Bakırcılar saldırısı - Coppersmiths attack - Wikipedia

Bakırcı saldırısı bir sınıfını tanımlar kriptografik saldırılar üzerinde açık anahtarlı şifreleme sistemi RSA göre Bakırcı yöntemi. RSA'ya saldırmak için Coppersmith yönteminin özel uygulamaları, kamu üssü e küçüktür veya gizli anahtarın kısmi bilgisi mevcut olduğunda.

RSA temelleri

RSA sistemindeki genel anahtar, tamsayılar ${ displaystyle (N, e)}$ , nerede N iki asalın ürünüdür p ve q. Gizli anahtar bir tamsayı ile verilir d doyurucu ${ displaystyle ed eşdeğeri 1 { pmod {(p-1) (q-1)}}}$ ; eşdeğer olarak, gizli anahtar şu şekilde verilebilir: ${ displaystyle d_ {p} eşdeğeri { pmod {p-1}}}$ ve ${ displaystyle d_ {q} equiv d { pmod {q-1}}}$ Eğer Çin kalıntı teoremi şifre çözme hızını artırmak için kullanılır, bkz. CRT-RSA. Bir şifreleme İleti M üretir şifreli metin ${ displaystyle C eşdeğeri M ^ {e} { pmod {N}}}$ kullanılarak şifresi çözülebilir ${ displaystyle d}$ hesaplayarak ${ displaystyle C ^ {d} eşdeğeri M { pmod {N}}}$ .

Düşük halka açık üs saldırısı

Azaltmak için şifreleme veya imza -doğrulama zaman, küçük bir halk kullanmak faydalıdır üs ( ${ displaystyle e}$ ). Uygulamada, ortak seçimler ${ displaystyle e}$ 3, 17 ve 65537 ${ displaystyle (2 ^ {16} +1)}$ . Bu değerler için e vardır Fermat asalları bazen şöyle anılır ${ displaystyle F_ {0}, F_ {2}}$ ve ${ displaystyle F_ {4}}$ sırasıyla ${ displaystyle (F_ {x} = 2 ^ {2 ^ {x}} + 1)}$ . Onlar seçildi çünkü onlar modüler üs alma daha hızlı işlem. Ayrıca, böyle seçmiş ${ displaystyle e}$ olup olmadığını test etmek daha kolaydır ${ displaystyle gcd (e, p-1) = 1}$ ve ${ displaystyle gcd (e, q-1) = 1}$ Adım 1'deki asalları üretir ve test ederken anahtar oluşturma. Değerleri ${ displaystyle p}$ veya ${ displaystyle q}$ Başarısız olan bu test orada ve daha sonra reddedilebilir. (Daha da iyisi: eğer e asal ve 2'den büyükse test ${ displaystyle p , { bmod {,}} e neq 1}$ daha pahalı testin yerini alabilir ${ displaystyle gcd (p-1, e) = 1}$ .)

Kamu üssü küçükse ve düz metin ${ displaystyle m}$ çok kısaysa, RSA işlevinin tersine çevrilmesi kolay olabilir ve bu da belirli saldırıları mümkün kılar.Dolgu şemaları Mesajların tam uzunlukta olduğundan emin olun, ancak ek olarak genel üs seçin ${ displaystyle e = 2 ^ {16} +1}$ tavsiye edilir. Bu değer kullanıldığında, imza doğrulama 17 çarpma gerektirirken, rastgele bir ${ displaystyle e}$ benzer boyutta kullanılır. Düşük özel üssün aksine (bkz. Wiener Saldırısı ), küçük olduğunda uygulanan saldırılar ${ displaystyle e}$ kullanılan toplamdan uzak kırmak hangisi gizli anahtarı kurtarır dDüşük kamu üssüne yönelik en güçlü saldırılar RSA aşağıdaki teoremi temel alır Don Bakırcı.

Bakırcı yöntemi

Teorem 1 (Bakırcı)^[1]: İzin Vermek N fasulye tamsayı ve ${ mathbb {Z}} [x]} içinde { displaystyle f$ olmak monik polinom derece ${ displaystyle d}$ tamsayılar üzerinde. Ayarlamak ${ displaystyle X = N ^ {{ frac {1} {d}} - epsilon}}$ için ${ displaystyle { frac {1} {d}}> epsilon> 0}$ . Sonra verildi ${ displaystyle sol langle N, f sağ rangle}$ saldırgan Eve, tüm tam sayıları verimli bir şekilde bulabilir ${ displaystyle x_ {0}$ doyurucu ${ displaystyle f (x_ {0}) eşdeğeri 0 { pmod {N}}}$ . çalışma süresi çalıştırmak için gereken süre hakimdir HBÖ algoritması bir kafes nın-nin boyut Ö ${ displaystyle (w)}$ ile ${ displaystyle w = { rm {min}} sol {{ frac {1} { epsilon}}, log _ {2} N sağ }}$ .

Bu teorem, bir algoritma hepsini verimli bir şekilde bulabilen kökler nın-nin ${ displaystyle f}$ modulo ${ displaystyle N}$ bundan daha küçük ${ displaystyle X = N ^ { frac {1} {d}}}$ . Gibi ${ displaystyle X}$ küçüldükçe algoritmanın çalışma süresi azalacaktır. Bu teoremin gücü, polinomların tüm küçük köklerini bulma yeteneğidir. modulo bir kompozit ${ displaystyle N}$ .

Håstad'ın yayın saldırısı

Håstad'ın saldırısının en basit şekli^[2] anlaşılmasını kolaylaştırmak için sunulmuştur. Genel durum, Coppersmith yöntemini kullanır.

Bir gönderenin aynı mesajı gönderdiğini varsayalım ${ displaystyle M}$ şifrelenmiş biçimde birkaç kişiye ${ displaystyle P_ {1}; P_ {2}; noktalar; P_ {k}}$ , her biri aynı küçük kamu üssünü kullanıyor ${ displaystyle e}$ , söyle ${ displaystyle e = 3}$ ve farklı modüller ${ displaystyle sol langle N_ {i}, e sağ rangle}$ . Basit bir argüman gösteriyor ki, ${ displaystyle k geq 3}$ şifreli metinler biliniyor, mesaj ${ displaystyle M}$ artık güvenli değil: Farz edin ki Eve, ${ displaystyle C_ {1}, C_ {2}}$ , ve ${ displaystyle C_ {3}}$ , nerede ${ displaystyle C_ {i} eşdeğeri M ^ {3} { pmod {N_ {i}}}}$ . Varsayabiliriz ${ displaystyle gcd (N_ {i}, N_ {j}) = 1}$ hepsi için ${ displaystyle i, j}$ (aksi takdirde, bir hesaplamak mümkündür faktör biri ${ displaystyle N_ {i}}$ Hesaplama yoluyla ${ displaystyle gcd (N_ {i}, N_ {j})}$ .) Tarafından Çin Kalan Teoremi o hesaplayabilir ${ displaystyle C in mathbb {Z} _ {N_ {1} N_ {2} N_ {3}} ^ {*}}$ öyle ki ${ displaystyle C eşdeğeri C_ {i} { pmod {N_ {i}}}}$ . Sonra ${ displaystyle C eşdeğeri M ^ {3} { pmod {N_ {1} N_ {2} N_ {3}}}}$ ; ancak o zamandan beri ${ displaystyle M$ hepsi için ${ displaystyle i}$ ', sahibiz ${ displaystyle M ^ {3}$ . Böylece ${ displaystyle C = M ^ {3}}$ tam sayıları tutar ve Eve hesaplayabilir küp kökü nın-nin ${ displaystyle C}$ elde etmek üzere ${ displaystyle M}$ .

Daha büyük değerler için ${ displaystyle e}$ daha fazla şifreli metin gerekli, özellikle ${ displaystyle e}$ şifreli metinler yeterlidir.

Genellemeler

Håstad ayrıca bir doğrusal -dolgu malzemesi -e ${ displaystyle M}$ şifrelemeden önce bu saldırıya karşı koruma sağlamaz. Saldırganın bunu öğrendiğini varsayın ${ displaystyle C_ {i} = f_ {i} (M) ^ {e}}$ için ${ displaystyle 1 leq i leq k}$ ve bazı doğrusal fonksiyonlar ${ displaystyle f_ {i}}$ ör. Bob, ped için İleti ${ displaystyle M}$ önce şifreleme alıcıların biraz farklı mesajlar alması için. Örneğin, eğer ${ displaystyle M}$ dır-dir ${ displaystyle m}$ Bob biraz uzun olabilir şifrelemek ${ displaystyle M_ {i} = i2 ^ {m} + M}$ ve bunu şuraya gönder ${ displaystyle i}$ alıcı.

Yeterince büyük bir insan grubu söz konusuysa, saldırgan düz metin ${ displaystyle M_ {i}}$ hepsinden şifreli metin benzer yöntemlerle. Daha genel olarak Håstad, bir sistemin tek değişkenli denklemler modulo nispeten asal herhangi bir sabit uygulama gibi kompozitler polinom ${ displaystyle g_ {i} (M) eşdeğeri 0 { pmod {N_ {i}}}}$ yeterince çoksa çözülebilir denklemler sağlanır. Bu saldırı rasgele dolgu malzemesi kullanılmalı RSA şifreleme.

Teorem 2 (Håstad): Varsayalım ${ displaystyle N_ {1}, noktalar, N_ {k}}$ vardır nispeten asal tamsayılar ve ayarla ${ displaystyle N _ { rm {min}} = { rm {min}} _ {i} {N_ {i} }}$ . İzin Vermek ${ displaystyle g_ {i} (x) in mathbb {Z} / N_ {i} sol [x sağ]}$ olmak ${ displaystyle k}$ polinomlar maksimum derece ${ displaystyle q}$ . Varsayalım ki benzersiz bir ${ displaystyle M$ doyurucu ${ displaystyle g_ {i} (M) eşdeğeri 0 { pmod {N_ {i}}}}$ hepsi için ${ displaystyle i solda {1, noktalar, k sağ }}$ . Dahası, varsayalım ${ displaystyle k> q}$ . Verimli bir algoritma verilen ${ displaystyle sol langle N_ {i}, g_ {i} sol (x sağ) sağ rangle}$ hepsi için ${ displaystyle i}$ , hesaplar ${ displaystyle M}$ .

Kanıt

Beri ${ displaystyle N_ {i}}$ vardır nispeten asal Çin Kalan Teoremi hesaplamak için kullanılabilir katsayılar ${ displaystyle T_ {i}}$ doyurucu ${ displaystyle T_ {i} eşdeğeri 1 { pmod {N_ {i}}}}$ ve ${ displaystyle T_ {i} eşdeğeri 0 { pmod {N_ {j}}}}$ hepsi için ${ displaystyle i neq j}$ . Ayar ${ displaystyle g (x) = toplamı T_ {i} cdot g_ {i} (x)}$ Biz biliyoruz ki ${ displaystyle g (M) eşdeğeri 0 { pmod { prod N_ {i}}}}$ . Beri ${ displaystyle T_ {i}}$ değillersıfır bizde var ${ displaystyle g sol (x sağ)}$ sıfırdan farklıdır. Derecesi ${ displaystyle g sol (x sağ)}$ en fazla ${ displaystyle q}$ . Coppersmith'in Teoremine göre, hepsini hesaplayabiliriz tamsayı kökler ${ displaystyle x_ {0}}$ doyurucu ${ displaystyle g (x_ {0}) eşdeğeri 0 { pmod { üretim N_ {i}}}}$ ve ${ displaystyle sol | x_ {0} sağ | < sol ( prod N_ {i} sağ) ^ { frac {1} {q}}}$ . Ancak bunu biliyoruz ${ displaystyle M$ , yani ${ displaystyle M}$ Coppersmith teoreminin bulduğu kökler arasındadır.

Bu teorem yayın problemine uygulanabilir RSA aşağıdaki şekilde: Varsayalım ${ displaystyle i}$ -th düz metin bir polinom ile doldurulur ${ displaystyle f_ {i} sol (x sağ)}$ , Böylece ${ displaystyle g_ {i} = sol (f_ {i} sol (x sağ) sağ) ^ {e_ {i}} - C_ {i} { bmod {}} N_ {i}}$ . Sonra ${ displaystyle g_ {i} (M) eşdeğeri 0 { bmod {N}} _ {i}}$ doğrudur ve Coppersmith'in yöntemi kullanılabilir. Saldırı bir kez başarılı olur ${ displaystyle k> { rm {max}} _ {i} (e_ {i} cdot deg f_ {i})}$ , nerede ${ displaystyle k}$ mesaj sayısıdır. Orijinal sonuç, tam Coppersmith yöntemi yerine Håstad'ın varyantını kullandı. Sonuç olarak, gerekli ${ displaystyle k = O (q ^ {2})}$ mesajlar, nerede ${ displaystyle q = { rm {max}} _ {i} (e_ {i}. deg f_ {i})}$ .^[2]

Franklin-Reiter ile ilgili mesaj saldırısı

Franklin-Reiter yeni bir saldırı tespit etti RSA halkla üs ${ displaystyle e = 3}$ . Eğer iki mesajlar yalnızca iki mesaj arasındaki bilinen sabit bir farkla farklılık gösterir ve RSA şifreli aynı şekilde RSA modül ${ displaystyle N}$ , o zaman ikisini de kurtarmak mümkündür.

İzin Vermek ${ displaystyle sol langle N; e_ {i} sağ rangle}$ Alice'in açık anahtarı olabilir. Varsayalım ${ displaystyle M_ {1}; M_ {2} in mathbb {Z} _ {N}}$ iki farklı mesajlar doyurucu ${ displaystyle M_ {1} equiv f (M_ {2}) { pmod {N}}}$ bazı kamuoyu tarafından bilinen için polinom ${ displaystyle f in mathbb {Z} _ {N} [x]}$ . Göndermek ${ displaystyle M_ {1}}$ ve ${ displaystyle M_ {2}}$ Alice'e, Bob safça şifrelemek mesajlar ve iletmek sonuç şifreli metinler ${ displaystyle C_ {1}; C_ {2}}$ . Eve kolayca iyileşebilir ${ displaystyle M_ {1}; M_ {2}}$ verilen ${ displaystyle C_ {1}; C_ {2}}$ , aşağıdaki teoremi kullanarak:

Teorem 3 (Franklin-Reiter)^[1]: Ayarlamak ${ displaystyle e = 3}$ ve izin ver ${ displaystyle sol langle N, e sağ rangle}$ RSA genel anahtarı olabilir. İzin Vermek ${ displaystyle M_ {1} neq M_ {2} in mathbb {Z} _ {N} ^ {*}}$ tatmin etmek ${ displaystyle M_ {1} equiv f (M_ {2}) { pmod {N}}}$ bazı doğrusal polinom ${ displaystyle f = ax + b in mathbb {Z} _ {N} [x]}$ ile ${ displaystyle b neq 0}$ . Sonra verildi ${ displaystyle sol langle N, e, C_ {1}, C_ {2}, f sağ rangle}$ , saldırgan, Eve, kurtarabilir ${ displaystyle M_ {1}, M_ {2}}$ zamanında ikinci dereceden içinde ${ displaystyle log _ {2} N}$ .

Bir ... için keyfi ${ displaystyle e}$ (sınırlamak yerine ${ displaystyle e = 3}$ ) gerekli zaman ikinci dereceden içinde ${ displaystyle e}$ ve ${ displaystyle log _ {2} N}$ .

Kanıt

Dan beri ${ displaystyle C_ {1} equiv M_ {1} ^ {e} { pmod {N}}}$ , Biz biliyoruz ki ${ displaystyle M_ {2}}$ bir kök of polinom ${ displaystyle g_ {1} (x) = f (x) ^ {e} -C_ {1} in mathbb {Z} _ {N} [x]}$ . Benzer şekilde, ${ displaystyle M_ {2}}$ kökü ${ displaystyle g_ {2} (x) = x ^ {e} -C_ {2} in mathbb {Z} _ {N} [x]}$ . doğrusal faktör ${ displaystyle x-M_ {2}}$ ikisini de böler polinomlar Bu nedenle, Eve hesaplar en büyük ortak böleni (gcd) / ${ displaystyle g_ {1}}$ ve ${ displaystyle g_ {2}}$ , gcd doğrusal çıkarsa, ${ displaystyle M_ {2}}$ bulunan. gcd ikinci dereceden zamanda hesaplanabilir ${ displaystyle e}$ ve ${ displaystyle log _ {2} N}$ kullanmak Öklid algoritması.

Coppersmith’in kısa ped saldırısı

Håstad’ın ve Franklin-Reiter’in saldırısı gibi, bu saldırı da bir zayıflıktan yararlanmaktadır. RSA kamu üssü ile ${ displaystyle e = 3}$ . Coppersmith gösterdi ki, Håstad tarafından önerilen rastgele dolgu yanlış kullanılırsa RSA şifreleme güvenli değil.

Bob'un bir mesaj gönderdiğini varsayalım ${ displaystyle M}$ Alice'e daha önce küçük bir rastgele dolgu kullanarak şifreleme o. Bir saldırgan, Eve, araya girdi şifreli metin ve hedefine ulaşmasını engeller. Bob yeniden göndermeye karar verir ${ displaystyle M}$ Alice'e çünkü Alice mesajına cevap vermedi. Rastgele pedler ${ displaystyle M}$ tekrar ve ortaya çıkan şifreli metni iletir. Eve artık aynı mesajın iki farklı rasgele ped kullanan iki şifrelemesine karşılık gelen iki şifre metnine sahip.

Eve kullanılan rastgele pedin ne olduğunu bilmese de mesajı kurtarabilir. ${ displaystyle M}$ rasgele dolgu çok kısaysa, aşağıdaki teoremi kullanarak.

Teorem 4 (Bakırcı): İzin Vermek ${ displaystyle sol langle N, e sağ rangle}$ halk ol RSA anahtar nerede ${ displaystyle N}$ dır-dir ${ displaystyle n}$ -bits uzun. Ayarlamak ${ displaystyle m = lfloor { frac {n} {e ^ {2}}} rfloor}$ . İzin Vermek ${ displaystyle M in mathbb {Z} _ {N} ^ {*}}$ en fazla uzunlukta bir mesaj olmak ${ displaystyle n-m}$ bitler. Tanımlamak ${ displaystyle M_ {1} = 2 ^ {m} M + r_ {1}}$ ve ${ displaystyle M_ {2} = 2 ^ {m} M + r_ {2}}$ , nerede ${ displaystyle r_ {1}}$ ve ${ displaystyle r_ {2}}$ vardır farklı tamsayılar ile ${ displaystyle 0 leq r_ {1}, r_ {2} <2 ^ {m}}$ . Havva verilirse ${ displaystyle sol langle N, e sağ rangle}$ ve şifrelemeler ${ displaystyle C_ {1}, C_ {2}}$ nın-nin ${ displaystyle M_ {1}, M_ {2}}$ (ama verilmez ${ displaystyle r_ {1}}$ veya ${ displaystyle r_ {2}}$ ), verimli bir şekilde iyileşebilir ${ displaystyle M}$ .

Kanıt^[1]

Tanımlamak ${ displaystyle g_ {1} (x, y) = x ^ {e} -C_ {1}}$ ve ${ displaystyle g_ {2} (x, y) = (x + y) ^ {e} -C_ {2}}$ . Ne zaman olduğunu biliyoruz ${ displaystyle y = r_ {2} -r_ {1}}$ , bunlar polinomlar Sahip olmak ${ displaystyle x = M_ {1}}$ ortak bir kök olarak. Diğer bir deyişle, ${ displaystyle vartriangle = r_ {2} -r_ {1}}$ bir köküdür sonuç ${ displaystyle h (y) = { rm {res}} _ {x} (g_ {1}, g_ {2}) in mathbb {Z} _ {N} [y]}$ . Ayrıca, ${ displaystyle sol | vartriangle sağ | <2 ^ {m}$ . Bu nedenle ${ displaystyle vartriangle}$ küçük bir kökü ${ displaystyle h}$ modulo ${ displaystyle N}$ ve Eve, Coppersmith yöntemini kullanarak bunu verimli bir şekilde bulabilir. bir Zamanlar ${ displaystyle vartriangle}$ Bilinir, Franklin-Reiter saldırısı kurtarmak için kullanılabilir ${ displaystyle M_ {2}}$ ve sonuç olarak ${ displaystyle M}$ .

Ayrıca bakınız

Referanslar

^ ^a ^b ^c D. Boneh, RSA şifreleme sistemine yirmi yıllık saldırılar
^ ^a ^b Glenn Durfee, Cebirsel ve Kafes Yöntemleri Kullanılarak RSA'nın Kriptanalizi

[DB-1] D. Boneh, RSA şifreleme sistemine yirmi yıllık saldırılar

[GD-2] Glenn Durfee, Cebirsel ve Kafes Yöntemleri Kullanılarak RSA'nın Kriptanalizi

[1]

[2]