Puncte:1

Vulnerabilitatea RSA atunci când M criptat nu este coprime cu N

drapel kr

Am testat cu câteva cazuri de testare, mi s-a părut textul cifrat $M^e$ de RSA este întotdeauna coprim cu N când e=3. Există un motiv pentru care? Ce s-ar întâmpla dacă textul cifrat $M^e$ nu este coprim cu M când e=3?

fgrieu avatar
drapel ng
Când $(N,e)$ este o cheie publică RSA validă cu $N$ produsul a două numere prime secrete distincte $p$ și $q$, există probabilitatea de aproximativ $1/p+1/q$ ca un mesaj aleator $M $ este astfel încât $M^e$ nu este coprim cu $N$. Deoarece atât $p$ cât și $q$ trebuie să fie mari (sute de cifre zecimale) pentru ca RSA să fie sigur, această probabilitate este complet neglijabilă în utilizarea reală a RSA. Întrebarea este să luăm în considerare ceva care în utilizare reală nu va apărea pentru $M$ aleatoriu sau pseudoaleatoriu sau pentru $M\in[1,N)$ ales de cineva care nu știe (și nu poate găsi) factorizarea lui $N$ .
kelalaka avatar
drapel in
RSA este o permutare de trapă. Asta implică ceva?
Puncte:3
drapel gb

Când $N = pq$ este produsul a două numere prime, singurele numere care nu sunt coprime $N$ sunt cele care contin fie $p$ sau $q$ ca factor. Cu siguranță este posibil să aibă $M^3$ divizibil cu oricare $p$ sau $q$ deci observatia ta nu este adevarata in general. Un exemplu:

$$ M = 42\ N = 7*13 = 91\ M^3 \equiv 14 \pmod{91} $$ În mod clar 14 și 91 nu sunt coprime - ambele împărtășesc $7$ ca factor. Calculul GCD al $c = M^3$ și $N$ astfel se scurge $7$ ca factor al $N$, spargerea RSA.

Chen avatar
drapel kr
Ok, nu m-am gândit la asta.În acest caz, este o vulnerabilitate severă de securitate, deoarece luând GCD-ul textului cifrat (C) și N scurgeri p sau q?
Chen avatar
drapel kr
Utilizarea OAEP pe un C care nu este coprim cu N ar dizolva problema?
fgrieu avatar
drapel ng
@Chen: Nu înțeleg ce vrei să spui prin „folosirea OAEP pe C”; dar folosirea OAEP pentru a produce intrarea $M$ pentru criptarea RSA brută $M\mapsto C=M^e\bmod N$ pentru $N$ altfel sigur este practic sigur că va „dizolva problema”, dacă a existat una. Acum putem cifra în siguranță multipli de $p$ sau $q$. Din nou, chiar și atunci când nu utilizați OAEP, nu există nicio problemă practică, deoarece alegerea $M$ sau $C$ în $[1,n)$ cu $\gcd(C,N)\ne1$ este imposibil pentru cineva care nu știe ( nici capabil să găsească) factorizarea lui $N$.
Chen avatar
drapel kr
Îmi pare rău, am vrut să folosesc OAEP pe M. Vrei să spui că a alege un M care dă $gcd(C,N)â 1$ intenționat este imposibil fără a cunoaște p și q?
Chen avatar
drapel kr
si de ce ar fi imposibil? Ar mai fi posibil cu o probabilitate de succes de 1/p + 1/q?
meshcollider avatar
drapel gb
@Chen nu ar fi diferit de un atacator care doar ghicește factori aleatori de $N$ :)
poncho avatar
drapel my
@Chen: pentru dimensiuni practice $p, q$, adică $2^{-1024}$ sau mai mici, $1/p + 1/q$ este efectiv „imposibil”

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.