cnspp-ch09-Public Key Cryptography and RSA公钥密码学相关.ppt

数学攻击 三个方面实施攻击: 直接求解解密指数 d 求解 ?(N) ，然后确定 d 分解 N=p.q,然后确定 ?(N)，进而确定 d 均等价于因子分解问题 因子分解问题 计算 假设n和 已知，n为两个素数p和q的乘积，通过求解方程:n=pq和 得到p和q，分解n。 计算 分解n 计算解密指数 任何能计算解密指数d的算法在分解n的概率算法中都能作为一个子程序（即问答器、Oracle、预言） 计算d并不比分解n容易。 Factoring Problem have seen slow improvements over the years as of Aug-99 best is 130 decimal digits (512) bit with GNFS biggest improvement comes from improved algorithm cf “Quadratic Sieve” to “Generalized Number Field Sieve” barring dramatic breakthrough 1024+ bit RSA secure ensure p, q of similar size and matching other constraints 同模攻击 设m是明文消息，Alice和Bob具有共同的模数n，公钥分别为 和 ，均对m加密（类似于转发邮件） gcd( , )=1，敌手Eve截获的两个密文为： 由于 和 互素， Eve由Euclidean扩展算法得r和s满足 假如r是负数，（r和s中有一个必定是负数，此处假设它为r）那么再用Euclidean算法可计算 ，则 不要在不同用户之间共享同一个模n 针对RSA的计时攻击 计时攻击 类似通过观察他人转动保险柜拨号盘的时间长短来猜测密码 解密时，不同d解密时间不同，求幂运算的时间差 可能的解决办法：不变的幂运算时间，可能降低性能 在求幂运算中加入随机延时 隐蔽：在执行幂运算之前先将密文乘上一个随机数 RSA数据安全算法，用私钥进行解密M=Cd modn的过程如下 产生0－n-1之间的秘密随机数r 计算C’=C(re)modn, e是公开的指数 计算M’=(C’)d modn 计算M=M’r-1modn, 其中r-1是r模n的乘法逆元，根据 redmodn=r，可以证明结论是正确的 选择密文攻击(CCA) 选择密文攻击 敌手截获C(=Me(mod n)),如何恢复M？ RSA加密的同态性质 通过随机填充破坏同态性 例如，RSA-OAEP C=(X||Y)e(mod n) /rsalabs/node.asp?id=2346 * This key setup is done once (rarely) when a user establishes (or replaces) their public key. The exponent e is usually fairly small, just must be relatively prime to ?(N). Need to compute its inverse to find d. It is critically important that the private key KR={d,p,q} is kept secret, since if any part becomes known, the system can be broken. Note that different users will have different moduli N. * Here walk through example using “trivial” sized numbers. Selecting primes requires the use of primality tests. Finding d as inverse of e mod ?(n) requires use of Inverse algorithm (see Ch4) * Rather than having to laborious repeatedly multiply, can use the square and multiply algorithm with modulo reductions to implemen