3_Analiz_stoykosti_KS_RShA

‮Физические атаки на КС РША

‮Атака, основанная на нахождении времени выполнения

определенных операций

‮

‮Такие‮атаки‮предполагают,‮что‮шифрование/дешифрование‮ выполняются‮в‮аппаратной‮форме.‮Пусть‮существует‮некоторый‮ невскрываемый чип‮дешифрования‮(рис. 2).

ЭМИ

Рис. 2.‮Дешифрование‮при‮помощи‮невскрываемого чипа

Напомним,‮что‮быстрое‮возведение‮в‮степень‮состоит‮в‮последовательном‮ возведении‮криптограммы‮в‮квадрат‮и‮умножениях‮на‮криптограмму‮по‮ модулю‮n.

‮ Пример. Рассмотрим‮дешифрование‮при‮помощи‮возведения‮в‮ степень:

‮ что‮соответствует‮выполнению‮следующих‮операций‮возведения‮в‮

‮Типично‮то,‮что‮операция‮умножения‮требует‮больше‮времени,‮чем‮ возведение‮в‮квадрат.‮Если‮злоумышленник‮может‮определить‮время‮ выполнения‮последовательности‮операций‮при‮дешифровании‮в‮ легальном‮чипе,‮например,‮контролируя‮потребление‮энергии‮или‮ излучения‮в‮окружающее‮пространство,‮то‮он‮может‮восстановить‮и‮ последовательность‮действий,‮а‮следовательно,‮и‮секретный‮ключ‮d.

‮(Защитой‮от‮такой‮атаки‮может‮быть‮зашумление‮окружающего‮ пространства‮или‮источников‮питания‮специальными‮шумовыми‮ генераторами‮или‮нормализация‮времени‮выполнения‮всех‮операций.)

‮

‮Атака внешним воздействием.

‮Эта‮атака‮выполняется‮при‮помощи‮радиационного‮или‮ электромагнитного‮излучения.

‮В‮некоторых‮случаях‮для‮сокращения‮времени‮производят‮ вычисления‮ M Cd mod N Cd mod pq

‮по‮составляющим‮модуля‮с‮последующим‮использованием‮китайской‮

теоремы‮об‮остатках,‮т. е.‮M1 = Cd mod p, M2 = Cd mod q,‮а‮затем‮ находят‮M = (M1 ∙ a + M2 ∙ b) mod n при‮выполнении‮условий:‮‮a = 1

Выбор параметров для КС РША

Как‮было‮отмечено‮ранее,‮правильный‮выбор‮параметров‮и‮ режимов‮работы‮может‮обеспечить‮стойкость‮КС‮РША‮для‮любых‮ существующих‮вычислительных‮средств‮криптоанализа.‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮‮

При‮этом‮необходимо‮обратить‮внимание‮прежде‮всего‮на‮выбор‮ величины‮модуля‮n и‮его‮множителей: 1)‮уместно‮выбрать‮битовую‮длину‮‮l(n) модуля‮n более‮768‮(а‮для‮ обеспечения‮высокой‮стойкости‮ l(n) 1024 ); 2)‮для‮того‮чтобы‮избежать‮атак‮с‮использованием‮некоторых‮ специальных‮алгоритмов‮факторизации,‮числа‮p и‮q должны‮быть‮

высокой‮стойкости),‮причем‮их‮разность‮ (p – q) не‮должна‮быть‮ малой,‮поскольку‮тогда‮эту‮разность‮можно‮будет‮найти‮перебором‮и‮ затем‮факторизовать‮n.

‮Иногда‮рекомендуется‮использовать‮так‮называемые‮строго простые числа p и q, которые‮удовлетворяют‮следующим‮условиям:

‮p – 1 и q – 1 имеют‮большой‮простой‮делитель‮r;

‮p + 1 и‮q + 1 имеют‮большой‮простой‮делитель‮x;

‮r – 1 имеет‮большой‮простой‮делитель‮y.

‮

‮

‮3)‮выбор‮малых‮экспонент‮шифрования‮e (число‮e = 3 используется‮на‮ практике,‮так‮как‮это‮требует‮одного‮возведения‮в‮квадрат‮и‮одного‮ умножения),‮вообще‮говоря,‮допустим,‮но‮для‮защиты‮от‮ соответствующей‮атаки‮необходимо‮тогда‮«подсаливать»‮сообщения.

‮Используют‮также‮экспоненту‮шифрования‮e = 216 + 1 = 65573,‮что‮ требует‮16‮возведений‮в‮квадрат‮и‮одного‮умножения.‮Данный‮метод,‮ даже‮без‮«подсаливания»‮сообщений,‮имеет‮преимущество‮перед‮ выбором‮экспоненты‮ e = 3,‮поскольку‮используемая‮для‮малых‮ экспонент‮атака‮будет‮эффективной,‮если‮только‮одно и то же сообщение шифруется‮и‮посылается‮одновременно‮ 65537 пользователям‮(!),‮что,‮конечно,‮маловероятно;

‮

‮

‮4)‮при‮построении‮КС‮для‮группы‮пользователей,‮использующих‮ шифры‮РША,‮в‮случае‮когда‮именно‮центры‮распределения‮ключей‮ снабжают‮их‮ключевыми‮данными,‮необходимо‮избегать‮ распределения‮общих‮модулей.