in the .txt, actually explain the current "default" protocol (fix signs)

author Rudolf Polzer <divverent@alientrap.org>

Fri, 11 Mar 2011 21:23:12 +0000 (22:23 +0100)

committer Rudolf Polzer <divverent@alientrap.org>

Fri, 11 Mar 2011 21:23:12 +0000 (22:23 +0100)
author Rudolf Polzer <divverent@alientrap.org>
Fri, 11 Mar 2011 21:23:12 +0000 (22:23 +0100)
committer Rudolf Polzer <divverent@alientrap.org>
Fri, 11 Mar 2011 21:23:12 +0000 (22:23 +0100)
diff --git a/d0_blind_id.txt b/d0_blind_id.txt

index 7d33aaf9daa495b24871f7a50b0f36c68d1cead4..deb008aaab9a953b34b7a09abfe595238fa7b8d0 100644 (file)
--- a/d0_blind_id.txt
+++ b/d0_blind_id.txt
@@ -74,12 +74,12 @@ Authentication protocol:
         "response":
         - Client receives c and g^T
         - Client verifies that the received values are in the allowed ranges
-       - Client sends y = r + s * c mod |G|
+       - Client sends y = r - s * c mod |G|
         - Client sends g^t
         - Client calculates K = (g^T)^t
         "verify":
         - Server receives y and g^t
-       - Server calculates z = g^y S^-c
+       - Server calculates z = g^y S^c
         - Server calculates x' = h("z || g^t || m || z || g^t")
         - Server verifies x == x'
         - Server calculates K = (g^t)^T
@@ -99,11 +99,11 @@ Signature protocol:
         - Client sends S, H if this is the first round of the protocol
         - Client generates r in [0, |G|[ at random
         - Client sends c = h("m || g^r")
-       - Client sends y = r + s * c
+       - Client sends y = r - s * c
         - Client sends m in plain
         "verify":
         - Server receives c, y, and m
-       - Server calculates z = g^y S^-c
+       - Server calculates z = g^y S^c
         - Server calculates c' = h("m || z")
         - Server verifies c == c'
author	Rudolf Polzer <divverent@alientrap.org>
	Fri, 11 Mar 2011 21:23:12 +0000 (22:23 +0100)
committer	Rudolf Polzer <divverent@alientrap.org>
	Fri, 11 Mar 2011 21:23:12 +0000 (22:23 +0100)