# Esquema De Assinatura ElGamal

Ricardo Silva a71532

Francisca Fernandes a72450

João Cerqueira a65432

José Barbosa a69136


## Introdução 

[1985] É um dos primeiros esquemas de assinatura digital que se baseia nas propriedades algebricas da exponenciação modular juntamente com o problema do logaritmo discreto. Permite verificar a autenticidade de uma mensagem mesmo quando é enviada através de um canal pouco seguro.



## Parâmetros

Seja $H$ uma função de Hash, $p$ um número primo grande e  $g\in \mathbb{Z}_{p}*$

In [3]:
p = random_prime(2^128, 2^127)
p

312533696614912602106394323957685810411

In [4]:
Zn = IntegerModRing(p)

In [5]:
g = Zn.random_element()
g


198696238338073959894250553824583554408

O par(p,g) é conhecido por todos

In [6]:
p,g

(312533696614912602106394323957685810411,
 198696238338073959894250553824583554408)

## Geração de Chaves

Agora um dos intervenientes escolhe secretamente um $x$ tal que  $1 \le x\le p-1$. E calcula ainda  $$ y    =    g^{x}mod  p$$

In [9]:
x = randint(1, p-1)
x

218860506362139194581031156460472318849L

In [10]:
y = power_mod(g, x, p)
y

170531363231436684161782725835431047037

Temos então a chave pública x e a chave privada y

In [11]:
PrivKey = x
PubKey = y

## Geração da Assinatura

Para que se envie a mensagem $m$ teremos de escolher aleatóriamente um k tal que: $1 \le k\le p-1$ e $gcd(k,p-1)=1$.  

-   Calculamos inicialmente r: 
$$ r =    g^{k}mod  p$$



In [30]:
k = randint(0, p-1)
gcd (k, p-1) == 1
k

80466956818132362754932536818500370711L

In [31]:
r = power_mod(g,k,p)
r

102821264706517947598659833943406004414

- Seguidamente calculamos s:

$$  s \, \equiv \, (H(m)-x r)k^{-1} \pmod{p-1}  $$

In [32]:
def H(m):
    return m*r^x

In [33]:
j=inverse_mod(k,p) #j=k^-1
j

35439810626760714059618744917393253570

In [34]:
m=3
z =(H(m)-x*r)*(j)
s = mod(z,p-1)

In [36]:
s == 0
s

12364578288137435205987301745032590861

Se s for igual a 0 então tentamos novamente com um $k$ diferente.

O par (r,s) será a assinatura digital de $m$ 

## Verificação da Assinatura

A assinatura fica verificada se satisfizer: 
- $1 \le r\le p$  e $0 \le s\le p-1$

- $g^{H(m)} \, \equiv \, y^r r^s \pmod p.$





In [43]:
l1=g^(H(m))
l2=(y^r)*(r^s)==mod(g^(H(m)),p)

## Correção 

Será considerada como correta, a partir do momento que a assinatura gerada passe nos testes: 

$$H(m) \, \equiv \, x r + s k \pmod{p-1}. $$ 


$$  \begin{align} g^{H(m)} & \equiv g^{xr} g^{ks} \pmod p\\ & \equiv (g^{x})^r (g^{k})^s \pmod p\\ & \equiv (y)^r (r)^s \pmod p.\\ \end{align}  $$

## Segurança

Para que a mensagem seja interceptada, a chave privada $x$ terá de ser descoberta ou então existir colisão na função de Hash $H(m) \equiv H(M) \pmod{p-1}$ mas ambos os acontecimentos são bastaste improváveis. 

Para que se mantenha seguro, quem cria a chave privada $x$ deve também ter atenção na escolha de $k$. Usando esse $k$ apenas uma vez. Usar esses valores mais do que uma vez, faria com que o atacante tivesse uma muito maior probabilidade de interceptar a mensagem.

