大家好!
其实主要问题是这样的
Shamir提出的抵御故障分析的RSA算法,将CRT-RSA算法改为如下:
选择一个随机小素数r,r与n互素。
先计算:S_rp = m^d mod rp
S_rq = m^d mod rq
然后计算CRT(S_rp mod p,S_rq mod q)计算S签名。
这里用的是d,而不是原先CRT用的
d_p = d mod(p-1),
d_q = d mod (q-1)
m也不是
m_p = m mod p,
m_q = m mod q.
请问如何证明,Shamir的提出的算法的计算结合和原先的计算结果一直的,是如何消除r的?