RSA体制通过解密指数d分解模N的分析 2.doc

下载文档 降价啦

72
0
约1.29万字
约 10页
2017-09-22 发布于安徽
举报
版权申诉
保障服务

RSA体制通过解密指数d分解模N的分析 2.doc

1、本文档共10页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

RSA 体制通过解密指数 d 分解模 N 的分析王明强，孙波山东大学密码技术与信息安全教育部重点实验室，济南 250100 摘要：2007 年，Coron 和 May[1] 证明了当 e · d ≤ N 2 的时候，可以通过解密指数 d 在确定性多项式时间内分解 N. 首先，论文考虑了 p, q 间的关系对上述结论的影响，通过考虑通常条件下 p + q ? 2 N 值较小这一事实，从而提高对 e · d 要求的上限。然后，对模 N 为 prq 形式的 RSA 体制进行了类似的分析，并得到相似的结论。关键词：分解 RSA 模；格理论；多项式小值解中图分类号： TN918 Factoring the RSA modulus N with secret key d WANG Ming-Qiang, Sun Bo Key Laboratory of Cryptologic Technology and Information Security, Ministry of Education, Shandong University, Jinan 250100 Abstract: In 2007, Coron and May[1] proved that RSA modulus N can been factorized in deterministic polynomial time since e · d ≤ N 2. In this paper we study the relation of p and q and its in?uences on this conclusion. In most cases p + q ? 2 N is small, and with this fact we can imporved the requriment on upper bound of e · d. In the last section, we analyse the RSA scheme with modulus prq and get a similar result. Key words: Factor RSA modulus; Lattice; Small root of Polynomial 0 引言作为第一个广泛应用的公钥密码体制，RSA 的安全性一直是密码学界研究的热点。关于 RSA 安全性有一个基本问题：已知公私钥对 (N, e, d) 是否可以分解 N = p · q. 该问题有一个概率多项式时间的算法，确定性多项式时间的算法直到 2007 年才由 J.Coron 和 A.May[1] 给出。通过利用 Coppersmith 求小值解方法，Coron 和 May 证明了当 e · d ≤ N 2 的时候，可以在确定性多项式时间内分解 N. 在 Coron 的文章中，他使用了同余方程组 U = e · d ? 1 = 0 mod ?, ?(N) = N ? s = 0 mod ?, 基金项目：教育部博士点新教师基金 (Grant No.20090131120012) 作者简介：王明强（1971-），男，副教授，主要研究方向：信息安全。Email:wangmingqiang@sdu.edu.cn。 -1- 其中 s = p + q ? 1. 假设 s 的高位比特为 s0，即 s = x0 + s0X, 0 ≤ x0 X, 其中 X 已知。利用上述同余方程组，Coron 构造了如下多项式组 gij(x) = xi · (x ? N + x0X)j · U m?j, 其中 0 ≤ j ≤ m, i = 0; j = m, 1 ≤ i ≤ k, 可以看出对于所有的 (i, j) 都有 gij(x0) = 0 mod ?m. 通过 Coppersmith 方法得到 s 的值从而分解 N. 本文进一步考虑了 p, q 间关系以及对结论的影响。通常情况下，为了防止 N 被分解， RSA 参数选择要求 p 和 q 是平衡的，即 p 和 q 有相同的比特长度，或者 p ? q 比较小。可以看出由于 p · q = N, 在这种情况下 s = p + q ? 2 N 比较小。假设 s = N δ, U = e · d = N α, 本文证明了在 α, δ 满足关系 α · δ ≤ 1 时，N 在确定多项式时间内可以分解。考虑 RSA 关系式 e · d = k(N ? p ? q + 1) = 1. √ 假设 A = N + 1 ? 2 N, 利用了同余方程 k(A ? s) = 1 mod U, 构造目标求解方程 fU(x, y) = x(y ? A) ? 1, 然后构造了以下方程组 g