| Les attaques sur RSA | |
 | |
|
A envoyé Stalker
1. La lecture bezkljuchevoe RSA. 2. L'attaque contre la signature RSA dans le schéma avec le notaire. 3. L'attaque contre la signature RSA selon choisi ш.т.
Avant tout nous nous rappellerons le schéma lui-même de l'île ш et ЭЦП RSA.
Les nombres reçus e, n - la clé ouverte de l'utilisateur, mais d - la clé confidentielle. La procédure зашифрования : C=E (e, n) (M) =Me (mod n), où S-reçu ш.т., M - les îles т., satisfaisant à la condition suivante : Mф (n) =1 (mod n). La procédure расшифрования : M=D (d, n) (C) =Cd (mod n). La génération de la signature en chiffre : la signature en chiffre Q=Md (mod n). Le contrôle de la signature en chiffre : Qe (mod n) ? = M.
1. La méthode безключевого les lectures RSA. Les conditions initiales. L'adversaire sait la clé ouverte (e, n) et шифротекст С La tâche. Trouver le texte initial M. L'adversaire choisit le nombre j, pour qui on accomplit le rapport suivant : ej. I.e. l'adversaire passe simplement j une fois зашифрование sur la clé ouverte saisi шифротекста (cela a l'air comme il suit : ee) e.) e (mod n) =ej). Ayant trouvé un tel j, l'adversaire calcule ej-1 (i.e. j-1 une fois répète l'opération зашифрования) est une signification et il y a un texte ouvert M! Cela suit de ce qu'ej (mod n) = (Cej-1e=C. Т.е un certain nombre ej-1 au degré e donne шифротекст S Mais que cela, comment le texte non ouvert M ? L'exemple (selon Sinmons et Norris). p=983, q=563, e=49, M=123456. C=M49 (mod n) =1603, C497 (mod n) =85978, C498 (mod n) =123456, C499 (mod n) =1603.
2. L'attaque contre la signature RSA dans le schéma avec le notaire. Les conditions initiales. Il y a un notaire électronique signant les documents passant par lui. N - un certain texte ouvert, qui notaire ne souhaite pas signer. L'adversaire sait la clé ouverte (e, n) le notaire. La tâche. Signer ce texte N. L'adversaire élabore un certain nombre accidentel x, qui взаимнопросто avec N et calcule y=xe (mod n). Puis reçoit la signification M=yN et le transmet à la signature au notaire. Celui-là signe (en effet, cela déjà non le texte N!) d (mod n) =S. Т.е est reçu que d (mod n) =ydNd = (xe) dNd =xNd, et donc d=Sx-1 (mod n).Т.е il faut simplement partager reçu S sur x. La protection. À la signature ajouter un certain nombre accidentel au message (par exemple, le temps). L'altération du nombre M Ainsi réussira à la signature, т.е M (après le supplément)... yN.
3. L'attaque contre la signature RSA selon choisi шифротексту. Les conditions initiales. Se trouve шифротекст C. L'adversaire sait la clé ouverte (e, n) l'expéditeur du message. La tâche. Trouver le texte initial M L'adversaire élabore un certain r : r <n, (r, n) =1 calcule x=re (mod n). Puis sur calcule t=r-1 (mod n) et y=xC (mod n) et envoie y sur la signature à l'expéditeur. L'expéditeur, rien sans soupçonner, signe le texte y : w=yd (mod n) expédie w à l'inverse. L'adversaire calcule tw (mod n) =r-1yd (mod n) = (puisque r=xd mod n) =x-dxdCd (mod n) =Cd=M. L'adversaire ne peut pas à la fois envoyer C sur la signature, car l'expéditeur examine les messages reçus à la suite de la signature et peut remarquer la provocation. L'attaque a le caractère un peu hypothétique, mais permet de faire néanmoins quelques importantes conclusions : signer et il faut chiffrer par de différentes clés, ou ajouter le vecteur accidentel à la signature ou utiliser l'hesh-fonction. |