公開密鑰密碼系統(tǒng)

引言
隨著計算機(jī)和電子通訊技術(shù),包括因特網(wǎng)的迅猛發(fā)展,金融電子化的步伐大大加快,這 種電子化、數(shù)字化的趨勢已經(jīng)波及社會生活的幾乎所有的方面。人與人之間的許多交往活 動,包括商業(yè)貿(mào)易、金融財務(wù)和其他經(jīng)濟(jì)活動中,不少已以數(shù)字化信息的方式在網(wǎng)上流動著 。"數(shù)字化經(jīng)濟(jì)"(Digital Economy)的圖景已經(jīng)浮現(xiàn),電子商業(yè)、電子銀行和電子貨幣的研 究、實(shí)施和標(biāo)準(zhǔn)化正在緊鑼密鼓地進(jìn)行中。許多傳統(tǒng)上基于紙面的,常常需要簽名蓋章的 重要憑證,諸如紙幣、存單、支票、股票、公函、合同、租約、遺囑、選票、法律文書、 身份證件、學(xué)歷證書等等,已陸續(xù)轉(zhuǎn)化為數(shù)字電子媒體的形式出現(xiàn)。這種轉(zhuǎn)化方興未艾,前 景輝煌,雖然未必會有百分之百的轉(zhuǎn)化,但對社會、經(jīng)濟(jì)、商業(yè)、金融乃至個人生活各方面 的影響將是深刻的。

然而,從基于紙面轉(zhuǎn)化為基于數(shù)字電子媒體的形式后,在生成、傳輸、保存、驗(yàn)證和鑒 定等多方面出現(xiàn)了新的技術(shù)需求、問題和困難。無疑,其中最重要的是安全問題:怎樣才能 確保原始信息不會被竊取、竊聽?不能被偽造、篡改?怎樣才能確認(rèn)信息發(fā)送者的真實(shí)性? 怎樣才能保證信息發(fā)送者無法抵賴?

必須注意,那些機(jī)密的、甚至價值連城的重要信息常常需要在公開的網(wǎng)絡(luò)上傳送。"公 開"和"機(jī)密"雖有其水火不相容的一面,在需要的場合,它們還是可以協(xié)調(diào)共存,相互補(bǔ)充的 。"公開密鑰密碼系統(tǒng)"(public-key cryptosystem,或稱"公開密鑰密碼體制")的巧妙方法 比較成功地解決了上述問題,并已在業(yè)界得到了廣泛的應(yīng)用。

密碼學(xué)
公開密鑰密碼體制是現(xiàn)代密碼學(xué)的最重要的發(fā)明和進(jìn)展。說起密碼學(xué)(cryptography ,或稱密碼術(shù)),在大家的印象中,主題應(yīng)該是保護(hù)信息傳遞的機(jī)密性。確實(shí),保護(hù)敏感的通 訊一直是密碼學(xué)多年來的重點(diǎn)。但是,這僅僅是當(dāng)今密碼學(xué)的主題的一個方面,對信息發(fā)送 人的身份的驗(yàn)證,正是密碼學(xué)主題的另一方面。公開密鑰密碼體制為這兩方面的問題都給 出了出色的答案,并正在繼續(xù)產(chǎn)生許多新的思想和方案。

與"公開密鑰密碼體制"相對應(yīng)的是"傳統(tǒng)密碼體制",又稱"對稱密鑰密碼體制",其中用 于加密的密鑰與用于解密的密鑰完全一樣,如圖1所示。

圖1 對稱密鑰密碼體制

在對稱密鑰密碼體制中,加密運(yùn)算與解密運(yùn)算使用同樣的密鑰。通常,使用的加密算法 比較簡便高效,密鑰簡短,破譯極其困難。但是,在公開的計算機(jī)網(wǎng)絡(luò)上安全地傳送和保管 密鑰是一個嚴(yán)峻的問題。1976年,Diffie和Hellman為解決密鑰管理問題,在他們的奠基性 的工作"密碼學(xué)的新方向"一文中,提出一種密鑰交換協(xié)議,允許在不安全的媒體上通訊雙方 交換信息,安全地達(dá)成一致的密鑰。在此新思想的基礎(chǔ)上,很快出現(xiàn)了"不對稱密鑰密碼體 制",即"公開密鑰密碼體制",其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以 用,解密密鑰只有解密人自己知道,分別稱為"公開密鑰"(public-key)和"秘密密鑰"(PRiv ate-key),如圖2所示。

圖2 公開密鑰密碼體制

模算術(shù)
要了解公開密鑰密碼體制的基本原理,有必要簡略地介紹一些初等數(shù)論的知識。先以 7日一循環(huán)的星期為例,我們有0,1,2,3,4,5,6這七個數(shù),0代表星期日,或"0天",1代表星期 一,或"1天",依次類推。在這個"數(shù)系統(tǒng)"中,很容易得到加法表。如圖3所示。

圖3 模7加法表(mod 7)

這種加法就是所謂"模"計算,7是"模"值,可以寫出:

5+4=2 mod 7(星期五加四天是星期二)

2+3=5 mod 7(星期二加三天是星期五)

3+4=0 mod 7(星期三加四天是星期日)等等。由于乘法是連加,乘冪是連乘,也就不難 寫出模7乘法表和乘冪表。如圖4,圖5所示。這些特殊的運(yùn)算,尤其是乘冪運(yùn)算,再聯(lián)系到" 星期幾"已無多大意義。然而,在一些公開密鑰密碼系統(tǒng)中,同余乘冪運(yùn)算有著重要的地位 ,不過"模"值遠(yuǎn)遠(yuǎn)超過7,是很大的數(shù),往往是幾百位的十進(jìn)制數(shù)(或上千位的二進(jìn)制數(shù))。

圖4 模7乘法表(mod 7)

圖5 模7乘冪表(mod 7)

仔細(xì)觀察一下圖5中的模7乘冪表,可見對a=3而言,31、32、33、34、35、36正好填滿 了1、2、3、4、5、6六個非零值,對a=5也有此性質(zhì),而對a=1、2、4、6則不然。我們稱具 有這種性質(zhì)的值為"生成元"。大家知道,乘冪運(yùn)算的逆運(yùn)算是對數(shù)運(yùn)算,現(xiàn)在,圖5中同余式 乘冪的逆運(yùn)算結(jié)果如圖6所示,有確切意義的僅有a=3和a=5兩個"生成元"值。這種對數(shù)被稱 為"離散對數(shù)",也可用log表示,如圖6所示。離散對數(shù)的概念在公開密鑰密碼系統(tǒng)中,也有 著重要的地位。

圖6 離散對數(shù)表(mod 7)

RSA公開密鑰密碼系統(tǒng)
RSA公開密鑰密碼系統(tǒng)是由R.Rivest、A.Shamir和L.Adleman于1977年提出的。RSA的 取名就是來自于這三位發(fā)明者的姓的第一個字母,后來,他們在1982年創(chuàng)辦了以RSA命名的 公司RSA Data Security Inc.和RSA實(shí)驗(yàn)室,該公司和實(shí)驗(yàn)室在公開密鑰密碼系統(tǒng)的研究和 商業(yè)應(yīng)用推廣方面具有舉足輕重的地位。

現(xiàn)在,用一個簡單的例子來說明RSA公開密鑰密碼系統(tǒng)的工作原理。取兩個質(zhì)數(shù)p=11, q=13,p和q的乘積為n=p×q=143,算出另一個數(shù)z=(p-1)×(q-1)=120;再選取一個與z=120互 質(zhì)的數(shù),例如e=7(稱為"公開指數(shù)"),對于這個e值,可以算出另一個值d=103(稱為"秘密指數(shù) ")滿足e×d=1 mod z;其實(shí)7×103=721除以120確實(shí)余1。(n,e)和(n,d)這兩組數(shù)分別為"公 開密鑰"和"秘密密鑰。"

設(shè)想張小姐需要發(fā)送機(jī)密信息(明文,即未加密的報文)s=85給李先生,她已經(jīng)從公開媒 體得到了李先生的公開密鑰(n,e)=(143,7),于是她算出加密值

c=s[RUe] mod n=85[RU7] mod 143=123并發(fā)送給李先生。李先生在收到"密文"(即經(jīng)加密的報 文)c=123后,利用只有他自己知道的秘密密鑰(n,d)=(143,123)計算123123 mod 143,得到 的值就是明文(值)85,實(shí)現(xiàn)了解密。其中的計算用一般公式來表達(dá),是

c[RUd] mod n=(s[RUe])[RUd] mod n=s[RUed] mod n

根據(jù)初等數(shù)論中的歐拉(Euler)定理,應(yīng)用s[RUz]=1 mod n,所以

s[RUed]=s mod n

所以,李先生可以得到張小姐發(fā)給他的真正的信息s=85。

自然,我們要問,在李先生向公眾提供了公開密鑰,密文c又是通過公開的途徑傳送的, 其安全性何在?

回答是,只要n足夠大,例如,有512比特,或1024比特甚至2048比特,n=p×q中的p和q的 位數(shù)差不多大小,任何人只知道公開密鑰(n,e),目前是無法算出秘密密鑰(n,d)的。其困難 在于從乘積n難以找出它的兩個巨大的質(zhì)數(shù)因子。

對上面例子中的n=143,只是示意用的,用來說明RSA公開密鑰密碼系統(tǒng)的計算過程,從 143找出它的質(zhì)數(shù)因子11和13是毫不困難的。對于巨大的質(zhì)數(shù)p和q,計算乘積n=p×q非常簡 便,而逆運(yùn)算卻難而又難,這是一種"單向性"。相應(yīng)的函數(shù)稱為"單向函數(shù)"。任何單向函數(shù) 都可以作為某一種公開密鑰密碼系統(tǒng)的基礎(chǔ),而單向函數(shù)的安全性也就是這種公開密鑰密 碼系統(tǒng)的安全性。

公開密鑰密碼系統(tǒng)的一大優(yōu)點(diǎn)是不僅可以用于信息的保密通訊,又可以用于信息發(fā)送 者的身份驗(yàn)證(Authentication),或數(shù)字簽名(Digital Signature),我們?nèi)杂美觼碜魇?意說明。

李先生要向張小姐發(fā)送信息m(表示他的身份,可以是他的身份證號碼,或其名字的漢字 的某一種編碼值),他必須讓張小姐確信該信息是真實(shí)的,是由李先生本人所發(fā)的。為此,他 使用自己的秘密密鑰(n,d)計算

s=md mod n建立了一個"數(shù)字簽名",通過公開的通訊途徑發(fā)給張小姐。張小姐則使李 先生的公開密鑰(n,e)對收到的s值進(jìn)行計算

s[RUe] mod n=(md)e mod n=m

這樣,她經(jīng)過驗(yàn)證,知道信息s確實(shí)代表了李先生的身份,只有他本人才能發(fā)出這一信息 ,因?yàn)橹挥兴约褐烂孛苊荑€(n,d),其他任何人即使知道李先生的公開密鑰(n,e),也無 法猜出或算出他的秘密密鑰來冒充他的"簽名"。

RSA的安全性
RSA公開密鑰密碼體制的安全性取決于從公開密鑰(n,e)計算出秘密密鑰(n,d)的困難 程度,而后者則等同于從n找出它的兩個質(zhì)因數(shù)p和q。因此,尋求有效的因數(shù)分解的算法就 是尋求一把銳利的"矛",來擊穿RSA公開密鑰密碼系統(tǒng)這個"盾"。數(shù)學(xué)家和密碼學(xué)家們一直 在刻苦努力尋求更銳利的"矛"和更堅固的"盾",而且不僅限于RSA一種方案。在此,我們只 考慮RSA的情況。

最簡單的考慮是加厚我們的"盾",即n取更大的值,RSA實(shí)驗(yàn)室認(rèn)為,512比特的n已不夠 安全,在1997年或1998年后應(yīng)停止使用。他們建議,現(xiàn)在的個人應(yīng)用需要用768比特的n,公 司要用1024比特的n,極其重要的場合應(yīng)該用2048比特的n。RSA實(shí)驗(yàn)室還認(rèn)為,768比特的n 可望到2004年仍保持安全。

計算機(jī)硬件的迅速發(fā)展勢頭是不可阻擋的,這一因素對RSA的安全性是很有利的,因?yàn)?硬件的發(fā)展給"盾"帶來的好處要多于"矛"。硬件計算能力的增強(qiáng)使我們可以給n加大幾十 個比特,但不致放慢加密解密的計算,但同樣水平的硬件計算能力的增強(qiáng)給予因數(shù)分解計算 的幫助卻不那么大。

計算機(jī)軟件和算法的發(fā)展對RSA的安全性的影響,情況比較復(fù)雜。至今,不管用怎樣的 硬件和軟件,大數(shù)的因數(shù)分解確實(shí)是極端困難的任務(wù)。

1977年,《科學(xué)的美國人》雜志懸賞征求分解一個129位十進(jìn)數(shù)(426比特),直至1994年 3月,才由Atkins等人在因特網(wǎng)上動用了1600臺計算機(jī),前后花了八個月的時間,才找出了答 案。然而,這種"困難性"在理論上至今未能嚴(yán)格證明,但又無法否定。對于許多密碼研究分 析人員和數(shù)學(xué)家而言,因數(shù)分解問題的"困難性"仍是一種信念,一種有一定根據(jù)的合理的信 念。

總之,隨著硬件資源的迅速發(fā)展和因數(shù)分解算法的不斷改進(jìn),為保證RSA公開密鑰密碼 體制的安全性,最實(shí)際的做法是不斷增加模n的位數(shù)。

RSA的實(shí)用考慮
不對稱密鑰密碼體制(即公開密鑰密碼體制)與對稱密鑰密碼體制相比較,確實(shí)有其不 可取代的優(yōu)點(diǎn),但它的運(yùn)算量遠(yuǎn)大于后者,超過幾百倍、幾千倍甚至上萬倍,復(fù)雜得多。

在網(wǎng)絡(luò)上全都用公開密鑰密碼體制來傳送機(jī)密信息,是沒有必要的,也是不現(xiàn)實(shí)的。在 計算機(jī)系統(tǒng)中使用對稱密鑰密碼體制已有多年,既有比較簡便可靠的,久經(jīng)考驗(yàn)的方法,如 以DES(數(shù)據(jù)加密標(biāo)準(zhǔn))為代表的分塊加密算法(及其擴(kuò)充DESX和Triple DES);也有一些新的 方法發(fā)表,如由RSA公司的Rivest研制的專有算法RC2、RC4、RC5等,其中RC2和RC5是分塊加 密算法,RC4是數(shù)據(jù)流加密算法。

在傳送機(jī)密信息的網(wǎng)絡(luò)用戶雙方,如果使用某個對稱密鑰密碼體制(例如DES),同時使 用RSA不對稱密鑰密碼體制來傳送DES的密鑰,就可以綜合發(fā)揮兩種密碼體制的優(yōu)點(diǎn),即DES 高速簡便性和RSA密鑰管理的方便和安全性。

關(guān)于RSA數(shù)字簽名,前面的示意性介紹是不實(shí)用的,因?yàn)槔钕壬?簽名"未與任何應(yīng)簽 署的報文(message)相聯(lián)系,留下了篡改、冒充或抵賴的可能性。為了把那些千差萬別報文 與數(shù)字簽名不可分割地結(jié)合在一起,要設(shè)法從報文中提取一種確定格式的、符號性的摘要 ,稱為"報文摘要"(message digest),更形象的說法是一種"數(shù)字指紋"(digital fingerpr int),然后對它"簽名"并發(fā)送。

如果李先生要發(fā)送一個需簽署的報文給張小姐,通訊安全軟件會調(diào)用某種報文摘要算 法處理報文內(nèi)容,得出一個數(shù)字指紋,然后用李先生自己的秘密密鑰將它加密,這才是真正 的數(shù)字簽名,將它同報文一并發(fā)送給張小姐。

張小姐收到報文和數(shù)字簽名后,她用李先生的公開密鑰將數(shù)字簽名解密,恢復(fù)出數(shù)字指 紋。接著用李先生所用的一樣的報文摘要算法處理報文內(nèi)容,將算出的數(shù)字指文與收到的 經(jīng)解密的數(shù)字指紋比較,如果兩者完全相同,則李先生的數(shù)字簽名被張小姐驗(yàn)證成功,她可 以相信報文是真實(shí)的,確實(shí)發(fā)自李先生。否則,報文可能來自別處,或者被篡改過,她有理由 拒絕該報文。

用上述方法,別人也不難讀取報文并驗(yàn)證數(shù)字簽名,這在實(shí)用中是不妥當(dāng)?shù)摹槭箞笪?本身的內(nèi)容不泄露給外人,李先生只要再添一個操作步驟:用張小姐的公開密鑰先將待發(fā)的 報文加密,當(dāng)然,張小姐在驗(yàn)證數(shù)字簽名無誤后,要用她自己的秘密密鑰解密,才能得到原始 的機(jī)密信息。

即使這樣做,別人還是可以插手驗(yàn)證數(shù)字簽名,在實(shí)用中或許也要求改進(jìn),排除掉這種 可能性。其實(shí),網(wǎng)上安全通訊實(shí)用中還有著多種不同的要求,研究人員已經(jīng)提出了多種不同 的數(shù)字簽名方案,以滿足各種需求。其他不同的加密方案和數(shù)字簽名方案,乃至不同的公開 密鑰密碼體制的研究,也正在緊鑼密鼓地進(jìn)行之中。

數(shù)字指紋
在數(shù)字簽名中有重要作用的"報文摘要"算法,即生成報文"數(shù)字指紋"的方法,近年來倍 受關(guān)注,構(gòu)成了現(xiàn)代密碼學(xué)的一個重要側(cè)面。

其實(shí),報文摘要算法就是一類特殊的散列函數(shù)(hash函數(shù),在計算機(jī)數(shù)據(jù)信息的檢索過 程中有廣泛應(yīng)用),這些特殊要求是:

?接受的輸入報文數(shù)據(jù)沒有長度限制;

?對任何輸入報文數(shù)據(jù)生成固定長度的摘要("數(shù)字指紋")輸出;

?由報文能方便地算出摘要;

?難以對指定的摘要生成一個報文,由該報文可以得出指定的摘要;

?難以生成兩個不同的報文具有相同的摘要。

顯然,上面前三點(diǎn)是適用性的要求,保證對長短不一的報文易于生成同樣大小的"數(shù)字 指紋";后三點(diǎn)則是安全性的要求,是建立在某種單向函數(shù)的基礎(chǔ)之上的。

從八十年代末到九十年代,Rivest開發(fā)了好幾種RSA公司專有的報文摘要算法,包括MD 、MD2、md5等。以1991年發(fā)表的MD5為例,是克服了MD4算法的安全性缺陷的產(chǎn)物,"數(shù)字指 紋"的大小是128比特。1994年發(fā)表的一個研究報告稱,可以花費(fèi)一千萬美元去制造一臺專 門的機(jī)器,針對MD5搜索兩個不同的報文具有相同的摘要,即"碰撞"現(xiàn)象,平均用24天才能找 到一個碰撞。至今,MD5被認(rèn)為仍是一個安全的報文摘要算法。

專用數(shù)字簽名方案
前面介紹的RSA數(shù)字簽名方案的例子屬于所謂"常規(guī)數(shù)字簽名方案",這類方案具有如下 特點(diǎn):

?簽名者知道他簽署的報文的內(nèi)容;

?任何人只要知道簽名者的公開密鑰,就可以在任何時間驗(yàn)證簽名的真實(shí)性,不需要簽 名者的"同意"信號或來自其他方面的信號;

?具有基于某種單向函數(shù)運(yùn)算的安全性。

但在電子貨幣、電子商業(yè)和其他的網(wǎng)絡(luò)安全通訊的實(shí)用中,可能 要放寬或加強(qiáng)上列特 征中的一個或幾個,或添上其他安全性特征,以適應(yīng)各種不同的需求。

例如,在因特網(wǎng)上購買商品或服務(wù),要向供應(yīng)商(由銀行)付款,顧客發(fā)出包含有他的銀 行帳號或別的重要信息的付款報文,由收款者作出(電子)簽名才能生效,但帳號之類的信息 又不宜泄露給簽名者,以保證安全。這種情況,就要使用"專用數(shù)字簽名方案"中的一種:"盲 簽名方案"(Blind Signature Scheme)。

盲簽名方案的工作原理是這樣的:張小姐有報文m要求李先生簽署,但不能讓李先生知 道關(guān)于報文m的任何一點(diǎn)信息。設(shè)(n,e)是李先生的公開密鑰,(n,d)是他的秘密密鑰。張小 姐用她的安全通訊軟件生成一個與n互質(zhì)的隨機(jī)數(shù)r,將

m′=r[RUe]m mod n發(fā)送給李先生,這樣,李先生收到的是被r所"遮蔽"的m值,即m′,他不可 能從m′中獲取有關(guān)m的信息。接著,李先生發(fā)回簽名值

s′=(m′)d mod n=(r[RUe]m)d mod n=rmd mod n

張小姐對收到的s′計算

s′r-1 mod n=md mod n

就得到了真正的來自李先生的對m的簽名

s=m[RUd] mod n

可見,運(yùn)用盲簽名方案,張小姐無法代替或冒充李先生的簽名,而李先生則不知道他自 己所簽署的報文的真實(shí)內(nèi)容。

除了盲簽名方案之外,我們簡單介紹另外幾種專用數(shù)字簽名方案:

?"指定批準(zhǔn)人簽名方案"(Designated Confirmer Signature Scheme)

某個指定的人員可以自行驗(yàn)證簽名的真實(shí)性,其他任何人除非得到該指定人員或簽名 者的幫助,不能驗(yàn)證簽名。

?"小組簽名方案"(Group Signature Scheme)

一個小組的任一成員可以簽署文件,驗(yàn)證者可以確認(rèn)簽名來自該小組,但不知道是小組 的哪一名成員簽署了文件。

?"一次性簽名方案"(One-time Signature Scheme)

僅能簽署單個報文的簽名方案。

?"不可抵賴簽名方案"(Undeniable Signature Scheme)

在簽名和驗(yàn)證的常規(guī)成分之外添上"抵賴協(xié)議"(Disavowal Protocol),則僅在得到簽 名者的許可信息號后才能進(jìn)行驗(yàn)證。

?帶有"數(shù)字時間標(biāo)記系統(tǒng)"(Digital Timestamping System)的簽名方案

將不可篡改的時間信息納入數(shù)字簽名方案。

從列舉的專用數(shù)字簽名方案簡介可以看到,為適應(yīng)實(shí)用需求,數(shù)字簽名方案是頗為豐富 多彩的。

Diffie-Hellman密鑰一致協(xié)議
在本文的末尾,我們來回顧一下公開密鑰密碼體制的奠基人Diffie和Hellman所提出的 "指數(shù)密鑰一致協(xié)議"(Exponential Key Agreement Protocol),該協(xié)議不要求別的安全性 先決條件,允許兩名用戶在公開媒體上交換信息以生成"一致"的,可以共享的密鑰。

協(xié)議要求設(shè)定兩個參數(shù)p和g,p是一個大質(zhì)數(shù),g是模p指數(shù)運(yùn)算的生成元,p和g都是公開 的,系統(tǒng)中任何人都可用。

設(shè)想兩名用戶張小姐和李先生要得出一個共享的密鑰,首先各自生成隨機(jī)數(shù),如果和張 小姐的隨機(jī)數(shù)是a,她由a算出一個公開值。

k[RDa]=g[RUa] mod p發(fā)送給李先生。同樣,如果李先生的隨機(jī)數(shù)是b,他由b算出一個公開值

k[RDb=g[RUb] mod p發(fā)送給張小姐。然后他們收到公開值kb和ka分別用自己的隨機(jī)數(shù)a和b作 模p指數(shù)運(yùn)算,可得

k[RDab]=(k[RDb])[RUa] mod p=(g[RUb])[RUa] mod p=g[RUba] mod p

K[RDba]=(k[RDa])[RUb] mod p=(g[RUa])[RUb] mod p=g[RUab] mod p

兩者是相等的,即

k=k[RDab]=k[RDba]

這樣,張小姐和李先生經(jīng)過在公開媒體上交換信息,生成了共享密鑰k。

由于p、g、ka和kb都是公開的值,任何人只要能算出模p離散對數(shù)loggk[RDa]和loggk[RDb]就得 到了秘密值a或b。因此,Diffie-Hellman密鑰一致協(xié)議的安全性取決于離散對數(shù)計算的困 難性,在p是巨大質(zhì)數(shù)的場合,模p指數(shù)運(yùn)算確實(shí)是一個單向函數(shù)。

研究表明,在p與n的比特數(shù)相同時,模p離散對數(shù)計算與n的因數(shù)分解計算的困難程度相 當(dāng);1991年有實(shí)驗(yàn)證明,計算要比因數(shù)分解計算略困難一些,即對100(十進(jìn))位的p值的離散 對數(shù)計算所付出的努力與對110位n值因數(shù)分解計算差不多。

模p離散對數(shù)方法在前文提及的一些專用數(shù)字簽名方案中有著實(shí)際的應(yīng)用;同時,為尋 求新的、更好的公開密鑰密碼體制,基于其他數(shù)學(xué)理論的離散對數(shù)方法是很吸引人的,所謂 "橢圓曲線公開密鑰密碼體制"就是其中的一種,是當(dāng)前國際密碼學(xué)界的一個熱點(diǎn)。 (數(shù)據(jù)處理者注：A[RUx]----表示A的右上腳注為x, A[RDx]----表示A的右下腳注為x

--------------------------------------------------------------------------------