3_Analiz_stoykosti_KS_RShA
.pdf
Атака Винера (Wiener)
Привыборемалогоd существенноупрощаетсяалгоритмдешифрования («малая»вданномслучаеозначает,что d 
N ).Этаатака основываетсянаследующей
Теореме.
Пустьp, q – простыечисла,N=pq - модуль;d – секретныйключ;e – ключ
ed 1mod (N ) шифрования;ипусть
Тогдазначениеd можетбытьлегковычисленокакзнаменатель однойизподходящихдробейk/d – разложенияe/N вцепнуюдробь.
e |
|
k |
|
1 |
|
|
|
|
|
||
N |
d |
2d |
2 |
Пусть N=160523347, e=60728973
Получаем следующие подходящие дроби
Вспомним, что
ed
1mod (N)
, то есть
ed k (N ) 1
Откуда следует, что
перебором, для каждой k/d подходящей дроби, вычисляется
(N ) (ed 1) / k и решается квадратное уравнение
x2 (N (N ) 1)x N 0
(см. следующий слайд)
Проверяется, является ли p простым множителем.
Предположим k/d=14/37, тогда
(N ) |
ed 1 |
|
60728973 37 1 |
160498000 |
||||
k |
|
14 |
|
|||||
|
|
|
|
|
|
|||
(N ) |
ed 1 |
|
60728973 37 1 |
160498000 |
||||
|
k |
|
|
14 |
||||
|
|
|
|
|
|
|
||
Значения p и q найдены успешно, т.к.
(Пояснение к предыдущему слайду)
Знаниеφ позволяетпростофакторизовать n,и,следовательно,задача нахожденияφ вычислительноэквивалентназадачефакторизации. (стр.150).
Утверждение. (Полезноедляанализастойкостикриптосистемсоткрытым |
||||
ключом.)Пусть n p q , где |
p q – простые числа. |
p q . |
Тогда |
|
числа p и q можно найти, если известно n и |
n p 1 q 1 |
|
||
|
|
|
||
Доказательство. Будемрассматриватьp, q какпарунеизвестныхцелых чисел,длякоторыхзаданоихпроизведение p q n и известнасумма,
поскольку число.
p q n 1 n p q 1 p 1 q 1 2b
,гдеb – некотороецелое
Двачисла,суммакоторыхравна 2b ,апроизведениеравноn,являются
очевиднокорнямиуравнения x 2 2bx n 0 (теоремаВиета).Тогдакорни квадратногоуравненияиестьнеобходимыечислаp иq:
. p b 
b 2 n 2 ; q b 
b 2 n 2
Сложностьрешенияэтогоуравнения – O log 3 n
Четвертая побочная атака.
Атака с использованием мультипликативного свойства шифра РША.
ИзописанияКСРШАследует,чтодлялюбыхсообщенийM1 , M2
M |
M |
|
e |
M |
e |
M |
e |
C |
C |
|
mod n |
|
1 |
2 |
2 |
||||||||
1 |
2 |
|
|
|
|
1 |
|
|
гдеC1 = M1e mod n, C2 = M2e mod n.Этосвойствоможет использоватьзлоумышленник.Предположим,чтозлоумышленник E хочетдешифроватьсообщениеC,предназначенноедля пользователяA,ипредположим,чтоA согласендешифровать любуюдругуюкриптограммудляE,помимоC (например,вдругом сеансе).
ТогдаE можетдешифроватьC,действуяследующимобразом:
1) E выбирает x A дешифровать
Z n |
||
~ |
; |
|
C |
||
|
||
ивычисляет
~ |
e |
|
|
|
C C x |
A |
mod n |
||
|
||||
|
|
|
.ЗатемE просит
2) А выполняетэтупросьбу – дешифрует: |
~ |
~ |
M C d mod n ,затем |
||
передаетрезультатзлоумышленникуE.Поскольку
~ |
~ |
M C |
|
d |
d |
e |
|
d |
A |
|
|
|
mod n Mx mod n |
||||
|
A C |
A x |
A |
|
||
|
|
|
|
|||
|
|
|
x |
|
|
|
тоЕможетвыполнитьследующийшаг;
~ |
~ |
1 |
|
|
3) E,знаяM , определяет M M x |
mod n |
|||
|
||||
криптограммуС.
,т. е.дешифрует
Чтобызащититьсяоттакойатаки,нельзя дешифровать чужие сообщения. Есливсежеотэтогонельзяотказаться,топосле дешифрованиянадопроверить,чтополучилось – случайныйили осмысленныйтекст.Еслиполучилсяслучайныйтекст,тоне передаватьпозапросудешифрованноесообщениеE.
Пятая побочная атака.
Атака на систему РША, использующую общие модули для нескольких пользователей.
Этотипичнаяситуацияпригенерированиипарключейдляпользователей некоторымобщимдляних«центромраспределенияключей»(рис. 1).
Рис. 1.АтаканаКСРША,использующуюобщиемодули
Вэтомслучаелюбойпользовательi,имеющийключи(ei , di ), способенопределитьлюбуюдругуюпаруключей.Действительно, знаниесвоегосекретногоключаdi позволяетемуфакторизоватьn,т. е. определитьq иp . Действительно,знаниесвоегосекретногоключапозволяетнайти (n) ed 1mod (n)
Тоесть,знаяp иq,легконайти ( p q n 1 (n)
(см.деталивп.2.1.9учебногопособия).
Зная ej (какоткрытыйключдругого, j-гопользователя),атакже
используятотфакт,что |
e |
j |
d |
j |
1mod p 1 q 1 |
i -йпользователь |
|
|
|
|
|
можетвычислитьсекретныйключ dj любогодругогопользователя.
Шестая побочная атака. Циклическая атака.
Предположим,чтоизвестналишьоднакриптограммаC,полученнаяв криптосистемеРША.Тогдазлоумышленникможетлегконайтиее преобразования:
C |
|
C |
e |
1 |
mod n; C |
|
C |
e |
2 |
mod n; C |
|
C |
e |
3 |
mod n, ..., C |
|
C |
e |
r |
|
|
|
|
|
|
|
|
||||||||||||
1 |
|
|
2 |
|
|
3 |
|
|
r |
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
mod n
Этивычисленияонпродолжаетдотехпор,покарезультатнесовпадет сисходнойкриптограммойC.(Этособытиедолжнопроизойтирано илипозднонакаком-тошагеk,таккакшифрование – этопосуществу перестановкачисел{0,1,2,…,n – 1}.)Тогдаонможетнайти сообщениекак M C ek 1 mod n ,поскольку M e C ek C .
Однаков[3]доказывается,чтотакойметоддаетифакторизацию числаn,ипоэтомуприбольшихn этотподходнелучшепрямого методафакторизациимодуляКСРША.
Седьмая побочная атака. Отсутствие шифрования.
Этотслучайвозможен,есливрезультатешифрованияполучаем открытоесообщение,т. е.M e mod n = M.Такоеусловиедолжно выполнитьсяхотябыдляодногоизсообщений,например,для сообщенийM = 0, 1, n – 1 . Насамомделетакихсообщений,которые
вообще! нешифруются[3],существуетвточности
[1 + gcd (e – 1, p – 1)][1 + gcd (e – 1, q – 1)] .Ихчисловсегдане
менее9.Однакоприслучайномвыбореq иp долятакихсообщений будетничтожномалаионипочтиникогданевстретятсянапрактике.