什麼時候認為不對稱方案被破壞了?
以下引用是否暗示有效的加密數據可以由私鑰所有者以外的人創建和解密:
如果攻擊者可以解密給定的密文,則認為非對稱加密方案已被破壞,即使他可以說服您解密任意其他密文
發生這種情況必須具備什麼條件?(具體將不勝感激)
我想你指的是 Colin Percival 的關於密碼學你需要知道的一切,在一小時內他觀察到:
如果有權訪問驗證密鑰的攻擊者可以生成任何有效的密文,即使他可以說服您簽署任意其他明文,非對稱身份驗證方案也被認為是被破壞的。
這稱為選擇密文攻擊,在文獻中縮寫為 CCA。
我將研究 RSA 案例。在 RSA 的情況下,給定密文的解密 $ c $ 是 $ r = c^d \mod n $ 並且簽名是 $ s = p^d \mod n $ . 正如你毫無疑問地收集的那樣,這兩個都使用 $ d $ 私鑰。所以就 RSA 而言,這兩個操作是相關的(這是一個陷門置換)。但是,假設他們不是,能夠說服攻擊者簽署任意明文可能會危及簽名密鑰並允許攻擊者冒充你。
接下來,實際利用諸如 RSA 之類的密碼系統。本文討論了正確加密 RSA(使用填充),但也包含以下觀察結果:
$$ \epsilon_{n,e}(m_1)\epsilon_{n}{e}(m_2) = \epsilon_{n,e}(m_1m_2)\mod(n) $$ 使用稍微熟悉的符號重寫它:
$$ (m_1^e \mod n)(m_2^e \mod n) = m_1^e m_2^e \mod n = (m_1m_2)^e \mod n $$ 現在,論文指出,選擇 $ C\prime = C\cdot 2^e $ 然後 $ C\prime = m^e2^e $ 這相當於 $ (2m)^e $ . 解密這是 $ (2m)^ed = 2m \mod n $ 所以攻擊者可以訪問 $ 2m \mod n $ 知道 $ m $ .
從實際的角度來看,攻擊者仍然需要獲取解密後的輸出。該攻擊並未對他們如何實現這一目標做出任何假設,但它確實展示了對 RSA 的利用。為了解決這個問題,請繼續閱讀那篇論文;具體來說,應該使用適當的填充方案。
任何具有類似同態屬性的密碼系統都將是脆弱的。例如,這些幻燈片解釋了 ElGamal 中的類似行為。