Tham gia Đăng nhập
Điểm:1
Chen avatar Crypto

Lỗ hổng RSA khi M được mã hóa không đồng nguyên tố với N

lá cờ kr
Chen

Tôi đã thử nghiệm với một vài trường hợp thử nghiệm, có vẻ như bản mã $M^e$ của RSA luôn nguyên tố cùng nhau với N khi e=3. Có một lý do tại sao? Điều gì sẽ xảy ra nếu bản mã $M^e$ không nguyên tố cùng nhau với M khi e=3?

120
0 + 0
fgrieu avatar
lá cờ ng
fgrieu
Khi $(N,e)$ là một khóa công khai RSA hợp lệ với $N$ là tích của hai số nguyên tố bí mật riêng biệt $p$ và $q$, thì có khả năng khoảng $1/p+1/q$ là một thông báo ngẫu nhiên $M $ sao cho $M^e$ không nguyên tố cùng nhau với $N$. Vì cả $p$ và $q$ đều phải lớn (hàng trăm chữ số thập phân) để RSA an toàn, xác suất đó hoàn toàn không đáng kể trong việc sử dụng RSA thực tế. Câu hỏi đang xem xét điều gì đó mà trong thực tế sử dụng sẽ không xảy ra đối với $M$ ngẫu nhiên hoặc giả ngẫu nhiên hoặc đối với $M\in[1,N)$ được chọn bởi một người không biết (cũng không thể tìm thấy) hệ số của $N$ .
3
Hồi đáp
kelalaka avatar
lá cờ in
kelalaka
RSA là một hoán vị cửa sập. Điều này ngụ ý bạn bất cứ điều gì?
0
Hồi đáp
Điểm:3
meshcollider avatar Crypto
lá cờ gb
meshcollider

Khi nào $N = pq$ là tích của hai số nguyên tố, hai số duy nhất không nguyên tố cùng nhau $N$ là những cái có chứa một trong hai $p$ hoặc $q$ như một yếu tố. Chắc chắn là có thể có $M^3$ chia hết cho một trong hai $p$ hoặc $q$ vì vậy quan sát của bạn là không đúng sự thật nói chung. Một ví dụ:

$$ M = 42\ N = 7*13 = 91\ M^3 \equiv 14 \pmod{91} $$ Rõ ràng 14 và 91 không nguyên tố cùng nhau - cả hai đều có chung $7$ như một yếu tố. Tính toán GCD của $c = M^3$$N$ do đó rò rỉ $7$ như một yếu tố của $N$, phá vỡ RSA.

0 + 0
Chen avatar
lá cờ kr
Chen
Ok, tôi đã không nghĩ về điều này.Trong trường hợp đó, đó là một lỗ hổng bảo mật nghiêm trọng, vì bằng cách lấy GCD của bản mã (C) và N rò rỉ p hoặc q?
0
Hồi đáp
Chen avatar
lá cờ kr
Chen
Việc sử dụng OAEP trên C không đồng nguyên tố với N có giải quyết được sự cố không?
0
Hồi đáp
fgrieu avatar
lá cờ ng
fgrieu
@Chen: Tôi không hiểu ý của bạn khi "sử dụng OAEP trên C"; nhưng việc sử dụng OAEP để tạo đầu vào $M$ cho mã hóa RSA thô $M\mapsto C=M^e\bmod N$ để bảo mật $N$ trên thực tế chắc chắn sẽ "giải quyết vấn đề", nếu có. Giờ đây, chúng tôi có thể mã hóa bội số của $p$ hoặc $q$ một cách an toàn. Một lần nữa, ngay cả khi không sử dụng OAEP, cũng không có vấn đề thực tế nào, bởi vì việc chọn $M$ hoặc $C$ trong $[1,n)$ với $\gcd(C,N)\ne1$ là không thể đối với một người không biết ( cũng không thể tìm thấy) thừa số của $N$.
0
Hồi đáp
Chen avatar
lá cờ kr
Chen
Xin lỗi, ý tôi là sử dụng OAEP trên M. Ý của bạn là không thể chọn một M có mục đích mang lại $gcd(C,N)– 1$ nếu không biết p và q?
0
Hồi đáp
Chen avatar
lá cờ kr
Chen
và tại sao điều đó là không thể? Nó vẫn có thể xảy ra với xác suất thành công là 1/p + 1/q chứ?
0
Hồi đáp
meshcollider avatar
lá cờ gb
meshcollider
@Chen sẽ không khác gì kẻ tấn công chỉ đoán các yếu tố ngẫu nhiên của $N$ :)
0
Hồi đáp
poncho avatar
lá cờ my
poncho
@Chen: đối với $p, q$ có kích thước thực tế, nghĩa là $2^{-1024}$ hoặc nhỏ hơn, $1/p + 1/q$ thực sự là "không thể"
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.