1/. Trường hợp 1: Giả mạo chữ ký không cùng với tài liệu được ký.
+ H cố gắng giả mạo chữ ký trên x, mà không biết khóa bí mật a. Như vậy, H phải tính được γ và δ.
* Nếu chọn trước γ, H phải tính δ qua đẳng thức hγ *γδ ≡gxmodp (E2) Tức là γδ ≡gxh−γ modp hay δ ≡logγ gxh−γ modp.
* Nếu chọn trước δ, H phải tính γ qua phương trình: hγ *γδ ≡gxmodp.
Hiện nay chưa có cách hữu hiệu 2 trường hợp trên, nhưng phỏng đoán là khó hơn bài toán logarit rời rạc.
Có thể có cách tính γ, δ đồng thời với (γ, δ) là chữ ký? Chưa có trả lời rõ! * Nếu chọn trước γ, δ, sau đó tính x, H phải đối dấu với bài toán logarit rời rạc. Ta có hγ *γδ ≡gxmodp (E2).
Như vậy x log g logghγ *γδ
x
g ≡
≡
H có thể ký trên tài liệu ngẫu nhiên bằng cách chọn trước đồng thời x, γ, δ.
Cách 1
* Chọn x, γ, δ thỏa mãn điều kiện kiểm thử như sau:
Chọn các số nguyên i, j sao cho 0 ≤ i, j ≤ p-2, (j, p-1) = 1 và tính:
p h gi jmod = γ , δ=−γj−1mod(p−1), x=−γij−1mod(p−1) .
Trong đó j−1 được tính theo mod (p-1) (nghĩa là j nguyên tố với p-1). * Chứng minh (γ, δ) là chữ ký trên x, bằng cách kiểm tra điều kiện kiểm thử:
p g p h g h p h g h
hγγδ ≡ γ( i j)−γ.j−1mod ≡ γ −i.γ.j−1 −γ mod ≡ xmod
Cách 2
* Nếu (γ, δ) là chữ ký trên tài liệu x có từ trước, thì có thể giả mạo chữ ký trên tài liệu x’ khác.
+ Chọn số ngẫu nhiên k, i, j thỏa mãn 0 ≤ k, i, j ≤ p-2, (k γ - j δ, p-1) = 1 và tính:
p h gi j k mod γ λ= , µ=δλ(kγ − jδ)−1mod(p−1), ) 1 mod( ) )( ( '= kx+i k − j −1 p− x λ δ γ δ
* (λ, µ) là chữ ký trên x’, và thỏa mãn điều kiện kiểm thử:
p g
hλλµ ≡ x'mod
Chú ý
Cả hai cách giả mạo nói trên đều cho chữ ký đúng trên tài liệu tương đương, nhưng đó không phải là tài liệu được chọn theo ý của người giả mạo. Tài liệu đó đều được tính sau khi tính chữ ký, vì vậy giả mạo loại này trong thực tế cũng không có ý nghĩa nhiều.