Атаки модуля

Главной атакой RSA является атака разложения на множители. Ее можно рассматривать как атаку малого модуля. Однако поскольку мы уже обсудили эту атаку, мы концентрируемся на другой атаке модуля: общей атаке модуля.

Общая атака модуля. Она может быть начата, если сообщество использует общий модуль, n. Например, люди в сообществе могли бы позволить третьей стороне, которой они доверяют, выбирать p и q, вычислять n и и создать пару образцов ( e_i, d_i ) для каждого объекта. Теперь предположим, что Алиса должна передать сообщение Бобу. Зашифрованный текст Бобу — это Боб использует свой секретный ключ, d_B, чтобы расшифровывать сообщение: . Проблема в том, что Ева может также расшифровать сообщение, если она — член сообщества и ей была назначена пара образцов ( e_E и d_E ), как мы узнали в разделе "атака малого значения ключа дешифрации". Используя свои собственные ключи ( e_E и d_E ), Ева может начать вероятностную атаку на сомножители n и найти d_B Боба. Чтобы сорвать этот тип атаки, модуль не должен быть в совместном пользовании. Каждый объект должен вычислить свой собственный модуль.

Атаки реализации

Предыдущие атаки базировались на основной структуре RSА. Как показал Дэн Бонех (Dan Boneh), есть несколько атак реализации RSА. Мы приведем две из них: атака анализом времени и атака мощности.

Атака анализом времени (Timing attack). Пауль Кочер (Paul Kocher) демонстрировал атаку только зашифрованного текста, называемую атака анализом времени. Атака основана на быстром алгоритме с показательным временем, который рассмотрен в лекциях 12-13. Алгоритм использует только возведение во вторую степень, если соответствующий бит в секретном показателе степени d есть 0 ; он используется и при возведении во вторую степень и умножении, если соответствующий бит — 1. Другими словами, синхронизация требует сделать каждую итерацию более длинной, если соответствующий бит — 1. Эта разность синхронизации позволяет Еве находить значение битов в d, один за другим.

Предположим, что Ева перехватила большое количество зашифрованных текстов от C₁ до C_m. Также предположим, что Ева наблюдала, какое количество времени требуется для Боба, чтобы расшифровать каждый зашифрованный текст, от T₁ до T₂. Ева знает, сколько времени требуется для основных аппаратных средств, чтобы выполнить операцию умножения от t₁ до t_m., где t₁ — время, требуемое для выполнения умножения.

Результат операции умножения = Результат . Ева может использовать алгоритм 14.5, который является упрощенной версией алгоритма, используемого практически для вычисления всех бит в d ( d₀ до d _k-1 ).

Алгоритм устанавливает начальное значение d₀ = 1 (потому что d должен быть нечетным) и вычисляет новые значения для T’_is (время дешифрования относится к d₁ до d_k-1 ). Алгоритм затем предполагает, что следующий бит — это 1, и находит несколько значений D₁ до D₂, основываясь на этом предположении.

RSA_Timing_Attack([T₁…T_m])

{

d₀ <- 1 // Потому что d — нечетное

Вычислить [t₁…t_m]

[T₁…T_m] <- [T₁…T_m] - [t₁…t_m]

for (j from 1 to k-1)

{ //Обновление T_i для следующего бита

Пересчитать [t₁…t_m]

//Пересчет t_i в предположении, что следующий бит — это 1

[D₁…D_m] <- [T₁…T_m] -[t₁…t_m]

var <- variance ([D₁…D_m]) – variance ([T₁…T_m])

if (var > 0) d_j <- 1 else d_j <- 0

[T₁…T_m] <- [T₁…T_m] - d_j x [t₁…t_m] //Обновление T_i для следующего бита

}

}

14.5. Атака синхронизации

Если принятое предположение верно, то каждый D_i является вероятно меньшим, чем соответствующее время передачи T_i. Однако алгоритм использует дисперсию (или другие критерии корреляции), чтобы рассмотреть все варианты D_i и T_i. Если разность дисперсии положительная, алгоритм принимает предположение, что следующий бит равен 1 в противном случае предполагает, что следующий бит — 0. Алгоритм тогда вычисляет новые T_i, используя для этого оставшиеся биты.

Есть два метода сорвать атаку анализом времени:

1. добавить случайные задержки к возведению в степень, чтобы каждое возведение в степень занимало одно и то же время;

2. Ривест рекомендовал "ослепление". По этой идее зашифрованный текст умножается на случайное число перед дешифрованием. Процедура содержит следующие шаги:

a. Выбрать секретное случайное число r между 1 и (n – 1).

b. Вычислить .

c. Вычислить P₁ = C₁^d mod n.

d. Вычислить .

Атака анализом мощности подобна атаке анализом времени. Было показано, что если Ева может точно измерить мощность, использованную в течение дешифрования, она может начать атаку анализа мощности на основании принципов, рассмотренных для атаки анализом времени. Итеративное умножение и возведение в квадрат потребляют больше мощности, чем только итеративное возведение в квадрат. Та же самая группа методов, которая предотвращает атаки анализом времени, может сорвать атаки анализа мощности.