RSA module // Information Security Issues. 2005 (68). No. 1. S.8-12]. The closest analogue (prototype) is to perform the following sequence of actions:

формируют секретный ключ в виде трех простых МДЧ p, q и γ, формируют открытый ключ (n, α) в виде пары МДЧ n и α, где n - число, представляющее собой произведение двух простых МДЧ p и q, и α - число, относящееся к показателю γ по модулю n, принимают электронный документ, представленный МДЧ Н, в зависимости от значения H и значения секретного ключа формируют ЭЦП Q в виде МДЧ S, то есть Q=S;form a secret key in the form of three simple MDC p, q and γ, form a public key (n, α) in the form of a pair of MDC n and α, where n is a number representing the product of two simple MDC p and q, and α is a number, relating to the exponent γ modulo n, an electronic document submitted by MDC H is received, depending on the value of H and the value of the secret key, the digital signature Q is formed in the form of MDC S, that is, Q = S;

формируют первое проверочное МДЧ А, для чего МДЧ S возводят в степень Н по модулю n;form the first verification MDC A, for which MDC S is raised to the power of H modulo n;

формируют второе проверочное МДЧ В, для чего МДЧ α возводят в целочисленную степень u≥1 по модулю n: В=α^u mod n;form the second verification MDC B, for which MDC α is raised to an integer power u≥1 modulo n: B = α ^u mod n;

Недостатком ближайшего аналога также является относительно большой размер подписи, что обусловлено необходимостью вычисления значения S путем выполнения арифметических операций по модулю n, размер которого для обеспечения требуемого уровня стойкости ЭЦП составляет 1024 бит и более.The disadvantage of the closest analogue is also the relatively large size of the signature, which is due to the need to calculate the value of S by performing arithmetic operations modulo n, the size of which is to provide 1024 bits or more to provide the required level of electronic signature stability.

Целью изобретения является разработка способа генерации и проверки подлинности ЭЦП, заверяющей ЭД, обеспечивающего уменьшение размера подписи без снижения уровня стойкости ЭЦП.The aim of the invention is to develop a method for generating and verifying the authenticity of an electronic digital signature, certifying an electronic signature, ensuring a reduction in the size of a signature without reducing the level of electronic signature resistance.

Поставленная цель достигается тем, что в известном способе генерации и проверки подлинности ЭЦП, заверяющей ЭД, заключающемся в том, что формируют секретный ключ, включающий три простых МДЧ p, q и γ, формируют открытый ключ, включающий, по крайней мере, два МДЧ n и α, где α<n, принимают ЭД, представленный МДЧ H, в зависимости от значения Н и значения секретного ключа формируют электронную цифровую подпись Q, формируют первое А и второе В проверочные МДЧ, сравнивают их и при совпадении их параметров делают вывод о подлинности ЭЦП, новым в заявленном способе является то, что формируют открытый ключ, включающий три МДЧ n, α и β где n=Em+1, Е - четное число и m=pq, причем n является простым числом, α - число, относящееся к показателю q по модулю n, и β - число, относящееся к показателю γ по модулю q, причем γ делит нацело число q-1 и не делит нацело число p-1, ЭЦП формируют в виде двух МДЧ R и S, то есть Q=(R, S), затем формируют первое проверочное МДЧ А в зависимости от Q, генерируют промежуточное МДЧ число W в зависимости от МДЧ Н, R, S, n, m, α и β, а второе проверочное МДЧ В формируют путем сжимающего преобразования промежуточного МДЧ W.This goal is achieved by the fact that in the known method of generating and verifying the authenticity of the digital signature verifying the ED, namely, that they form a secret key that includes three simple MDCs p, q and γ, form a public key that includes at least two MDC n and α, where α <n, take the ED represented by MDC H, depending on the value of H and the value of the secret key, form an electronic digital signature Q, form the first A and second B verification MDCs, compare them and, if their parameters coincide, make a conclusion about the authenticity EDS, new in the declared the method is that they form a public key that includes three MDCs n, α and β where n = Em + 1, E is an even number and m = pq, where n is a prime number, α is a number related to exponent q modulo n , and β is the number related to the exponent γ modulo q, and γ completely divides the number q-1 and does not completely divide the number p-1, the digital signature is formed in the form of two MDCs R and S, that is, Q = (R, S) , then the first verification MDC A is formed depending on Q, an intermediate MDC number W is generated depending on the MDC H, R, S, n, m, α and β, and the second verification MDC B is formed by compressing the of the MDF W.

Новым также является то, что первое проверочное МДЧ А формируют путем вычитания значения S из значения R.Also new is that the first verification MDC A is formed by subtracting the value of S from the value of R.

Новым также является то, что первое проверочное МДЧ А формируют путем выполнения операции деления значения R на значение S.It is also new that the first verification MDC A is formed by performing the operation of dividing the value of R by the value of S.

Новым также является то, что промежуточное МДЧ W формируют путем возведения числа α в степень Z по модулю n, где Z - МДЧ, которое вычисляют по формуле Z=β^RSH mod m или Z=Hβ^RS mod m.Also new is that the intermediate MDC W is formed by raising the number α to the power Z modulo n, where Z is the MDC, which is calculated by the formula Z = β ^RSH mod m or Z = Hβ ^RS mod m.

Новым также является то, что промежуточное МДЧ W формируют путем возведения числа α в степень Z по модулю n, где Z - МДЧ, которое вычисляют по формуле Z=β^RSH mod m или Z=Hβ^RS mod m, после чего полученное значение W дополнительно преобразуют в соответствии с формулой W←WH mod n или W←(W+Н) mod n, где знак ← обозначает операцию присваивания.Also new is that the intermediate MDC W is formed by raising the number α to the power Z modulo n, where Z is the MDC, which is calculated by the formula Z = β ^RSH mod m or Z = Hβ ^RS mod m, after which the obtained value of W is additionally transform in accordance with the formula W ← WH mod n or W ← (W + H) mod n, where the sign ← denotes the assignment operation.

Новым также является то, что промежуточное МДЧ W формируют путем возведения числа α в степень Z по модулю n, где Z - МДЧ, которое вычисляют по формуле Z=β^RHY^S mod m или Z=Hβ^RY^SH mod m, где Y=β^x mod q и x - дополнительное случайное МДЧ.Also new is that the intermediate MDC W is formed by raising the number α to the power Z modulo n, where Z is the MDC, which is calculated by the formula Z = β ^RH Y ^S mod m or Z = Hβ ^R Y ^SH mod m, where Y = β ^x mod q and x is an additional random MDC.

Новым является также и то, что сжимающее преобразование промежуточного МДЧ W выполняют с помощью хэш-функции.Also new is the fact that the compression transform of the intermediate MDC W is performed using a hash function.

Новым является также и то, что сжимающее преобразование промежуточного МДЧ W выполняют с помощью операции взятия остатка от деления промежуточного МДЧ W на простое число 6, длина которого лежит в пределах от 64 до 256 бит.Also new is the fact that the compressive transformation of the intermediate MDC W is performed using the operation of taking the remainder of dividing the intermediate MDC W by a prime number 6, the length of which ranges from 64 to 256 bits.

Благодаря новой совокупности существенных признаков путем изменения процедуры формирования проверочных МДЧ достигается уменьшение размера подписи, а выбором фиксированного размера секретного МДЧ γ обеспечивается неизменность размера подписи при увеличении размера секретного МДЧ p и q, чем и обеспечивается поддержание стойкости ЭЦП, т.е. реализуется сформулированный технический результат.Thanks to the new set of essential features, by changing the procedure for generating verification MDCs, a signature size is reduced, and the choice of a fixed size of the secret MDC γ ensures that the size of the signature remains constant when the size of the secret MDC p and q increases, which ensures the stability of the digital signature, i.e. the formulated technical result is realized.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного технического решения, отсутствуют в известных источниках информации, что указывает на соответствие заявленного изобретения условию патентоспособности «новизна».The analysis of the prior art made it possible to establish that analogues, characterized by a combination of features that are identical to all the features of the claimed technical solution, are absent in known sources of information, which indicates compliance of the claimed invention with the condition of patentability “novelty”.

Результаты поиска известных решений в данной и смежных областях с целью выявления признаков, совпадающих с отличительными от ближайшего аналога признаками заявленного объекта, показали, что они не следуют явным образом из уровня техники, что указывает на соответствие заявленного изобретения условию «изобретательский уровень».The search results for known solutions in this and related fields in order to identify features that match the distinctive features of the claimed object from the closest analogue showed that they do not follow explicitly from the prior art, which indicates compliance of the claimed invention with the condition of "inventive step".

Возможность реализации заявленного способа объясняется следующим образом. Известно, что сложность задачи разложения целого числа на два больших простых множителя зависит от длины последних, поэтому при появлении новых методов разложения увеличивают длину его простых множителей. Открытый ключ формируют в виде простого числа n=Npq+1 в зависимости от секретных простых чисел p и q, выбираемых такими, чтобы число q-1 делились на простое число γ, а число p-1 не делилось нацело на γ. Причем простое число γ выбирают длиной, примерно равной 160-256 бит, что предотвращает возможность угадывания или подбора его значения. Выбирая в качестве α некоторое число, относящееся по модулю n к показателю m, и выбирая в качестве β некоторое число, относящееся по модулю m к показателю γ, мы можем воспользоваться следующими выражениями для формирования первого и второго проверочных МДЧ А и В, соответственно:The possibility of implementing the claimed method is explained as follows. It is known that the complexity of the problem of decomposing an integer into two large prime factors depends on the length of the latter; therefore, when new decomposition methods appear, the length of its prime factors is increased. The public key is formed in the form of a prime number n = Npq + 1, depending on the secret primes p and q, chosen so that the number q-1 is divided by the prime number γ, and the number p-1 is not divisible by γ. Moreover, the prime number γ is chosen with a length of approximately 160-256 bits, which prevents the possibility of guessing or selecting its value. Choosing as α a number related modulo n to exponent m, and choosing β as a number relating modulo m to exponent γ, we can use the following expressions to form the first and second verification MDCs A and B, respectively:

иand

,

где F(W) есть некоторая сжимающая функция, вычисляемая путем выполнения сжимающего преобразования числа, являющегося ее аргументом, а элемент подписи R вычисляется по предварительно выбираемому случайному числу k по формуле

. Например, в качестве сжимающей функции можно использовать операцию взятия остатка от деления на МДЧ δ, имеющее заданную длину и определяющее размер значения функции F. В качестве сжимающей функции можно также использовать хэш-функции, описанные, например, в книге [Молдовян А.А., Молдовян Н.А. Введение в криптосистемы с открытым ключом. - СПб. БХВ-Петербург, 2005. - 286 с.; см. с.184-204].where F (W) is some compressive function calculated by performing a compressive transformation of the number, which is its argument, and the signature element R is calculated by a preselected random number k by the formula

. For example, as a compressive function, you can use the operation of taking the remainder of the division by MDC δ, which has a given length and determines the size of the value of the function F. As a compressive function, you can also use the hash functions described, for example, in the book [A. Moldovyan , Moldovyan N.A. Introduction to public key cryptosystems. - SPb. BHV-Petersburg, 2005 .-- 286 p .; see pp. 184-204].

С учетом выбора чисел α и β равенство А=В выполняется, если выполняется сравнение β^k=β^RSH mod m, а последнее сравнение выполняется тогда и только тогда, когда выполняется сравнение k≡RSH mod γ, откуда получаем формулу для вычисления подписи:Given the choice of numbers α and β, the equality A = B is fulfilled if β ^k = β ^RSH mod m is compared, and the last comparison is performed if and only if k≡RSH mod γ is compared, whence we obtain the formula for calculating the signature:

Владелец секретного числа γ может легко вычислить правильное значение элемента подписи S, которое будет зависеть от предварительно сформированного значения R и значения Н. При этом разрядность элемента подписи S не будет превышать разрядности секретного числа γ, так как число S вычисляется по модулю γ. Сформированная таким образом подпись (R, S) будет удовлетворять процедуре проверки подлинности ЭЦП. Стойкость ЭЦП определяется сложностью разложения модуля m на множители и сложностью логарифмирования по модулю p при основании α, поскольку для определения значения k по известному элементу подписи R следует предварительно найти значение β^k mod m. Поскольку число α относится к большому показателю m, то сложность логарифмирования не ниже сложности разложения m на множители или не ниже сложности логарифмирования по модулю p при основании, относящегося по модулю p к большому показателю m. Обе задачи при разрядности m равной 1024 бит и более являются практически не реализуемыми. При появлении новых методов дискретного логарифмирования или новых методов разложения числа m на множители разрядность m может быть выбрана равной 2048 бит и более при сохранении разрядности значения сжимающей функции и разрядности секретного числа γ. Разрядность сжимающей функции, равная 80-256 бит, делает пренебрежимой вероятность нахождения правильного значения подписи без использования секретного ключа. Разрядность сжимающей функции определяет разрядность элемента подписи R. С учетом этого замечания получаем, что размер подписи Q=(R, S) составляет от 240 до 512 бит. При этом в заявляемом способе формирования и проверки подлинности подписи имеется механизм, обеспечивающий сохранность размера подписи при увеличении размера чисел, задающих сложность задачи разложения на множители или дискретного логарифмирования. Сжимающую функцию F(W) можно определить через операцию взятия остатка от деления на некоторое простое число δ, имеющее требуемую разрядность: F(W)=W mod δ, где δ≠γ и разрядность числа δ равна от 80 до 256 бит.The owner of the secret number γ can easily calculate the correct value of the signature element S, which will depend on the pre-formed value of R and the value N. Moreover, the bit depth of the signature element S will not exceed the capacity of the secret number γ, since the number S is calculated modulo γ. A signature thus formed (R, S) will satisfy the digital signature authentication procedure. The stability of the EDS is determined by the complexity of factorization of the module m and the complexity of the logarithm modulo p at the base α, since to determine the value of k using the known signature element R, one must first find the value β ^k mod m. Since the number α refers to a large exponent m, the complexity of the logarithm is not lower than the complexity of factoring m or not less than the complexity of the logarithm modulo p with the base relating modulo p to the large exponent m. Both tasks with a bit capacity of m equal to 1024 bits or more are practically not feasible. With the advent of new methods of discrete logarithm or new methods of factoring the number m into factors, the bit capacity m can be chosen equal to 2048 bits or more while maintaining the bit capacity of the value of the compression function and the bit capacity of the secret number γ. The width of the compression function, equal to 80-256 bits, makes it negligible the probability of finding the correct signature value without using a secret key. The capacity of the compression function determines the capacity of the signature element R. With this remark in mind, we see that the size of the signature Q = (R, S) is from 240 to 512 bits. Moreover, in the claimed method of generating and verifying the authenticity of the signature, there is a mechanism that ensures the safety of the size of the signature while increasing the size of the numbers, setting the complexity of the task of factoring or discrete logarithm. The compression function F (W) can be determined through the operation of taking the remainder of the division by some prime number δ, having the required bit capacity: F (W) = W mod δ, where δ ≠ γ and the bit capacity of δ is from 80 to 256 bits.

Рассмотрим примеры реализации заявленного технического решения с искусственно уменьшенной разрядностью используемых чисел.Consider examples of the implementation of the claimed technical solution with artificially reduced bit depth of the numbers used.

Пример 1. Реализации заявляемого способа с иллюстрацией конкретных численных значений.Example 1. Implementation of the proposed method with an illustration of specific numerical values.

Приводимые в примере МДЧ записаны для краткости в виде десятичных чисел, которые в вычислительных устройствах представляются и преобразуются в двоичном виде, т.е. в виде последовательности сигналов высокого и низкого потенциала. При проверке подлинности ЭЦП выполняют следующую последовательность действий.The MDC given in the example are written for brevity in the form of decimal numbers, which are represented and converted in binary form in computing devices, i.e. as a sequence of high and low potential signals. During authentication, digital signatures perform the following sequence of actions.

1. Формируют секретный ключ в виде тройки МДЧ (p, q, γ), где γ=48463; МДЧ p=984413 и q=12γ+1=581557.1. Form a secret key in the form of a triple MDC (p, q, γ), where γ = 48463; MDC p = 984413 and q = 12γ + 1 = 581557.

2. Формируют открытый ключ в виде тройки чисел (n, α, β), где2. Form the public key in the form of a triple of numbers (n, α, β), where

МДЧ n=2pq+1=1144984542083, где m=pq=572492271041;MDC n = 2pq + 1 = 1144984542083, where m = pq = 572492271041;

МДЧ α=2916;MDC α = 2916;

МДЧ β=155150577833.MDC β = 155150577833.

3. Принимают открытый ключ подписывающего (n, α, β), рассылаемый, например, удостоверяющим центром по телекоммуникационным сетям.3. Accept the public key of the signer (n, α, β), sent, for example, by a certification center over telecommunication networks.

4. Принимают ЭД, представленный, например, следующим МДЧ Н (в качестве которого может быть взята, в частности, хэш-функция от ЭД): H=37975637.4. Accept the ED represented, for example, by the following MDC N (which can be taken, in particular, the hash function of the ED): H = 37975637.

5. Формируют ЭЦП Q в виде пары чисел (R, S), для чего выполняют следующие действия:5. Form the digital signature Q in the form of a pair of numbers (R, S), for which they perform the following actions:

5.1. Задают случайное число k=4757231.5.1. A random number k = 4757231 is specified.

5.2. Формируют элемент подписи R путем выполнения операций, задаваемых формулой

5.2. The signature element R is formed by performing operations specified by the formula

где δ=84713:where δ = 84713:

5.3. Формируют элемент подписи S путем выполнения операций, задаваемых формулой 5.3. The signature element S is formed by performing the operations specified by the formula

S=31318832.S = 31318832.

6. Формируют первое проверочное МДЧ А в зависимости от ЭЦП Q=(R, S):6. Form the first verification MDC And depending on the digital signature Q = (R, S):

A=R=73802.A = R = 73802.

7. Генерируют промежуточное МДЧ W в соответствии с формулой W=α^Zmod n, где Z - МДЧ, зависящее от β, Н и Q, а именно Z=β^RSH mod m=155150577833^{73802·31318832·37975637}mod572492271041=219444376609:7. The intermediate MDC W is generated in accordance with the formula W = α ^Z mod n, where Z is the MDC depending on β, H and Q, namely Z = β ^RSH mod m = 155150577833 73802 ^{· 31318832 · 37975637} mod572492271041 = 219444376609:

W=2916^219444376609 mod1144984542083=940022876369.W = 2916 ^219444376609 mod1144984542083 = 940022876369.

8. Формируют второе проверочное МДЧ В путем сжимающего преобразования промежуточного МДЧ W:8. Form a second verification MDC B by compressing the conversion of the intermediate MDC W:

В=F(W)=(W)modδ=940022876369 mod 84713=73802.B = F (W) = (W) modδ = 940022876369 mod 84713 = 73802.

9. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел А и В. Сравнение показывает, что параметры МДЧ А и В совпадают, что указывает на подлинность ЭЦП, т.е. принятая ЭЦП относится к принятому ЭД, представленному МДЧ Н, и сформирована подписывающим, которому соответствует принятый открытый ключ (n, α, β).9. Compare (for example, bitwise) the parameters of the first and second test numbers A and B. The comparison shows that the parameters of the MDC A and B are the same, which indicates the authenticity of the digital signature, ie the received EDS refers to the received ED represented by MDC N, and is formed by the signer, which corresponds to the accepted public key (n, α, β).

Рассмотренные в примере реализации заявленного способа действия обеспечивают корректность работы заявляемого способа в общем случае, т.е. для произвольной длины чисел n, α, β, p, q, γ, Н, R и S, сформированных в соответствии с заявляемым способом. Это доказывается теоретически следующим образом:Considered in the example implementation of the claimed method of action ensure the correct operation of the proposed method in the General case, i.e. for an arbitrary length of the numbers n, α, β, p, q, γ, H, R and S formed in accordance with the claimed method. This is proved theoretically as follows:

Правильное значение ЭЦП можно вычислить только при знании секретного МДЧ γ. В то же время проверка правильности подписи осуществляется с использованием открытого ключа (n, α, β). Для несанкционированного формирования ЭЦП необходимо разложить число m на множители p и q, затем разложить числа p-1 и q-1 и найти значение γ. Однако при большой разрядности числа m эта задача вычислительно нереализуема. При появлении новых методов решения задачи разложения можно увеличить длину чисел p и q, а следовательно, увеличить и длину числа m, сохраняя прежний размер числа γ и прежнюю сжимающую функции. Это обеспечит сохранение размера подписи при задании требуемого значения сложности задачи разложения числа m на множители. При этом увеличение размера числа m также приведет и к увеличению сложности задачи дискретного логарифмирования, связанную с попытками вычисления значения k путем предварительного вычисления значения β^k mod m.The correct value of the EDS can be calculated only with knowledge of the secret MDC γ. At the same time, verification of the signature is carried out using the public key (n, α, β). For the unauthorized formation of the digital signature, it is necessary to factor the number m into factors p and q, then decompose the numbers p-1 and q-1 and find the value of γ. However, with a large bit depth of the number m, this problem is computationally unrealizable. With the advent of new methods for solving the decomposition problem, one can increase the length of the numbers p and q, and consequently, increase the length of the number m, preserving the previous size of the number γ and the old compressing function. This will ensure the preservation of the size of the signature when setting the required value of the complexity of the problem of factoring the number m. Moreover, an increase in the size of the number m will also lead to an increase in the complexity of the discrete logarithm problem associated with attempts to calculate the value of k by preliminary calculating the value of β ^k mod m.

В приводимых ниже дополнительных примерах реализации заявляемого способа не указывается конкретное значение численных значений. Корректность работы способа доказывается математическим способом для произвольных значений параметров, выбранных в соответствии с описанием изобретения и конкретизацией вариантов реализации в отдельных примерах.In the following additional examples of the implementation of the proposed method does not indicate the specific value of the numerical values. The correctness of the method is proved mathematically for arbitrary values of the parameters selected in accordance with the description of the invention and the specification of the implementation options in separate examples.

Пример 2. Реализация заявляемого способа для выработки ЭЦП длиной 240 бит.Example 2. The implementation of the proposed method for generating digital signature with a length of 240 bits.

В данном примере используется число α, относящееся к показателю q по модулю n, и число β, относящееся к показателю γ по модулю q. При этом в качестве показателя γ выбирается один из делителей числа q-1, а число p выбирается таким, что число p-1 не делится нацело на γ, т.е. γ делит нацело число q-1 и не делит число p-1. Такой выбор позволяет использовать в качестве γ и δ не равных между собой простых чисел длиной 160 бит и 80 бит, соответственно, благодаря чему размер подписи сокращается до длины 240 бит при сохранении высокой криптостойкости. Высокая криптостойкость обеспечивается секретностью модуля, по которому число β относится к показателю γ. В данном примере выполняется следующая последовательность действий.In this example, we use the number α related to the exponent q modulo n, and the number β related to the exponent γ modulo q. In this case, one of the divisors of q-1 is chosen as the exponent γ, and the number p is chosen such that the number p-1 is not divisible by γ, i.e. γ completely divides the number q-1 and does not divide the number p-1. This choice allows the use of non-equal primes 160 and 80 bit long as γ and δ, respectively, due to which the signature size is reduced to a length of 240 bits while maintaining high cryptographic strength. High cryptographic strength is ensured by the secrecy of the module, according to which the number β refers to the exponent γ. In this example, the following sequence of actions is performed.

1. Формируют секретный ключ в виде тройки чисел (p, q, γ), где МДЧ γ делит нацело число q-1 и не делит число p-1, МДЧ p и q есть простые числа. Длина числа π выбирается равной 160 бит.1. A secret key is formed in the form of a triple of numbers (p, q, γ), where MDC γ divides q-1 and does not divide p-1, MDC p and q are primes. The length of the number π is chosen equal to 160 bits.

2. Формируют открытый ключ в виде тройки чисел (n, α, β), где МДЧ n=2pq+1 и α есть число, относящееся к показателю q по модулю n.2. The public key is formed in the form of a triple of numbers (n, α, β), where the MDC n = 2pq + 1 and α is a number related to exponent q modulo n.

4. Принимают ЭД, представленный, например, следующим МДЧ Н (в качестве которого может быть взята, в частности, хэш-функция от ЭД).4. Accept the ED represented, for example, by the following MDC N (for which, in particular, the hash function of the ED can be taken).

5.1. Задают случайное число k.5.1. A random number k is specified.

5.2. Формируют элемент подписи R путем выполнения операций, задаваемых формулой 5.2. The signature element R is formed by performing operations specified by the formula

где δ - дополнительное простое число длиной 80 бит. Поскольку эта формула задает вычисление по модулю длины 80 бит, то значение R имеет длину 80.where δ is an additional prime number 80 bits long. Since this formula defines a modulo calculation of 80 bits in length, the value of R has a length of 80.

Поскольку эта формула задает вычисление по модулю длины 160 бит, то значение S имеет длину 160 бит. С учетом длины элемента подписи R получаем длину ЭЦП - 240 бит.Since this formula defines a modulo calculation of 160 bits in length, the S value is 160 bits in length. Given the length of the signature element R, we obtain the length of the EDS - 240 bits.

A=R=73802.A = R = 73802.

7. Генерируют промежуточное МДЧ W в соответствии с формулой W=α^Z mod n, где Z - МДЧ, зависящее от β, Н и Q, а именно Z=Hβ^RS mod m:7. An intermediate MDC W is generated in accordance with the formula W = α ^Z mod n, where Z is the MDC depending on β, H and Q, namely Z = Hβ ^RS mod m:

8. Преобразуют промежуточное МДЧ W в соответствии с формулой 8. Convert the intermediate MDC W in accordance with the formula

в результате чего получаем значение:resulting in the value:

9. Формируют второе проверочное МДЧ В путем сжимающего преобразования промежуточного МДЧ W:9. Form a second verification MDC B by compressing the conversion of the intermediate MDC W:

10. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел А и В.10. Compare (for example, bitwise) the parameters of the first and second test numbers A and B.

Совпадение значений А и В будет означать, что ЭЦП является подлинной, т.е. относящейся к принятому ЭД, представленному МДЧ Н, и сформирована подписывающим, которому соответствует принятый открытый ключ (n, α, β).The coincidence of the values of A and B will mean that the digital signature is genuine, i.e. related to the received ED represented by MDC N, and formed by the signer, which corresponds to the accepted public key (n, α, β).

Это доказывается теоретически следующим образом. Мы имеем This is proved theoretically as follows. We have

Поскольку α есть число, относящееся к показателю q по модулю n, то Since α is a number related to the exponent q modulo n, then

и and

поэтому справедливы следующие преобразования:therefore, the following transformations are valid:

Пример 3. Реализация заявляемого способа для выработки ЭЦП длиной 320 бит.Example 3. The implementation of the proposed method for generating EDS with a length of 320 bits.

В данном примере используется число α, относящееся к показателю q по модулю n, и число β, относящееся к показателю γ по модулю q. При этом в качестве показателя γ выбирается один из делителей числа q-1, а число p выбирается таким, что число p-1 не делится нацело на γ, т.е. γ делит нацело число q-1 и не делит число p-1. В данном примере используются не равные между собой простые числа γ и δ длиной по 160 бит каждое, поэтому размер подписи составляет 320 бит при сохранении высокой криптостойкости. Высокая криптостойкость обеспечивается секретностью модуля, по которому число β относится к показателю γ. В данном примере выполняется следующая последовательность действий.In this example, we use the number α related to the exponent q modulo n, and the number β related to the exponent γ modulo q. In this case, one of the divisors of q-1 is chosen as the exponent γ, and the number p is chosen such that the number p-1 is not divisible by γ, i.e. γ completely divides the number q-1 and does not divide the number p-1. In this example, unequal primes γ and δ are used with a length of 160 bits each, so the signature size is 320 bits while maintaining high cryptographic strength. High cryptographic strength is ensured by the secrecy of the module, according to which the number β refers to the exponent γ. In this example, the following sequence of actions is performed.

1. Формируют секретный ключ в виде тройки чисел (p, q, γ), где МДЧ γ делит нацело число q-1 и не делит число p-1, МДЧ p и q есть простые числа. Длина числа γ выбирается равной 160 бит.1. A secret key is formed in the form of a triple of numbers (p, q, γ), where MDC γ divides q-1 and does not divide p-1, MDC p and q are primes. The length of the number γ is chosen equal to 160 bits.

2. Формируют открытый ключ в виде тройки чисел (n, α, β), где МДЧ n=2pq+1, а есть число, относящееся к показателю q по модулю n и β есть число, относящееся к показателю γ по модулю q.2. The public key is formed in the form of a triple of numbers (n, α, β), where the MDC n = 2pq + 1, and there is a number related to the exponent q modulo n and β is a number related to the exponent γ modulo q.

5.2. Генерируют вспомогательное МДЧ G в соответствии с формулой: 5.2. Generate auxiliary MDC G in accordance with the formula:

где δ - дополнительное простое число длиной 160 бит. Поскольку эта формула задает вычисление по модулю длины 160 бит, то значение G имеет длину 160.where δ is an additional prime number with a length of 160 bits. Since this formula defines a modulo calculation of 160 bits in length, the value of G has a length of 160.

Поскольку эта формула задает вычисление по модулю длины 160 бит, то значение S имеет длину 160 бит.Since this formula defines a modulo calculation of 160 bits in length, the S value is 160 bits in length.

5.4. Формируют элемент подписи R в соответствии с формулой R=S+G. Поскольку значения S и G имеют длину 160 бит, то значение R также имеет длину примерно 160 бит. С учетом длины элементов подписи R и S получаем длину ЭЦП - 320 бит.5.4. The signature element R is formed in accordance with the formula R = S + G. Since the S and G values are 160 bits long, the R value also has a length of approximately 160 bits. Given the length of the signature elements R and S, we obtain the length of the EDS - 320 bits.

6. Формируют первое проверочное МДЧ А: А=R-S.6. Form the first verification MDC A: A = R-S.

7. Генерируют промежуточное МДЧ W в соответствии с формулой W=α^Zmod n, где Z - МДЧ, зависящее от β, Н и Q, а именно Z=β^RSHmod m:7. An intermediate MDC W is generated in accordance with the formula W = α ^Z mod n, where Z is the MDC depending on β, H and Q, namely Z = β ^RSH mod m:

Совпадение значений А и В будет означать, что ЭЦП является подлинной, т.е. относящейся к принятому ЭД, представленному МДЧ H, и сформирована подписывающим, которому соответствует принятый открытый ключ (n, α, β).The coincidence of the values of A and B will mean that the digital signature is genuine, i.e. related to the received ED represented by MDC H, and formed by the signer, which corresponds to the accepted public key (n, α, β).

Вычислим значениеCalculate the value

Поскольку α есть число, относящееся к показателю q по модулю n, тоSince α is a number related to the exponent q modulo n, then

иand

Поскольку A=R-S=(G-S)+S, то A=B.Since A = R-S = (G-S) + S, then A = B.

Пример 4. Реализация заявляемого способа для выработки ЭЦП длиной 400 бит.Example 4. The implementation of the proposed method for generating EDS with a length of 400 bits.

В данном примере используется число α, относящееся к показателю q по модулю n, и число β, относящееся к показателю γ по модулю q. При этом в качестве показателя γ выбирается один из делителей числа q-1, а число p выбирается таким, что число p-1 не делится нацело на γ. В качестве МДЧ γ и δ используются не равные между собой простые числа длиной 160 бит и 80 бит, соответственно. В данном примере выполняется следующая последовательность действий.In this example, we use the number α related to the exponent q modulo n, and the number β related to the exponent γ modulo q. In this case, one of the divisors of q-1 is chosen as the exponent γ, and the number p is chosen so that the number p-1 is not divisible by γ. As the MDC γ and δ, unequal primes 160 bits and 80 bits long are used, respectively. In this example, the following sequence of actions is performed.

2. Формируют открытый ключ в виде тройки чисел (n, α, β), где МДЧ n=2pq+1 и α есть число, относящееся к показателю q по модулю n и β есть число, относящееся к показателю γ по модулю q.2. A public key is formed in the form of a triple of numbers (n, α, β), where the MDC n = 2pq + 1 and α is a number related to exponent q modulo n and β is a number related to exponent γ modulo q.

5.2. Генерируют вспомогательное МДЧ G в соответствии с формулой:5.2. Generate auxiliary MDC G in accordance with the formula:

где δ - дополнительное простое число длиной 80 бит. Поскольку эта формула задает вычисление по модулю длины 80 бит, то значение G имеет длину 80.where δ is an additional prime number 80 bits long. Since this formula defines a modulo calculation of 80 bits in length, the value of G has a length of 80.

5.4. Формируют элемент подписи R в соответствии с формулой R=S·G. Поскольку значения S имеет длину 160 бит и G имеет длину 80 бит, то значение R, получаемое как произведение значений S и G, имеет длину, равную сумме длин значений S и G, то есть имеет длину 240 бит. С учетом длины элементов подписи R и S получаем длину ЭЦП - 400 бит.5.4. The signature element R is formed in accordance with the formula R = S · G. Since the S value has a length of 160 bits and G has a length of 80 bits, the R value obtained as the product of the values of S and G has a length equal to the sum of the lengths of the values of S and G, that is, has a length of 240 bits. Given the length of the signature elements R and S, we obtain the length of the EDS - 400 bits.

6. Формируют первое проверочное МДЧ А:6. Form the first verification MDC And:

7. Генерируют промежуточное МДЧ W в соответствии с формулой W=α^Z mod n, где Z - МДЧ, зависящее от β, H и Q, а именно Z=β^RSH mod m:7. An intermediate MDC W is generated in accordance with the formula W = α ^Z mod n, where Z is the MDC depending on β, H and Q, namely Z = β ^RSH mod m:

При формировании подписи по секретному ключу значения А и В будут совпадать, что означает подлинность ЭЦП, т.е. то, что ЭЦП относится к принятому ЭД, представленному МДЧ Н, и сформирована подписывающим, которому соответствует принятый открытый ключ (n, α, β). Это доказывается теоретически следующим образом. Мы имеем When generating a private key signature, the values of A and B will coincide, which means the authenticity of the digital signature, i.e. that the EDS refers to the received ED represented by MDCH N and is formed by the signer to which the accepted public key (n, α, β) corresponds. This is proved theoretically as follows. We have

и and

ПосколькуInsofar as

то A=B.then A = B.

Пример 5. Реализация заявляемого способа для выработки ЭЦП длиной 240 бит.Example 5. The implementation of the proposed method for generating EDS with a length of 240 bits.

В данном примере используется число α, относящееся к показателю q по модулю n, и число β, относящееся к показателю γ по модулю q. При этом в качестве показателя γ выбирается один из делителей числа q-1, причем γ не делит нацело число p-1. В качестве МДЧ γ и δ используются не равные между собой простые числа длиной 160 бит и 80 бит, соответственно, благодаря чему размер подписи в этом примере равен 240 бит. При генерации числа n используется четное число Е значением до 8192, что упрощает процедуру генерации простого МДЧ n. В данном примере выполняется следующая последовательность действий.In this example, we use the number α related to the exponent q modulo n, and the number β related to the exponent γ modulo q. In this case, one of the divisors of q-1 is chosen as the exponent γ, and γ does not completely divide the number p-1. As MDC γ and δ, unequal primes of 160 bits and 80 bits are used, respectively, due to which the signature size in this example is 240 bits. When generating the number n, an even number E is used with a value of up to 8192, which simplifies the procedure for generating a simple MDC n. In this example, the following sequence of actions is performed.

1. Формируют секретный ключ в виде тройки чисел (p, q, γ), где длина числа γ выбирается равной 160 бит.1. Form a secret key in the form of a triple of numbers (p, q, γ), where the length of the number γ is chosen equal to 160 bits.

2. Формируют открытый ключ в виде тройки чисел (n, α, β), где МДЧ n=Epq+1 есть простое число и α есть число, относящееся к показателю q по модулю n, β есть число, относящееся к показателю γ по модулю q. При этом простое МДЧ n генерируют следующим путем: формируют два простых числа p и q, после чего для различных значений четного числа Е, выбираемого из условия Е<8192, вычисляется значение n=Epq+1, а затем проверяется, является ли n простым числом. Этот способ формирования простого числа n обеспечивает с большой вероятностью нахождение для фиксированной пары чисел p и q такого четного значения Е, при котором число n=Epq+1 является простым.2. The public key is formed in the form of a triple of numbers (n, α, β), where the MDC n = Epq + 1 is a prime and α is a number related to exponent q modulo n, β is a number related to exponent γ modulo q. In this case, a simple MDC n is generated in the following way: two primes p and q are formed, after which for various values of an even number E chosen from the condition E <8192, the value n = Epq + 1 is calculated, and then it is checked whether n is a prime number . This method of generating a prime number n provides with a high probability of finding for a fixed pair of numbers p and q such an even value of E at which the number n = Epq + 1 is prime.

3. Генерируют первое вспомогательное случайное МДЧ x.3. Generate the first auxiliary random MDC x.

4. Генерируют второе вспомогательное МДЧ Y=β^x mod q.4. Generate a second auxiliary MDC Y = β ^x mod q.

5. Принимают открытый ключ подписывающего (n, α, β) и второе вспомогательное МДЧ Y, рассылаемые, например, удостоверяющим центром по телекоммуникационным сетям.5. Accept the public key of the signer (n, α, β) and the second auxiliary MDC Y, sent, for example, by a certification center over telecommunication networks.

6. Принимают ЭД, представленный, например, следующим МДЧ H (в качестве которого может быть взята, в частности, хэш-функция от ЭД).6. Accept the ED represented, for example, by the following MDC H (which can be taken, in particular, the hash function of the ED).

7. Формируют ЭЦП Q в виде пары чисел (R, S), для чего выполняют следующие действия:7. Form the digital signature Q in the form of a pair of numbers (R, S), for which they perform the following steps:

7.1. Задают случайное число k.7.1. A random number k is specified.

7.2. Формируют элемент подписи R в соответствии с формулой:7.2. The signature element R is formed in accordance with the formula:

7.3. Формируют элемент подписи S в соответствии с формулой:7.3. The signature element S is formed in accordance with the formula:

Поскольку эта формула задает вычисление по модулю длины 160 бит, то значение S имеет длину 160 бит. С учетом длины элементов подписи R и S получаем длину ЭЦП - 240 бит.Since this formula defines a modulo calculation of 160 bits in length, the S value is 160 bits in length. Given the length of the signature elements R and S, we obtain the length of the EDS - 240 bits.

8. Формируют первое проверочное МДЧ А: А=R.8. Form the first verification MDC A: A = R.

9. Генерируют промежуточное МДЧ W в соответствии с формулой W=α^z mod n, где Z - МДЧ, зависящее от β, Н и Q, а именно Z=β^RHY^S mod m, где m=pq:9. The intermediate MDC W is generated in accordance with the formula W = α ^z mod n, where Z is the MDC depending on β, H and Q, namely Z = β ^RH Y ^S mod m, where m = pq:

10. Преобразуют промежуточное МДЧ W в соответствии с формулой 10. Convert the intermediate MDC W in accordance with the formula

11. Формируют второе проверочное МДЧ В путем сжимающего преобразования промежуточного МДЧ W:11. Form a second verification MDC B by compressing the conversion of the intermediate MDC W:

12. Сравнивают (например, поразрядно) параметры первого и второго проверочных чисел А и В.12. Compare (for example, bitwise) the parameters of the first and second test numbers A and B.

Совпадение значений А и В означает, что ЭЦП является подлинной, т.е. относящейся к принятому ЭД, представленному МДЧ Н, и сформирована подписывающим, которому соответствует принятый открытый ключ. Это доказывается теоретически следующим образом. В соответствии с процедурой проверки подлинности ЭЦП мы имеем The coincidence of the values of A and B means that the digital signature is genuine, i.e. related to the received ED presented by MDC N, and is formed by the signer to which the accepted public key corresponds. This is proved theoretically as follows. In accordance with the EDS authentication procedure, we have

и and

Поскольку A=G, то A=B.Since A = G, then A = B.

Таким образом, показано, что заявляемый способ может быть положен в основу стойких систем ЭЦП, обеспечивающих уменьшение размера подписи по сравнению с известными решениями и сохранение размера подписи при появлении новых более эффективных алгоритмов решения задачи разложения чисел на множители и задачи дискретного логарифмирования, т.е. низкую вероятность несанкционированного формирования ЭЦП («ложного» подтверждения подлинности ЭЦП).Thus, it is shown that the inventive method can be the basis of persistent digital signature systems that provide a reduction in signature size compared to known solutions and preservation of signature size when new more effective algorithms for solving the factorization problem and discrete logarithm problems appear, i.e. . low probability of unauthorized formation of electronic digital signatures (“false” confirmation of the authenticity of electronic digital signatures).

Приведенный пример и математическое обоснование показывают, что предлагаемый способ генерации и проверки подлинности электронной цифровой подписи работает корректно, технически реализуем и позволяет решить поставленную задачу.The above example and mathematical justification show that the proposed method for generating and verifying the authenticity of electronic digital signatures works correctly, is technically feasible and allows us to solve the problem.

Приложение 1Annex 1

Толкование терминов, используемых в описанииInterpretation of terms used in the description

1. Двоичный цифровой электромагнитный сигнал - последовательность битов в виде нулей и единиц.1. Binary digital electromagnetic signal - a sequence of bits in the form of zeros and ones.

2. Параметры двоичного цифрового электромагнитного сигнала: разрядность и порядок следования единичных и нулевых битов.2. Parameters of a binary digital electromagnetic signal: bit depth and order of single and zero bits.

3. Разрядность двоичного цифрового электромагнитного сигнала - общее число его единичных и нулевых битов, например, число 10011 является 5-разрядным.3. The bit depth of a binary digital electromagnetic signal is the total number of its single and zero bits, for example, the number 10011 is 5-bit.

4. Электронная цифровая подпись (ЭЦП) - двоичный цифровой электромагнитный сигнал, параметры которого зависят от подписанного электронного документа и от секретного ключа. Проверка подлинности ЭЦП осуществляют с помощью открытого ключа, который зависит от секретного ключа.4. Electronic digital signature (EDS) - a binary digital electromagnetic signal, the parameters of which depend on the signed electronic document and on the secret key. EDS authentication is carried out using a public key, which depends on the secret key.

5. Электронный документ (ЭД) - двоичный цифровой электромагнитный сигнал, параметры которого зависят от исходного документа и способа его преобразования к электронному виду.5. An electronic document (ED) is a binary digital electromagnetic signal, the parameters of which depend on the original document and how it is converted to electronic form.

6. Секретный ключ - двоичный цифровой электромагнитный сигнал, используемый для формирования подписи к заданному электронному документу. Секретный ключ представляется, например, в двоичном виде как последовательность цифр «0» и «1».6. Secret key - a binary digital electromagnetic signal used to generate a signature for a given electronic document. The secret key is represented, for example, in binary form as a sequence of digits "0" and "1".

7. Открытый ключ - двоичный цифровой электромагнитный сигнал, параметры которого зависят от секретного ключа и который предназначен для проверки подлинности цифровой электронной подписи.7. Public key - a binary digital electromagnetic signal, the parameters of which depend on the secret key and which is designed to verify the authenticity of a digital electronic signature.

8. Хэш-функция от электронного документа - двоичный цифровой электромагнитный сигнал, параметры которого зависят от электронного документа и выбранного метода ее вычисления.8. A hash function of an electronic document is a binary digital electromagnetic signal, the parameters of which depend on the electronic document and the chosen method of its calculation.

9. Многоразрядное двоичное число - двоичный цифровой электромагнитный сигнал, интерпретируемый как двоичное число и представляемый в виде последовательности цифр «0» и «1».9. A multi-bit binary number is a binary digital electromagnetic signal, interpreted as a binary number and represented as a sequence of digits "0" and "1".

10. Операция возведения числа S в дискретную степень А по модулю n - это операция, выполняемая над конечным множеством натуральных чисел {0, 1, 2,..., n-1}, включающем n чисел, являющихся остатками от деления всевозможных целых чисел на число n; результат выполнения операций сложения, вычитания и умножения по модулю n представляет собой число из этого же множества [Виноградов И.М. Основы теории чисел. - М.: Наука, 1972. - 167 с.]; операция возведения числа S в дискретную степень Z по модулю n определяется как Z-кратное последовательное умножение по модулю n числа S на себя, т.е. в результате этой операции также получается число W, которое меньше или равно числу n-1; даже для очень больших чисел S, Z и n существуют эффективные алгоритмы выполнения операции возведения в дискретную степень по модулю [см. Молдовян А.А., Молдовян Н.А., Гуц Н.Д., Изотов Б.В. Криптография: скоростные шифры. - СПб, БХВ-Петербург, 2002. - С.58-61 или Б. Шнайер. Прикладная криптография. - М., изд-во «Триумф», 2002. - С.278-280] и электронные устройства осуществляющие эту операцию с большой скоростью [У. Диффи. Первые десять лет криптографии с открытым ключом // ТИИЭР. 1988. Т.76. №5. С.67-68]; выполнение операции возведения числа S в дискретную степень Z по модулю n обозначается как W=S^Z mod n, где W - число, являющееся результатом выполнения данной операции.10. The operation of raising a number S to a discrete power A modulo n is an operation performed on a finite set of natural numbers {0, 1, 2, ..., n-1}, including n numbers that are the remainders of the division of all kinds of integers by the number n; the result of the operations of addition, subtraction and multiplication modulo n is a number from the same set [Vinogradov IM Fundamentals of number theory. - M .: Nauka, 1972. - 167 p.]; the operation of raising a number S to a discrete power Z modulo n is defined as a Z-fold sequential multiplication modulo n of the number S by itself, i.e. as a result of this operation, the number W is also obtained that is less than or equal to the number n-1; even for very large numbers S, Z and n, there are effective algorithms for performing the operation of raising to a discrete power modulo [see Moldovyan A.A., Moldovyan N.A., Guts N.D., Izotov B.V. Cryptography: high-speed ciphers. - SPb, BHV-Petersburg, 2002. - P.58-61 or B. Schneier. Applied cryptography. - M., Triumph Publishing House, 2002. - P.278-280] and electronic devices performing this operation at high speed [U. Diffie The first ten years of public-key cryptography // TIIER. 1988.V. 76. No. 5. S.67-68]; the operation of raising the number S to a discrete power of Z modulo n is denoted as W = S ^Z mod n, where W is the number resulting from the operation.

11. Функция Эйлера от натурального числа n - это число чисел, являющихся взаимно простыми с n и не превосходящими n [Виноградов И.М. Основы теории чисел. - М.: Наука, 1972. - 167 с.; Бухштаб А.А. Теория чисел. - М.: Просвещение, 1966. - 384 с].11. The Euler function of a natural number n is the number of numbers that are coprime with n and not exceeding n [Vinogradov IM Fundamentals of number theory. - M .: Nauka, 1972. - 167 p .; Buchstab A.A. Number theory - M .: Education, 1966. - 384 s].

12. Показатель q по модулю n числа a, являющегося взаимно простым с n - это минимальное из чисел γ, для которых выполняется условие a^γ mod n=1, т.е. q=min{γ₁, γ₂, ...} [Виноградов И.М. Основы теории чисел. - М.: Наука, 1972. - 167 с.].12. The exponent q modulo n of the number a, which is coprime with n, is the minimum of the numbers γ for which the condition a ^γ mod n = 1 is satisfied, that is, q = min {γ ₁ , γ ₂ , ...} [I. Vinogradov Fundamentals of number theory. - M .: Nauka, 1972. - 167 p.].

13. Первообразный корень - это число, относящееся к показателю, который равен функции Эйлера от модуля.13. The antiderivative root is a number related to the exponent, which is equal to the Euler function of the module.

14. Обратный элемент по модулю n к числу а, являющемуся взаимно простым с n, есть натуральное число, обозначаемое как а^-1, для которого выполняется условие a^-1a=1; для любого числа, являющегося взаимно простым с модулем, существует элемент, обратный этому числу. Известны эффективные алгоритмы вычисления обратных элементов [Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. - М.: Радио и связь. - С.308-310].14. The inverse element modulo n to the number a, which is coprime with n, is a natural number, denoted as a ^-1 , for which the condition a ^-1 a = 1 is satisfied; for any number that is coprime with the module, there is an element inverse to this number. Effective algorithms for computing inverse elements are known [Romanets Yu.V., Timofeev P.A., Shangin V.F. Information security in computer systems and networks. - M .: Radio and communication. - S.308-310].

15. Операция деления целого числа А на целое число В по модулю n выполняется как операция умножения по модулю n числа А на целое число В^-1, которое является обратным к В по модулю n.15. The operation of dividing the integer A by an integer B modulo n is performed as the operation of multiplying modulo n the number A by an integer B ^-1 , which is the inverse of B modulo n.

Claims

1. A method for generating and authenticating an electronic digital signature certifying an electronic document, which consists in generating a secret key including three simple multi-digit binary numbers p, q and γ, generating a public key including at least two multi-bit binary numbers n and α, where α <n, receive an electronic document represented by a multi-bit binary number H, depending on the value of H and the value of the secret key, form an electronic digital signature Q, form the first A and second B verification numbers high-bit binary numbers, compare them and, if their parameters coincide, make a conclusion about the authenticity of the electronic digital signature, characterized in that they form a public key that includes three multi-bit binary numbers n, α and β, where n = Em + 1, E is an even number and m = pq, where n is a prime number, α is a number referring to exponent q modulo n, and β is a number referring to exponent γ modulo q, and γ completely divides q-1 and does not completely divide p- 1, an electronic digital signature is formed in the form of two multi-bit binary numbers R and S, that is, Q = (R , S), then the first test multi-bit binary number A is formed depending on Q, an intermediate multi-bit binary number W is generated depending on the multi-bit binary numbers H R, S, n, m, α and β, and the second test multi-bit binary number B is generated by compressing an intermediate multi-bit binary number W.

2. The method according to claim 1, characterized in that the first test multi-bit binary number A is formed by subtracting the value of S from the value of R.

3. The method according to claim 1, characterized in that the first test multi-bit binary number A is formed by performing the operation of dividing the value of R by the value of S.

4. The method according to claim 1, characterized in that the intermediate multi-bit binary number W is formed by raising the number α to the power Z modulo n, where Z is the multi-bit binary number, which is calculated by the formula Z = β ^RSH mod m or Z = Нβ ^RS mod m.

5. The method according to claim 1, characterized in that the intermediate multi-bit binary number W is formed by raising the number α to the power Z modulo n, where Z is the multi-bit binary number, which is calculated by the formula Z = β ^RSH mod m or Z = Hβ ^RS mod m, after which the obtained value of W is further transformed in accordance with the formula W ← WH mod n or W ← (W + H) mod n, where the sign ← denotes the assignment operation.

6. The method according to claim 1, characterized in that the intermediate multi-bit binary number W is formed by raising the number α to the power Z modulo n, where Z is the multi-bit binary number, which is calculated by the formula Z = β ^RH Y ^S mod m or Z = Нβ ^R Y ^SH mod m, where Y = β ^x mod q and x is an additional random multi-bit binary number.

7. The method according to claim 1, characterized in that the compressive conversion of the intermediate multi-bit binary number W is performed using a hash function.

8. The method according to claim 1, characterized in that the compressive conversion of the intermediate multi-bit binary number W is performed using the operation of taking the remainder of dividing the intermediate multi-bit binary number W by a prime number δ, the length of which ranges from 64 to 256 bits.