НОУ ИНТУИТ | Криптографические методы защиты информации. Лекция 8: Алгоритмы с открытыми ключами

Учитесь и получайте официальные документы БЕСПЛАТНО. Вы можете поддержать наш проект.

Регистрация Вход

Твой путь к знаниям!

Опубликован: 02.03.2017 | Уровень: для всех | Доступ: платный

|

Вам нравится? Нравится 55 студентам

| Поделиться |

Поддержать программу

8.2 Атаки на алгоритм RSA

Для расшифрования необходимо по известным , и шифртексту найти такое $x\in \mathbb{Z}_N^\ast$ , что $y=x^e (\mod N)$ .

Попытаемся решить сравнение при конкретных , затем использовать гомоморфность отображения D(x) .

Один из возможных способов следующий: пусть имеется набор пар:

$\{(x_1,y_1),(x_2,y_2),\ldots (x_k,y_k)\}$

с условием, что $x_i^e = y_i ~(\mod N)$, $1<y<N$ , $\GCD(y,N)=1$ . Если каким-либо образом удалось представить в виде $y=y_1^{s_1} y_2^{s_2}\cdots y_k^{s_k} ~(\mod N)$ с целыми s_k , то $x=x_1^{s_1}x_2^{s_2}\cdots x_k^{s_k}$ будет решением сравнения $y=x^e ~(\mod N)$ .

Пример 8.3 В наличии имеется открытый ключ , и набор пар соответствующих друг другу исходных и зашифрованных сообщений: , , . Требуется расшифровать шифртекст .

Представим в виде $y=18707^{-1}\cdot 26871^3\cdot 6384^{-2}=11 638$ . Отсюда легко вычислить исходное сообщение: $x=23^{-1}\cdot 755^3 \cdot 631^{-2}=28260$ .

Заметим, что этот подход не менее труден, чем поиск алгоритма решения сравнения $y=x^e ~(\mod N)$ .

Взлом RSA при неудачном выборе параметров криптосистемы

Само по себе использование RSA не обеспечивает безопасности. Дело еще в деталях реализации. Приведем ряд примеров. Для простоты вычислений будем работать с небольшими числами. Цель - показать особенности, не зависящие от размера.

Пример 8.4 Пусть пользователь выбрал , , . Так как $2047 = 23 \cdot 89$ , а числа $\varphi(23)=22$ и $\varphi(89)=88$ имеют наименьшее общее кратное 88, то любое обратное к 179 по модулю 88, например 59, будет действовать как .

Пример 8.5 Число является произведением простого числа Мерсенна и простого числа Ферма . Это очень плохой выбор.

Пример 8.6 Число является очень плохим выбором для из-за того, что два его простых делителя слишком близки к друг другу.

Пусть p>q , тогда имеем:

$N=t^2 - s^2, \qquad t=\frac{p+q}{2},\ s=\frac{p-q}{2}.$

Так как мало, то - целое число, лишь немного большее $\sqrt{N}$ , причем $t^{2}-N$ является полным квадратом. Проверяем подряд целые числа $t>\sqrt{N}$ . В нашем примере это t_1 = 152843 , t_2 = 152844 , t_3 = 152845 , причем t_3^2-N=804^2 . Тогда p = 152845 - 804 . Таким образом, мы с третьей попытки нашли и . Количество попыток, необходимых для факторизации , можно при известных и вычислить по следующей формуле: