Chương trình IBE dựa trên RSA này có an toàn không?

PKG thực hiện các bước sau

1. Chọn $p,q \in \mathbb{P}$.
2. Tính toán $N=pq$.
3. Tính toán $\phi (n)=(p-1)(q-1)$.
4. Chọn $e$ với $gcd(e,\phi(n))=1$ và $1 < e < \phi(n)$.
5. Để cho nó được $e = {p^{e_1}_1} \cdot {p^{e_2}_2} \cdot \ldots {p^{e_k}_k}$ thừa số nguyên tố của $e$ vì $i \in k:p_i \in \mathbb{P},e_i \in \mathbb{N}$. Chọn một ánh xạ tiêm $H$ với \begin{align*} H &: \begin{cases} \{0,1\}^i \rightarrow \mathbb{Z} / N \mathbb{Z} & \ ID \mapsto m = {p^{e_{m_1}}_1} \cdot {p^{e_{m_2}}_2} \cdot \ldots {p^{e_{m_k}}_k} & (i \in k :p_i \in \mathbb{P},e_{m_i} \in \mathbb{N}) \end{trường hợp} \end{align*}

và $eH(ID)<\phi(n)$ vì $i \in \mathbb{n}$. Các tham số có sẵn công khai là $\texttt{params} = \langle e, N, H \rangle$ và $\texttt{khóa chính}$ Là $\phi(n) \in \mathbb{Z} / N \mathbb{Z}$.

PKG mất sau đó một $ID \in \{0,1\}^{*}$ (từ Alice) và tính toán Khóa bí mật tương ứng $d_{ID}$ với \begin{align*} (e H(ID)) d_{ID} \equiv 1 \text{ mod } \phi(n) \end{align*}

Khi Bob muốn mã hóa một tin nhắn $m \in \mathbb{Z} / N \mathbb{Z}$, anh ấy lấy $\texttt{params}$ và tính toán \begin{align*} c \equiv m^{e H(ID)} \text{ mod } N \end{align*}

Alice giải mã bản mã này $c$ với \begin{align*} m \equiv c^{d_{ID}} \text{ mod } N \end{align*}

VÍ DỤ

1. $p = 1010231362240711373894507355467 \in \mathbb{P}$ và
   $q = 793738224882014450642935586909 \in \mathbb{P}$.

2. $N=pq=801859248185081566400631735533731882269717325788593134781503$

3. $\phi(N) = 2^3 \cdot 31 \cdot 283 \cdot 29347 \cdot 39547129 \cdot 422250739 \cdot 1354514929 \cdot 17211833615713895353775639$.

4. $e = 5 \cdot 7 \cdot 11 \cdot 13 \cdot 17 \cdot 19 \cdot 23 \cdot 29$.

5. nó áp dụng $ID \in \{0,1\}^8$ với $ID=\langle b_1,b_2,\ldots,b_8 \rangle$ vì $i \in 8:b_i \in \{0,1\}$. Chọn $H$ như: \begin{align*} H &: \begin{cases} \{0,1\}^8 \rightarrow \mathbb{Z} / N \mathbb{Z} & \ ID \mapsto m = {5^{{b_1}}} \cdot {7^{{b_2}}} \cdot \ldots \cdot {29^{{b_8}}} & \end{trường hợp} \end{align*}

Các tham số có sẵn công khai là \begin{align*} \texttt{params} &= \langle 1078282205, 801859248185081566400631735533731882269717325788593134781503, H \rangle \end{align*} Các $\texttt{khóa chính}$ Là \begin{align*} \phi(N) &= 801859248185081566400631735531927912682594599964055691839128 \end{align*}

PKG mất sau đó $ID = 01101111$ làm ID của người dùng "o". sau đó $H(ID) = 5^0 \cdot 7^1 \cdot 11^1 \cdot 13^0 \cdot 17^1 \cdot 19^1 \cdot 23^1 \cdot 29^1 = 16588957$, $eH(ID)=17887577132610185$ và $d_{ID}=308315206989333722335381678529602981822693965290742774973561$.

Người dùng "i" bây giờ muốn mã hóa tin nhắn 3463463463463424234234234. Anh ta tính toán \begin{align*} c &\equiv 3463463463463424234234234^{17887577132610185} \text{ mod N} \ &\equiv 353097511425650359803351296367609508451542189692844760010085 \text{ mod N} \end{align*}

Người dùng "o" giải mã bản mã bằng: \begin{align*} m &\equiv 353097511425650359803351296367609508451542189692844760010085^{D_{ID}} \text{ mod N} \ &\equiv 3463463463463424234234234 \text{ mod N} \end{align*}

Không, không phải vậy.

Alice biết chính mình $eH(ID)$ và cô ấy biết khóa riêng tư tương ứng. Nhưng biết hai cái đó là đủ để tính hệ số của $N$. Một thuật toán xác suất để tính toán $p,q$ từ $e,d$ có trong bài báo gốc của RSA, sau này và Alexander May đã trình bày trong Tính toán khóa bí mật RSA là xác định Thời gian đa thức tương đương với bao thanh toán một cách xác định để làm như vậy.

Vì vậy, cuối cùng, Alice chỉ có thể tính toán thừa số $p,q$, và sau đó cô ấy cũng có thể đọc tin nhắn cho tất cả những người nhận khác.