DSA

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 12. syyskuuta 2016 tarkistetusta versiosta . tarkastukset vaativat 76 muokkausta .

DSA, Digital Signature Algorithm
Luoja	NIST
Luotu	1991
julkaistu	1998
Avaimen koko	suljettu: 160-256 bittiä, avoin: 1024-3072 bittiä
Allekirjoituksen koko	kaksi 160-256 bitin lukua

DSA ( Digital Signature Algorithm - digitaalinen allekirjoitusalgoritmi ) - salausalgoritmi , joka käyttää yksityistä avainta (avainparista: <julkinen; yksityinen>) sähköisen allekirjoituksen luomiseen , mutta ei salaukseen (toisin kuin RSA ja ElGamal-järjestelmä ). Allekirjoitus luodaan salaa (yksityinen avain), mutta se voidaan vahvistaa julkisesti (julkinen avain). Tämä tarkoittaa, että vain yksi aihe voi luoda viestin allekirjoituksen, mutta kuka tahansa voi varmistaa, että se on oikein. Algoritmi perustuu logaritmien ottamisen laskennalliseen monimutkaisuuteen äärellisissä kentissä .

Algoritmia ehdotti National Institute of Standards and Technology ( USA ) elokuussa 1991, ja se on patentoitu [1] (patentin tekijä - David W. Kravitz), NIST teki tämän patentin käytettäväksi ilman rojalteja . DSA on osa DSS -standardia ( Digital Signature Standard), joka julkaistiin ensimmäisen kerran 15. joulukuuta 1998 (asiakirja FIPS-186 [2] ( Federal Information Processing Standards ) . Standardia on päivitetty useita kertoja [3] [4] , uusin versio on FIPS-186-4 [5] . (Heinäkuu 2013).

Algoritmin kuvaus

DSA sisältää kaksi algoritmia (S, V): luoda viestin allekirjoitus (S) ja varmistaa sen (V).

Molemmat algoritmit laskevat ensin viestin tiivisteen käyttämällä kryptografista hajautusfunktiota . Algoritmi S käyttää tiivistettä ja salaista avainta allekirjoituksen luomiseen, algoritmi V käyttää viestin tiivistettä, allekirjoitusta ja julkista avainta allekirjoituksen tarkistamiseen.

On syytä korostaa, että varsinaisesti allekirjoitettu ei ole viesti (mitunnaisen pituinen), vaan sen hash (160 - 256 bittiä), joten törmäykset ovat väistämättömiä ja yksi allekirjoitus on yleisesti ottaen voimassa useille viesteille, joilla on sama tiiviste. . Siksi riittävän "hyvän" hash-funktion valinta on erittäin tärkeää koko järjestelmälle kokonaisuutena. Standardin ensimmäisessä versiossa käytettiin SHA-1 [6] [2] hash-toimintoa ( Secure Hash Algorithm - suojattu hajautusalgoritmi) , uusimmassa versiossa voit myös käyttää mitä tahansa SHA-2- perheen algoritmia [6] [5 ] . Elokuussa 2015 julkaistiin FIPS-202 [7] , joka kuvaa uutta SHA-3- tiivistetoimintoa . Mutta nykyään se ei sisälly DSS-standardiin [5] .

Järjestelmä vaatii vastaavuuspohjan kirjoittajan todellisten tietojen (se voi olla joko henkilö tai organisaatio) ja julkisten avainten välillä sekä kaikki tarvittavat digitaalisen allekirjoituksen parametrit (hash-funktio, alkuluvut ). Esimerkiksi varmenneviranomainen voi toimia tällaisena perustana .

Digital Signature Scheme Options

Luodaksesi digitaalisen allekirjoitusjärjestelmän, sinun on suoritettava seuraavat vaiheet:

Salauksen hajautusfunktion valinta H(x).
Valitse alkuluku q , jonka dimensio N bitteinä on sama kuin hash-arvojen H(x) dimensio bitteinä.
Alkuluvun p valinta siten, että (p-1) on jaollinen q :llä . Bitin pituutta p merkitään L .
Valitaan luku g ( ) siten, että sen kertolaskuaste modulo p on yhtä suuri kuin q . Sen laskemiseen voit käyttää kaavaa , jossa h on jokin mielivaltainen luku , joka . Useimmissa tapauksissa arvo h = 2 täyttää tämän vaatimuksen. [5] $g\neq 1$ $g=h^{{(p-1)/q}}\mod p$ $h\in(1;p-1)$ $g\neq 1$

Kuten edellä mainittiin, digitaalisen allekirjoituksen menetelmän ensisijainen parametri on kryptografinen hajautusfunktio, jota käytetään muuttamaan viestin teksti numeroksi , jolle allekirjoitus lasketaan. Tämän toiminnon tärkeä ominaisuus on ulostulosekvenssin bittipituus, joka on merkitty N :llä alla . DSS -standardin ensimmäisessä versiossa suositellaan SHA-1- funktiota [2] ja sen mukaisesti etumerkityn luvun bittipituus on 160 bittiä. Nyt SHA-1 ei ole enää tarpeeksi turvallinen [8] [9] . Standardi määrittelee seuraavat mahdolliset arvoparit numeroille L ja N :

L = 1024, N = 160
L = 2048, N = 224
L = 2048, N = 256
L = 3072, N = 256

Tämän standardin mukaan suositellaan SHA-2- perheen hajautusfunktioita . Yhdysvaltain hallituksen organisaatioiden on käytettävä yhtä kolmesta ensimmäisestä vaihtoehdosta, varmentajan on käytettävä paria, joka on yhtä suuri tai suurempi kuin tilaajien käyttämä pari [5] . Järjestelmän suunnittelija voi valita minkä tahansa kelvollisen hash-funktion. Tämän vuoksi lisähuomiota ei kiinnitetä tietyn hash-funktion käyttöön.

DSA-pohjaisen kryptojärjestelmän vahvuus ei ylitä käytetyn hash-funktion vahvuutta ja parin (L,N) vahvuutta, jonka vahvuus ei ole suurempi kuin kunkin luvun vahvuus erikseen. On myös tärkeää ottaa huomioon, kuinka kauan järjestelmän on oltava suojattu. Tällä hetkellä järjestelmille, joiden on oltava pysyviä vuoteen 2010 ( 2030 ), suositellaan 2048 (3072) bitin pituutta. [5] [10]

Julkiset ja yksityiset avaimet

Salainen avain on numero $x\in(0,q)$
Julkinen avain lasketaan kaavalla $y=g^{x}\mod p$

Julkiset parametrit ovat numeroita (p, q, g, y) . On vain yksi yksityinen parametri - numero x . Tässä tapauksessa numerot (p, q, g) voivat olla yhteisiä käyttäjäryhmälle, ja numerot x ja y ovat vastaavasti tietyn käyttäjän yksityisiä ja julkisia avaimia. Viestiä allekirjoitettaessa käytetään salaisia numeroita x ja k , ja numero k on valittava satunnaisesti (käytännössä näennäissatunnaisesti) laskettaessa jokaisen seuraavan viestin allekirjoitusta.

Koska (p, q, g) voidaan käyttää useille käyttäjille, käytännössä käyttäjät jaetaan usein joidenkin kriteerien mukaan ryhmiin, joilla on sama (p, q, g) . Siksi näitä parametreja kutsutaan toimialueen parametreiksi. [5]

Viestin allekirjoitus

Viestin allekirjoitus suoritetaan seuraavan algoritmin [5] mukaisesti :

Satunnaisluvun valitseminen $k\in(0,q)$
laskeminen $r=(g^{k}\mod p)\mod q$
Valitse toinen k if $r = 0$
laskeminen $s=k^{{-1}}(H(m)+x\cdot r)\mod q$
Valitse toinen k if $s = 0$
Allekirjoitus on kokonaispituinen pari $(r,s)$ $2N$

Laskennallisesti monimutkaisia operaatioita ovat eksponentiomodulo (laskenta ), joille on olemassa nopeat algoritmit , hash laskenta , jossa monimutkaisuus riippuu valitusta hajautusalgoritmista ja syötetyn viestin koosta sekä käänteiselementin löytäminen käyttämällä esimerkiksi laajennettua euklidista. algoritmi tai Fermatin pieni lause muodossa . $g^{k}{\bmod {p))$ $H(x)$ $k^{-1}{\bmod {q))$ $k^{-1}{\bmod {q}}=k^{q-2}{\bmod {q}}$

Allekirjoituksen vahvistus

Allekirjoituksen tarkistus suoritetaan algoritmin [5] mukaisesti :

1 Laskenta 2 Laskenta 3 Laskenta 4 Laskenta 5 Allekirjoitus on oikein, jos

w=s^{{-1}}\mod q

u_{1}=H(m)\cdot w\mod q

u_{2}=r\cdot w\mod q

v=(g^{{u_{1}}}\cdot y^{{u_{2}}}\mod p)\mod q

v=r

Kun tämä on valittuna, laskennallisesti monimutkaiset operaatiot ovat kaksi eksponentiota , hash-laskenta ja käänteisen elementin löytäminen . $g^{u_{1}}y^{u_{2}}$ $H(x)$ $s^{-1}{\bmod {q))$

Kaavion oikeellisuus

Tämä digitaalinen allekirjoitusmalli on oikea siinä määrin, että allekirjoituksen aitouden varmentamiseen haluava saa aina positiivisen tuloksen aitouden tapauksessa. Näytetään se:

Ensinnäkin, jos , niin Fermatin pienestä lauseesta seuraa, että . Koska g >1 ja q on alkuluku, niin g :n on oltava kertovassa järjestyksessä q modulo p . $g=h^{{(p-1)/q}}\mod p$ $g^{q}=h^{{p-1}}=1\mod p$

Allekirjoittaaksesi viestin, se laskee

s=k^{{-1}}(H(m)+x\cpiste r)\mod {q}.

Siksi

k=H(m)\cdot s^{{-1}}+x\cdot r\cdot s^{{-1}}=H(m)\cdot w+x\cdot r\cdot w\mod { q}.

Koska g on kertalukua q , saamme

g^{k}=g^{{H(m)\cdot w\mod q}}g^{{x\cdot r\cdot w\mod q}}=g^{{H(m)\cdot w \mod q}}y^{{r\cdot w\mod q}}=g^{{u1}}y^{{u2}}\mod {p}.

Lopuksi DSA-skeeman oikeellisuus seuraa

r=(g^{k}\mod p)\mod q=(g^{{u1}}y^{{u2}}\mod p)\mod q=v.

[5]

Työesimerkki

Otetaan esimerkki siitä, kuinka algoritmi toimii pienille luvuille. Olkoon viestimme hash-arvo . $H=9$

Parametrien luominen

$H=9_{10}=1001_{2}$
hashin pituus , joten voit valita $neljä$ ${\displaystyle q=11_{10}=1011_{2))$
valita, koska $p=23$ $23-1=22=2*q$
valita $g=2^{2}=4$

Avainten luominen

valita salaiseksi avaimeksi $x=7$
sitten julkinen avain $y=g^{x}{\bmod {p}}=4^{7}{\bmod {2}}3=16384{\bmod {2}}3=(712\cdot 23+8) {\bmod {2}}3=8$

Viestin allekirjoitus

valita $k = 3$
sitten $r=(g^{k}{\bmod {p))){\bmod {q}}=(4^{3}{\bmod {2}}3){\bmod {1}}1 =7$
$r\neq 0$ , jatka eteenpäin
$s=k^{-1}(H(m)+x\cdot r){\bmod {q}}=4(9+7\cdot 7){\bmod {1}}1=1$ , jossa se otetaan huomioon $3^{-1}{\bmod {1}}1=4$
$s\neq 0$ , jatka eteenpäin
allekirjoitus on numeropari ${\näyttötyyli (r,s)=(7,1)}$

Allekirjoituksen vahvistus

$w=s^{-1}{\bmod {q}}=1^{-1}{\bmod {1}}1=1$
$u_{1}=H(m)\cdot w{\bmod {q}}=9\cdot 1{\bmod {1}}1=9$
$u_{2}=r\cdot w{\bmod {q}}=7\cdot 1{\bmod {1}}1=7$
$v=(g^{u_{1}}\cdot y^{u_{2}}{\bmod {p}}){\bmod {q}}=(4^{9}\cdot 8^ {7}{\bmod {2}}3){\bmod {1}}1=7$
vastaanotettu, mikä tarkoittaa, että allekirjoitus on oikea. $v = r$

Analogit

DSA-algoritmi perustuu diskreettien logaritmien laskemisen vaikeuteen ja on muunnos klassisesta ElGamal-skeemasta [ 11] , jossa viestien hajautus on lisätty ja kaikki logaritmit lasketaan , mikä mahdollistaa allekirjoituksen lyhentämisen analogeihin verrattuna. [12] . ElGamal-kaavion perusteella rakennettiin myös muita algoritmeja, esimerkiksi venäläinen GOST 34.10-94 , jota pidetään nyt vanhentuneena. Se korvattiin standardilla GOST R 34.10-2012 [13] , joka käyttää elliptisen käyrän pisteryhmää . $mod~q$

Tällainen muunnos, ts. siirtyminen multiplikatiivisesta ryhmästä modulo a alkuluvusta elliptisten käyrien pisteiden ryhmään on olemassa myös DSA- ECDSA :lle [14] ( Elliptic Curve Digital Signature Algorithm - digitaalinen allekirjoitusalgoritmi elliptisille käyräille) . Sitä käytetään esimerkiksi bitcoin - kryptovaluutoissa tapahtumien vahvistamiseen. Tämän käännöksen avulla voit pienentää avainten kokoa turvallisuudesta tinkimättä - bitcoin-järjestelmässä yksityisen avaimen koko on 256 bittiä ja vastaavan julkisen avaimen koko on 512 bittiä.

Toinen yleinen julkisen avaimen algoritmi (käytetään sekä salaukseen että digitaaliseen allekirjoitukseen), RSA (nimetty tekijöiden mukaan: Rivest , Shamir , Adleman ), perustuu suurten lukujen tekijöihin laskemisen vaikeuteen.

Kryptografinen vahvuus

Mikä tahansa hyökkäys algoritmia vastaan voidaan kuvata seuraavasti: hyökkääjä vastaanottaa kaikki julkiset allekirjoitusparametrit ja tietyn joukon pareja (viesti, allekirjoitus) ja yrittää tätä joukkoa käyttämällä luoda kelvollisen allekirjoituksen uudelle viestille, jota ei ole joukossa. .

Nämä hyökkäykset voidaan jakaa ehdollisesti kahteen ryhmään - ensinnäkin hyökkääjä voi yrittää palauttaa salaisen avaimen , ja sitten hän saa heti mahdollisuuden allekirjoittaa minkä tahansa viestin, ja toiseksi hän voi yrittää luoda kelvollisen allekirjoituksen uudelle viestille ilman palauttaa salaisen avaimen suoraan. $x$

Satunnaisparametrin ennustettavuus

Satunnaisparametrin tasainen jakautuminen on erittäin tärkeää järjestelmän turvallisuuden kannalta. Jos allekirjoitusten sarjalle tunnetaan useita peräkkäisiä parametribittejä , niin salainen avain voidaan palauttaa suurella todennäköisyydellä. [viisitoista] $k$ $k$

Parametrin toistaminen kahdelle viestille johtaa yksinkertaiseen järjestelmän hakkerointiin. Tämä voi tapahtua käytettäessä huonoa pseudosatunnaislukugeneraattoria . Tämä PlayStation 3 -järjestelmän haavoittuvuus mahdollisti kaikkien ohjelmien allekirjoittamisen Sonyn puolesta. Joissakin Androidin bitcoin-järjestelmän toteutuksissa hyökkääjä voi päästä käsiksi lompakkoon. [16] [17] Molemmissa esimerkeissä käytettiin ECDSA [14] -järjestelmää .

Jos samaa parametria käytettiin kahdelle viestille , niin niiden allekirjoitukset ovat samat , mutta erilaiset , kutsutaan niitä . $m_{1}, m_{2}$ $k$ $(r,s)$ $r$ $s$ ${\displaystyle s_{1},s_{2))$

Lausekkeesta for voimme ilmaista kokonaismäärän : $s$ $k$

$k=(H(m)+xr)s^{-1}\mod q$ .

Ja sama eri viesteille: $k$

${\näyttötyyli (H(m_{1})+xr)s_{1}^{-1}\mod q=(H(m_{2})+xr)s_{2}^{-1}\mod q }$

Täältä on helppo ilmaista salainen avain : $x$

$x={\frac {H(m_{1})s_{1}^{-1}-H(m_{2})s_{2}^{-1}}{r(s_{2} ^{-1}-s_{1}^{-1})}}$

Eksistentiaalinen väärennös

Olemassa oleva väärennös voi hyökätä joihinkin digitaalisen allekirjoituksen algoritmeihin (Existential forgery) . Se johtuu siitä, että allekirjoitukselle (joko ollenkaan satunnaiselle tai jonkin säännön mukaan luotulle) on mahdollista luoda oikea viesti (missä ei kuitenkaan yleensä ole järkeä) käyttämällä vain julkisia parametreja.

DSA-skeemassa allekirjoitus on joka tapauksessa voimassa tiivistetyn viestin kohdalla . $r=g^{e}y\mod p\mod q$ $s=r$ $e$ $H(m)=es$

Tämä on yksi syistä syöttöviestin hajauttamiseen. Jos hash-funktio valitaan oikein, DSA-algoritmi on suojattu tältä hyökkäykseltä, koska kryptografisen hajautusfunktion kääntäminen (eli tietylle löydökselle , joka on ) on laskennallisesti vaikeaa. [kahdeksantoista] $k$ $m$ $H(m)=k$

Avaimen palautus

allekirjoituksen oikeellisuusehto voidaan kirjoittaa uudelleen eri muotoon:

$g^{ks}\mod p\mod q=g^{H(m)+xr}\mod p\mod q$

tämä yhtälö on ekvivalentti (koska g :n modulo p : n kertova järjestys on yhtä suuri kuin q)

$H(m)\mod q=ks-xr\mod q$

joten voimme olettaa, että avaimen palauttamiseksi hyökkääjän on ratkaistava muotoinen yhtälöjärjestelmä

$H(m_{i})\mod q=k_{i}s_{i}-xr_{i}\mod q$

mutta tässä järjestelmässä on tuntematon ja siinä kaikki , mikä tarkoittaa, että tuntemattomien määrä on yksi enemmän kuin yhtälöt, ja jokaiselle on niitä , jotka täyttävät järjestelmän. Koska q on suuri alkuluku, palautumiseen tarvitaan eksponentiaalinen määrä pareja (viesti, allekirjoitus). [yksi] $x$ $k_i$ $x$ $k_i$ $x\mod q$

Allekirjoituksen väärennös

Voit yrittää väärentää allekirjoituksen tietämättä salaista avainta, eli yrittää ratkaista yhtälö

$r^{s}\mod p\mod q=g^{H(m)}y^{r}\mod p\mod q$

suhteessa ja . Jokaiselle kiinteälle yhtälö vastaa diskreetin logaritmin laskemista. [yksi] $r$ $s$ $r$

Algorithm Implementation Verification System

Lisenssiehdot sallivat algoritmin toteuttamisen ohjelmistoissa ja laitteistoissa. NIST loi DSAVS:n [19] ( eng. The Digital Signature Algorithm Validation System - järjestelmä digitaalisen allekirjoituksen algoritmin tarkistamiseen ). DSAVS koostuu useista vaatimustenmukaisuustestimoduuleista, jotka testaavat järjestelmän jokaista komponenttia muista riippumatta. Testatut toteutuskomponentit:

Verkkoalueen parametrien luominen
Tarkistetaan verkkotunnuksen asetuksia
Julkisen ja yksityisen avainparin luominen
Luo allekirjoitus
Allekirjoituksen vahvistus

Toteutuksen testaamiseksi kehittäjän tulee lähettää hakemus sen toteutuksen testaamiseksi CMT-laboratorioon ( Cryptographic Module Testing Laboratory ) . [5]

Alkuluvun sukupolvi

DSA-algoritmi vaatii kaksi alkulukua ( ja ), joten alkuluku- tai pseudoalkulukugeneraattori tarvitaan . $s$ $q$

Shaw-Taylor- algoritmia [20] käytetään alkulukujen luomiseen .

Pseudoalkuluvut luodaan käyttämällä hash-funktiota ja Miller-Rabinin todennäköisyystestiä käytetään primaalisuuden testaamiseen . Siihen voidaan lisätä yksi Luukkaan primaalisuustesti . [5]

Tarvittava iteraatioiden määrä riippuu käytettyjen numeroiden pituudesta ja varmennusalgoritmista [5] :

vaihtoehtoja	vain M-R testi	M-R testi + Luken testi
p: 1024 bittiä q: 160 bittiä virheen todennäköisyys $2^{-80}$	40	p: 3 q:19
p: 2048 bittiä q: 224 bittiä virheen todennäköisyys $2^{-112}$	56	p: 3 q:24
p: 2048 bittiä q: 256 bittiä virheen todennäköisyys $2^{-112}$	56	p: 3 q:27
p: 3072 bittiä q: 256 bittiä virheen todennäköisyys $2^{-128}$	64	p: 2 q:27

Satunnaislukujen luominen

Algoritmi vaatii myös satunnais- tai pseudosatunnaislukugeneraattorin . Tätä generaattoria tarvitaan yksityisen käyttäjäavaimen x sekä salaisen satunnaisparametrin luomiseen . $k$

Standardi tarjoaa useita tapoja luoda näennäissatunnaisia lukuja käyttämällä lohkosalauksia tai hash-funktioita. [5] [21]

Muistiinpanot

↑ 123 Patentti US 5231668 A.
↑ 123 FIPS 186-1 . _
↑ FIPS 186-2 .
↑ FIPS 186-3 .
↑ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 FIPS 186-4 .
↑ 12 FIPS 180-4 .
↑ FIPS 202 .
↑ Törmäysten etsiminen Full SHA-1:stä .
↑ Vapaakäynnistystörmäys täydelle SHA-1:lle .
↑ NIST-erikoisjulkaisu 800-57 .
↑ Elgamal, 1985 .
↑ C. P. Schnorr. Tehokas tunnistus ja allekirjoitukset älykorteille // Advances in Cryptology - CRYPTO' 89 Proceedings / Gilles Brassard. — New York, NY: Springer, 1990. — S. 239–252 . - ISBN 978-0-387-34805-6 . - doi : 10.1007/0-387-34805-0_22 . Arkistoitu alkuperäisestä 12. huhtikuuta 2022.
↑ GOST R 34.11-2012
↑ 1 2 Elliptisen käyrän digitaalisen allekirjoituksen algoritmi (ECDSA) .
↑ Digitaalisen allekirjoituksen algoritmin epävarmuus ja osittain tunnetut poikkeamat .
↑ ECDSA - Sovellus- ja toteutusvirheet .
↑ Elliptisen käyrän kryptografia käytännössä .
↑ Turvallisuusargumentit digitaalisille ja sokeille allekirjoituksille .
↑ Digitaalisen allekirjoituksen algoritmin validointijärjestelmä .
↑ Vahvojen alkulukujen luominen .
↑ Satunnaislukujen luominen .

Kirjallisuus

Standardit ja patentit

FIPS. PUB 186-1 .
FIPS. PUB 186-2 .
FIPS. PUB 186-3 .
FIPS. PUB 186-4 .
FIPS. PUB 180-4 . Arkistoitu alkuperäisestä 26. marraskuuta 2016.
FIPS. PUB 202 (englanniksi) .
FIPS. PUB 202 (englanniksi) .
David W. Kravitz. Digitaalinen allekirjoitusalgoritmi 5231668 A (englanti) .
NIST-erikoisjulkaisu 800-57, osa 1, versio 4. Recommendation for Key Management .
GOST R 34.10-2012. Tietotekniikka. Tietojen kryptografinen suojaus. Sähköisen digitaalisen allekirjoituksen muodostus - ja todentamisprosessit . (Venäjän kieli)
Digitaalisen allekirjoituksen algoritmin validointijärjestelmä .

Artikkelit

Marc Stevens, Pierre Karpman, Thomas Peyrin. Vapaakäynnistystörmäys täydelle SHA- 1 :lle .
NIST-erikoisjulkaisu 800-90A Suositus satunnaislukujen luomiseksi käyttämällä deterministisiä satunnaisbittigeneraattoreita .
J. Shawe-Taylor. Vahvien alkulukujen luominen .
Xiaoyun Wang, Yiqun Lisa, Hongbo Yu. Törmäysten etsiminen täydestä SHA-1 :stä .
Phong Q. Nguyen, Igor E. Shparlinski. Digitaalisen allekirjoituksen algoritmin epävarmuus ja osittain tunnettuja poikkeamia .
David Pointcheval, Jacques Stern. Turvallisuusargumentit digitaalisille ja sokeille allekirjoituksille .
Markus Schmid. ECDSA - Sovellus- ja toteutusvirheet .
Don Johnson, Alfred Menezes, Scott Vanstone. The Elliptic Curve Digital Signature Algorithm (ECDSA ) .
Elgamal T. Julkisen avaimen salausjärjestelmä ja diskreeteihin logaritmiin perustuva allekirjoitusjärjestelmä, julkisen avaimen salausjärjestelmä ja diskreeteihin logaritmeihin perustuva allekirjoitusjärjestelmä // IEEE Trans . inf. Teoria / F. Kschischang - IEEE , 1985. - Voi. 31, Iss. 4. - P. 469-472. — ISSN 0018-9448 ; 1557-9654 - doi:10.1109/TIT.1985.1057074 ; doi:10.1007/3-540-39568-7_2
Joppe W. Bos, J. Alex Halderman, Nadia Heninger, Jonathan Moore, Michael Naehrig, Eric Wustrow. Elliptisen käyrän kryptografia käytännössä .

Julkisen avaimen salausjärjestelmät

Algoritmit

Kokonaislukujen faktorointi	Benalon kryptojärjestelmä Bluma - Goldwasser Cayley Purser Damgorda - Eureka GMR Goldwasser - Micali Nakasha - Stern paye Rabin RSA Okamoto - Uchiyama Schmidt-Samoa
Diskreetti logaritmi	BLS Cramer - Shoup Diffie-Hellman-protokolla DSA ECDH Käyrä 25519 X448 ECDSA EdDSA Ed25519 Ed448 ECMQV Salatun avaimen vaihto ElGamalin kaava allekirjoitusmalli MQV Schnorrin kaava SPEKE SRP STS
Kryptografia ristikoilla	NTRUEncrypt NTRUSign Oppimiseen perustuva avainten vaihto virheineen Allekirjoituspohjainen koulutus, jossa virheitä kehässä AUTUUS Uusi toivo
muu	AE CEILIDH EPOC Piilotettu kenttäyhtälöt IES Lamportin allekirjoitus McEliece Merkle-Hellmanin selkärepun salausjärjestelmä Naccache-Stern selkäreppujen salausjärjestelmä Kolmivaiheinen protokolla XTR

Teoria

Diskreetti logaritmi elliptisellä käyrällä
Elliptinen kryptografia
Hash-pohjainen kryptografia
Ei-kommutatiivinen kryptografia
RSA ongelma
Yksisuuntainen toiminto salaisella sisäänkäynnillä

Standardit

CRYPTREC
IEEE P1363
NESSIE
NSA Suite B
Postkvanttisalaus

Aiheet

Sähköinen allekirjoitus
OAEP
Sormenjälki
PKI
luottamuksen verkko
Avaimen koko
Identiteettiin perustuva kryptografia
Postkvanttisalaus
OpenPGP-kortti