Ha enviado Stalker
Esta sección contiene en él las diferentes descripciones de los ataques a un de los esquemas más populares ahora de la cifración abierta y la firma digital - RSA. Los métodos examinados suponen la presencia de las ciertas debilidades matemáticas del esquema no tomado en consideración a la realización temeraria. Son llevadas también las medidas de la resistencia a estos ataques. Es necesario tenerlos en cuenta a la realización del esquema RSA o las actas fundadas en ella.
1. La lectura RSA bezkljuchevoe.
2. El ataque a la firma RSA en el esquema con el notario.
3. El ataque a la firma RSA por escogido ш.т.
Se acordaremos ante todo del esquema mismo de la isla ш y ЭЦП RSA.
- Salen p, q - los números simples grandes. Es calculada la obra n=pq.
- Sale el número e - tal que (e, ф (n)) =1 (т.е e y ф (n) - взаимнопросты), donde ф (n) - la función de Ejlera de n.
- De la ecuación ed=1 (mod ф (n)) se encuentra el número d.
Los números recibidos e, n - la llave abierta del usuario, а d - la clave secreta.
El procedimiento зашифрования: C=E (e, n) (M) =Me (mod n), donde S-recibido ш.т., M - la isla de t., que satisface a la condición siguiente: Mф (n) =1 (mod n).
El procedimiento расшифрования: M=D (d, n) (C) =Cd (mod n).
La generación de la firma digital: la firma Q=Md digital (mod n).
La comprobación de la firma digital: Qe (¿mod n)? = M.
1. El método безключевого las lecturas RSA.
Las condiciones iniciales. Al adversario le son conocidos la llave abierta (e, n) y шифротекст Con.
La tarea. Encontrar el texto M inicial.
El adversario recoge el número j, para que se cumple la correlación siguiente: ej. E.d. el adversario pasa simplemente j la vez зашифрование sobre la llave abierta interceptado шифротекста (esto se ve del modo siguiente: ee) e.) e (mod n) =ej). Habiendo encontrado tal j, el adversario calcula ej-1 (¡e.d. ¡j-1 la vez repite la operación зашифрования) es un significado y hay un texto M abierto! Esto sigue de esto que ej (mod n) = (Cej-1e=C. Т.е algún número ej-1 en el grado e da шифротекст Con. ¿А que esto, cómo el texto M abierto?
El ejemplo (por Sinmons y Norris). p=983, q=563, e=49, M=123456.
C=M49 (mod n) =1603, C497 (mod n) =85978, C498 (mod n) =123456, C499 (mod n) =1603.
2. El ataque a la firma RSA en el esquema con el notario.
Las condiciones iniciales. Hay un notario electrónico que firma los documentos, que pasan a través de él. N - algún texto abierto, que notario no desea firmar. Al adversario le son conocidos la llave abierta (e, n) el notario.
La tarea. Firmar este texto N.
El adversario produce cierto número casual x, que взаимнопросто con N y calcula y=xe (mod n). Luego recibe el significado M=yN y lo entrega para la firma al notario. Aquel lo firma (¡ya que ya no el texto N!) d (mod n) =S. Т.е es recibido que d (mod n) =ydNd = (xe) dNd =xNd, entonces d=Sx-1 (mod n).Т.е es necesario simplemente dividir recibido S en x.
La defensa. A la firma añadir algún número casual en el mensaje (por ejemplo, el tiempo). Resultará Así la desfiguración del número M a la firma, т.е M (después de la adición)... yN.
3. El ataque a la firma RSA por escogido шифротексту.
Las condiciones iniciales. Hay шифротекст C. Al adversario le son conocidos la llave abierta (e, n) el remitente del mensaje.
La tarea. Encontrar el texto M inicial
El adversario produce cierto r: r <n, (r, n) =1 calcula x=re (mod n). Luego sobre calcula t=r-1 (mod n) y y=xC (mod n) y manda y para la firma al remitente.
El remitente, nada sospechando, firma el texto y: w=yd (mod n) envía w atrás.
El adversario calcula tw (mod n) =r-1yd (mod n) = (ya que r=xd mod n) =x-dxdCd (mod n) =Cd=M.
El adversario no puede en seguida mandar C para la firma, porque el remitente ve los mensajes, recibidos como resultado de la firma, y puede notar la provocación.
El ataque tiene el carácter un poco hipotético, pero permite hacer con todo eso algunas conclusiones importantes: firmar y es necesario cifrar por las llaves diferentes, o añadir el vector casual a la firma o usar la hesh-función.
|
