可以使用模乘逆來創建安全密碼嗎?
讓 $ N $ 是一個很大的數字;和 $ (e, d, N) $ 是密鑰;在哪裡 $ e $ 是一個一次性隨機因子,並且足夠大(比如說與 $ N $ ), 在哪裡 $ e < N $ 和 $ e * d \equiv 1\pmod N $
明文加密 $ m $ , 在哪裡 $ m < N $ , 如下:
$ c = m * e \bmod N $
解密密文 $ c $ 如下:
$ m = c * d \bmod N $
我們如何證明,如果上面定義的密碼在以下條件下是安全的(或不安全的)?
- 資訊 $ m $ 被隨機填充到 $ m_p $ 在加密之前,在哪裡 $ m_p < N $ ,匹配的位長 $ N $
- $ N $ 可以重複使用
- 秘密(和隨機)因素 $ (e, d) $ 僅使用一次(每次加密、會話、消息等……)
注意:我問這個是因為,對這個密碼的優化可以直接使用問題中定義的協議:Random Masking of Padded RSA Ciphertext through homomorphism
附加問題:是否選擇 $ e $ 和 $ N $ 影響這個密碼的安全性?
該問題以非標準方式使用術語“密碼”:在密碼學中,密碼的密鑰可用於多條消息,而這裡顯然不是這種情況。我們將把術語 cipher 擴展到具有密鑰組件限制的東西(這裡, $ e $ 和 $ d $ ) 用於單個消息。我們將假設提供不同的隨機秘密一次性密鑰組件 $ e $ 和 $ d $ 為加密和解密方所知。
詢問“密碼是否安全(或不安全)”。密碼安全性的最標準的現代定義是在選擇明文攻擊下無法區分。這定義了一個實驗,其中對手選擇兩個明文,將它們加密,並嘗試匹配密文和消息(我們將忽略該實驗通常使用在相同密鑰下獲得的密文)。
在本節中,我們假設沒有隨機填充(即 $ m_p $ 定義為 $ m $ ).
根據修改後的 CPA 定義,所述密碼不安全:對手可以送出 $ m=0 $ 和 $ m’=1 $ ,並且可以辨識密文 $ c $ 為了 $ m $ 從密文 $ c’ $ 為了 $ m’ $ , 因為 $ c=0 $ 和 $ c’\ne0 $ .
附加限制 $ 0<m<N $ 不足以保證安全:如果對手知道除數 $ d $ 的 $ N $ 和 $ 1<d<N $ ,那麼對手可以送出 $ m=d $ 和 $ m’=1 $ 並且可以辨識密文 $ c $ 為了 $ m $ 從密文 $ c’ $ 為了 $ m’ $ , 因為 $ c\bmod d=0 $ 和 $ c’\bmod d\ne0 $ .
但是,如果條件 $ \gcd(m,N)=1 $ 強加給對手,如果 $ e $ 在子集中均勻隨機選擇 $ \Bbb Z_N^* $ 中的整數 $ [0,N) $ 這樣 $ \gcd(e,N)=1 $ (這後面的條件等價於存在 $ d $ ),那麼密碼顯然不會洩露任何關於 $ m $ 並且是 CPA 安全的。校樣草圖:用於固定 $ m $ , 功能 $ e\mapsto c $ 在有限集上可逆 $ \Bbb Z_N^* $ ,因此是雙射,因此 $ e $ 均勻隨機意味著 $ c $ 均勻隨機,因此 $ c $ 沒有洩漏 $ m $ .
施加條件的方法 $ \gcd(m,N)=1 $ 對手包括要求 $ 0<m<N $ 並製作 $ N $ 要麼是對手未知的難以分解的 RSA 分解模數,要麼是素數。然而,在上下文中兩者都不可能(注意:其中 $ r $ 和 $ r^{-1} $ 是 $ e $ 和 $ d $ 的問題),因為對手是 RSA 私鑰的持有者 $ N $ ,這允許有效地獲得因式分解 $ N $ 並暗示 $ N $ 不是素數。
現在我們介紹填充。問題的加密和解密方程變為 $$ \begin{align} c&=m_pe\bmod N\ m_p&=cs\bmod N \end{align} $$ RSA 中使用的所有隨機填充(包括OAEP) $ \gcd(m_p,N)=1 $ 極有可能,包括對手知道因式分解 $ N $ 並且能夠選擇 $ m $ 在填充之前。因此,與 $ N $ RSA 模數,以及為該模數定制的安全 RSA 隨機填充,並使用不受對手控制的隨機數生成器,密碼是 CPA 安全的(根據我們對密碼和 CPA 安全的修改定義)。
的選擇 $ N $ 對安全性沒有影響,為了問題中密碼的安全性,它的因式分解不需要保密。
如果我們不指定填充,安全性可能取決於 $ e $ 是均勻隨機的 $ \Bbb Z_N^* $ (可以通過取 $ e $ 均勻隨機 $ [0,N) $ 直到 $ \gcd(e,N)=1 $ , 這種後來的情況極有可能在 $ N $ 是 RSA 模數)。但是,使用 OAEP 填充,就足夠了 $ e $ 被選在 $ \Bbb Z_N^* $ 使用產生大熵的方法。