基于陷门的密码攻击.pdfVIP

基于陷门的密码攻击 张文政张敏 (国防科技保密通信重点实验室，成都，610041) 概要：本文提出了一种基于陷门的密码攻击方法，并给出了几个例子。 关键词：陷门密码攻击 1引言 当今社会是一个信息化的社会，国际互联网的广泛使用，其上的用户数目 每年逐渐增加，在上面已开发了许多服务，除了传统的电子邮件等外，现已开 发丁f包子商务，实现了网上购物等。现在网上每天都传送着大量的信息，为了 仪征这些信息的安全，必须对它们进行处理，包括加密、签名、完整性验证等。 嘣此，我们必须要研究好的密码算法。 然而，仅要求有密码特性好的密码算法还不够，我们还必须保证密码算法 能ir确实现，特别是在该算法的实现中不能加入陷门。为什么要提出这个问题 l恺?『q为通常的情况是用户获得密码设备后，通常不会检查该密码设备就会使 用，㈨果密码实现者在罩面放上一个陷门，那么它就很容易破译出该密码设备 加密过的信息。 荚田的密钥托管加密标准中使用的密码芯片Clipper有公开的密码陷门， 后束发展的Capstone芯片也有公开的密码陷门，美国对密码设备的出口也有严 格州叭要么密钥长度不超过40比特，要么必须在密码设备中设置有陷门，这 十t々≠易iL美国破译通过它们的密码设备加密的信息。 水文讨沦了在密码设备中做陷门的方法，并给出了几个例子。 2陷门 我们打算利用公钥密码体制中使用的单向函数作为陷门函数．因为单向函 数址从。一方面计算出另一方面是容易的，而反之困难。目前己提出了许多单向 蛹数，如己知两个大素数的积，求两个大素数(用它构成RSA)：一般有限域中 n0出敞对数：椭圆曲线有限域中的离散对数：背包问题(已破译)：代数编码中 的。魑编码问题：有限自动机中的单向函数等。 我们利用单向函数做成公钥密码体制，然后把公开密钥秘密潜入到密码设 衙-h而秘密密钥攻击者(陷门者)自己掌握。因此该攻击者就是设计陷门的 人-3 7≠易破泽秘密信息，而对其它攻击者(不知道陷门的人)而言，破阵秘密 f。．0、!斌议困难。 。。州0。UIj使陔单向函数被其它密码攻击人员知道(如分析等)，它也只能得到有 父27 J1：密钥的信息，不能相应的秘密密钥，因而它不能得到浚设备的任何加密 i心事信．鬯．。 289 下面我们以几个实例来说明我们的思想。 3RS^ 没p和q是两个k比特的素数，n；pq，e是公开加密指数。d是秘密解密指 数。巾“)=(p—1)(q—1)是n的殴拉函数。 · 在我们的描述中，假设(e，n)和d是正要产生的RSA密钥，(EN)和D．是改 击者(陷门者)的RsA密钥．主要思想是通过攻击者的密钥在(e，n)中隐藏足够 多的信息允许攻击者能从产生的(e，n)中得到d。步骤如下： 第一步：随机产生k比特p、q。 第二步：测试p、q的索性，通过后转到第三步．否则转到第一步。 第三步：置e=扩m。d＼。 筇四步：测试e和(b(n)是否互素．若互素，转到第五步，否则转到第一步。 第盘步：通过欧几里德算法，从e和巾(n)中计算出d。然后公开(e，n)， 保密d。 攻击者很容易从公开的(e，n)中得到d。 IIlod～，然后和用n即可计算出另一个因子 首先它利用e得到口，即b=eo q：n邝，从而象币常使用的RsA一样可计算出d。从而可得到用户的秘密密钥。 - 这足一个在RsA体制中如何做陷门的例子，下面接着讨论E1Grdmel体制中如 何做陷们。 4EIGa弛I ’ iF常的ElGamol体制描述如下： 公J1：密钥：p．g，y。 船密密钥：x。 p．h=y“M∞dp。 加密：d=矿㈨d