C.3 基于可信公開變換的機制

C.3.1　使用767-bit的 RSA和RIPEMD-160的例子

C.3.1.1　 參數選擇

此例使用RSA作為非對稱加密系統的算法，GB/T 18238-3的第7章中所闡述的專用散列函數1（也即RIPEMD-160）作為散列函數。
我們假設A使用767比特的RSA模數n=pq,一個公開的RSA指數e，和一個私有的RSA指數s，其中：

q = 9327 da68 0aa9 a22f 201b 429a acf1 de30 382f cb01 cf3d 6b4b 85a1 fa3c f851 4738 5100 09ee 7dad 2b4c 4673 0971 a417 41ad.

n = 76f5 7c6f 1d53 742a 45a2 adad b9ca 6f4c eb1c 2317 6b02 9967 9ba4 3305 2c42 3146 44a3 9a79 5b57 5979 0685 8a10 932c f80d 8973 ecb6 30bf bc18 29db ff50 adf2 4465 a87c d236 1e8a 16c5 34f7 7acf ce94 0f59 234d c833 d279 0ade e26e 395f 71c5 1561.

e = 4d97 cc58 6372 3582 ae31 9d48 5814 05fr 4e74 1737 6710 f052 acda 8fd5 1827 b485 d762 c713 4bda b4bd 08d6 7f78 4a5c 174e d35b 5ff9 62eb 1965 6af3 a353 4635 e843 89a0 78f0 e042 e656 ff35 0236 33f4 cc86 fcbd 4349 7c0d 3c19 7d20 fc60 bc91 1017.

s = 678a a11c 459c bd6d 10b9 9555 675a 7d7c 7850 af9b dc56 fe01 8846 7529 d02e 4aa6 85d0 3d2e 0e8e c027 ba69 3b4c f4dc 48c0 f2ad 74a2 25c4 fc38 ec52 94e4 a222 d922 7d53 389c c95f 9410 2b00 5840 247b ea8c 7a1f 3c60 ac3a 7297 704c 36e2 afbb e107.

A的公開加密變換為PA（r）=re(mod n)

C.3.1.2　鑒別交換

步驟（1）：
實體B選擇一個隨機值r。
r = adec c15b d356 b0cd 1b74 9469 b421 ac9d 28ee 96a5 85ec 6284 9cc2 8beb 0e59 4c9f 7377 f151 18fc a3df 249a b0aa ebb0 cf35 91f6 7858 d8a0 16e4 40bf ee20 bbcf da92 8e09 6e2a a6ec eccd f7f1.
B計算h(r), r||h(r)和詢問d = PA(r||h(r))。

r||h(r) = adec c15b d356 b0cd 1b74 9469 b421 ac9d 28ee 96a5 85ec 6284 9cc2 8beb 0e59 4c9f 7377 f151 18fc a3df 249a b0aa ebb0 cf35 91f6 7858 d8a0 16er 40bf ee20 bbcf da92 8e09 be2a a6ec eccd f7f1 4bc6 0e2c bfcb 238a 4d88 8b5f 3d4a eb02 3c16 1893.

d = PA(r||h(r)) = 60bd 94a5 7b0e 23b9 2eb9 0afb 5e21 630b 763f 8771 3479 98ed 4df6 3c9f bbf1 2369 d117 1c81 9277 63b9 3d5f 2af2 6288 7ee8 b24f b9d4 db2e c206 99b6 eb8f 2b31 3944 27e0 1f74 d501 cfca d45f 25ab dfd1 b605 c640 7d1a 597e 204a 1183 4670 c6b8 c52c 7cc3.
步驟（2）：
B發送d給A。
步驟（3）：
A執行下列計算步驟
（a）A通過以下計算恢復r和h(r)：
r||h(r)= SA(d)=ds (mod n)。
（b）A根據上一步恢復的r值，重新計算h(r)，并與在上一步恢復的h(r)值相比較。
假定兩個h(r)的值相一致，A令D=r。
步驟（4）：
A發送D給B。
步驟（5）：

C.3.2　使用1024-bit的 RSA和SHA-1的例子

C.3.2.1　參數選擇

此例使用RSA作為非對稱加密系統的算法，GB/T 18238-3的第9章中所闡明的專用散列函數3（也可是SHA-1）作為散列函數。
我們假設A使用1024比特的RSA模數n=pq,一個公開RSA指數e，和一個私有RSA指數s，其中：

q = bbb7 9564 0e4b 12d0 6c4a bfe3 1a93 f5f4 c69e 419f eac3 3c6c 2eaf e28e a60b ad6c 81c5 7477 1092 e8b2 67c3 6176 1969 cf37 1f26 60ad e102 6c5e c1c7 f394 6fa3 f72f.

n = 9ad7 01ef 79b2 6383 a98d 4995 5bc1 3684 c32a 60c6 8690 09a7 dd06 92f8 0914 7408 83d2 183b 851d 829b bdef 4da5 a973 9e83 e9e0 bb0f 7656 05cf 878e 03c9 0cda 6456 16e4 5a3b 8da2 4bfa 5a98 a00d ba3c e534 fb9d 02ac 8408 01a9 5b27 2f05 a989 73a9 35fb 6cef 475e 64ab d367 8caf 7abc 2025 4ffb 432f dbfb a1dc 07ab 0805 25ac 76c3.

s = 8076 3fa4 ced3 052c 4e60 6a0f 4be0 336c c5c7 1a9d df78 0fd4 adc7 8493 b106 e65e 6524 7d1e de7e 1bb1 312c 2d38 aa8a 3cb2 16dd d6ed ed3b 177e 17a2 9592 82ac 4bba be1d 0e2e 0762 6e77 739e 1d70 0896 5b28 de8b 525e c1f0 a7d4 6c15 0781 a4e7 b9a3 9d2d 9ca4 2a12 8a74 aed3 35c4 9e7b 4da3 3e3b c55c e416 d27f a89f 07f1 d5f7 0423.

C.3.2.2　鑒別交換

步驟（1）：
實體B選擇一個隨機值r
r = fedb ad50 6bb5 2e55 e951 de0d a780 954e f6df e7a3 ac4e 859e 5dae c493 1670 afc2 84e3 37cf 3963 b13f e614 e089 77c8 2062 3ceb 2cd4 fc2f 7ecr aeaf e48a 189a e6b2 516e sb92 c4ea f516 48da e4cr 28a8 17ce 373a 40dc 9109 e255 f3e7 34d7 b1eb b03c 8a6c cb8a 2f80 4a0d 1e8a.
B計算h(r), r||h(r)和詢問d = PA(r||h(r))。
h(r) = cb70 5374 99ae 42ce 1c03 0777 af95 b0a6 d978 8684.

d = PA(r||h(r)) = 0e3d ad30 9d9e 5556 a4bd 7bab f749 a7ba c2a5 f350 fa23 07f2 72d7 8bd7 078e d5fe e00a 410c 0807 fd2c 5570 4cd3 d5db 8902 7640 0e8b 7b75 3c7c 26c1 faf4 7acc 75b0 daa7 c567 1823 d778 f432 b8a6 4457 2be2 9569 0f41 dc40 4abf e733 7b4b 2092 3d14 6ed5 9fdc d094 bd03 e5e9 bd9b 215e 7775 497b 0caf 43a7 7b85 f5eb c0eb d5b8 05cf.
步驟（2）：
B發送d給A。
步驟（3）：
A執行下列計算步驟
（c）A通過以下計算恢復r和h(r)：
r||h(r)= SA(d)=ds (mod n)。
（d）A根據上一步恢復的r值，重新計算h(r)，并與在上一步恢復的h(r)值相比較。
假定兩個h(r)的值相一致，A置D=r。
步驟（4）：
A發送D給B。
步驟（5）：