使用兩種逆修改 RSA,一種用於 P mod (Q-1),另一種用於 Q 模式 (P-1),而不是逆 d mod(p-1)(q−1)(p−1)(q−1)(p-1)(q-1),或多或少安全?
假設我有以下修改後的 RSA 方案
- 我們選擇兩個大素數 P、Q,附加限制是它們與 (p-1) 和 (q-1) 互質
- 我們選擇 N = PQ 作為公鑰
- 我們計算 $ P’ $ 這樣 $ P’P \bmod (Q-1) = 1 $ 和 $ Q’ $ 這樣 $ Q’Q \bmod (P-1) = 1 $
- 加密是 $ C = M^N \bmod N $
- 為了解密,我們找到 M 使得 $ M = C^{P’} \bmod Q $ 和 $ M = C^{Q’} \bmod P $
可以使用與 RSA 類似的證明來證明它是正確的。
這個方案比普通的 RSA 更安全還是更不安全?更好或更差?我的直覺是它不太安全,因為它依賴於滿足條件 1 的素數,這減少了搜尋空間。但是,首先需要更多的計算來檢查這一點,所以我不能確定。
此外,與 RSA 中的 (N, e) 相比,這種加密方案只會產生一個公鑰 N,並且沒有私鑰,這似乎表明表面上的安全性較低
該系統由 GCHQ 的Clifford Christopher Cocks於 1973 年發明,並在他的文件(當時是秘密的)A note on Non-Secret Encryption中進行了描述,在 RSA 發布之前。有關更多上下文,請參閱此問題。
這個方案比普通的 RSA 更安全還是更不安全?更好或更差?
在安全性方面,我們知道與 RSA 沒有區別。那個限制 $ p $ 和 $ q $ 是相對質數 $ p-1 $ 和 $ q-1 $ 不會顯著減少鍵空間,事實上,當 $ p/2<q<2p $ ,這在 RSA 中很常見。並且,通過使用 $ N $ 作為公眾的指數,無非是他們的產品被揭示的因素。從這個角度來看,具有小指數的 RSA 揭示了更多: $ e=3 $ ,大約一半的素數被排除在外,這並不知道是否使分解變得相當容易。但是,就像在 RSA 中一樣,因式分解只是安全威脅之一:我們知道這兩種方案都不會減少因式分解。
在實用性上,RSA 更勝一籌,因為它可以使用很小的 $ e $ ,這極大地加速了加密(和簽名驗證),如果使用適當的填充和洩漏保護,則沒有已知的缺點,或者 $ e $ 舒適地高於位大小 $ N $ . 小的 $ e $ 不在 Ronald L. Rivest、Adi Shamir 和 Leonard Adleman 的A Method for Geting Digital Signatures and Public-Key Cryptosystems中,在Communications of the ACM中,1978 年 2 月。但 Rivest 的 MIT 小組很快補充了這一點:它在挑戰中他們為 Martin Gardner 的《一種需要數百萬年才能破解的新密碼》 (在《科學美國人》的數學遊戲專欄中,1977 年 8 月)。
Cock 的論文明確建議使用中國剩餘定理進行解密,從速度的角度來看,它優於最初描述的 RSA。據我所知,在 Jean-Jacques Quisquater 和 Chantal Couvreur於 1982 年 10 月的Electronics Letters中的 RSA public-key cyptosystem 的Fast decipherement algorithm for RSA public-key cyptosystem之前,該改進並未公佈。它現在是 RSA 的標準做法,因為它可以加快速度與計算相比高達約 4 倍 $ x^d\bmod N $ 通過執行所有算術模 $ N $ .