信息安全原理与实践-第二版06高级密码分析.pptVIP

至此，如果Z y＋ε，那么Trudy可以假定d1 = 1，否则，她就可以假定d1 = 0，其中通过试验可以确定相应的ε值。 一旦恢复出了d1，Trudy就能够使用相似的方式找到d2，即便是对于这下一步中的Y值和Z值的选择需要能够满足不同的标准。一旦d2已知，Trudy就能够继续确定d3，依此类推。 本节所讨论的攻击实际上仅仅适用于恢复私钥的最前面个别二进制位的值。 * 6.6.2 Kocher计时攻击 Kocher计时攻击背后的基本理念是要优雅但又要足够直接。 用于RSA算法中的模幂运算的重复平方算法 Kocher将这个攻击视为是一个信号侦测问题，其中所谓的“信号”包含了计时的变化，这依赖于未知的私钥位di, 其中 i = 1,2, ... , n。该信号会被所谓“噪音”所破坏，也就是未知私钥位di的结果。目标就是从第一个未知密钥位d1开始，每次恢复出私钥位di中的一位(或者几位)。 * 假设我们要尝试获得一个长度只有8位的私钥。那么，有下式： d=(d0,d1,d2,d3,d4,d5,d6,d7) 以及d0=1 假设我们已经确定： d0d1d2d3∈{1010,1001} 然后，我们生成一些随机的密文Cj，并对每一个密文我们都得到相应的计时T(Cj)。对于这些密文中的每一个，相对于如下两个值，我们都可以模拟重复平方算法的前4个步骤： d0d1d2d