Rabin-Cryptosystem

辨識密碼系統米=C2模式_米=C2反對n m = c^2 bmod n?

  • December 17, 2019

我遇到了密碼系統,其解密方法是: $ \ m = c^2 \bmod n $ . 它與 Rabin 的完全相反,後者使用相同的公式進行加密

這個密碼系統的名稱是什麼?

這個系統中的加密功能是如何工作的?

我懷疑這是一種加密方案,除了在程式碼混淆方面的有限意義。如果這確實是加密方案的解密部分,那是一個非常弱的方案:它是一種對稱加密方案,其解密密鑰是 $ n $ ,並且兩個不同的明文/密文對通常足以恢復該密鑰。經常 $ n=\gcd({c_0}^2-m_0,{c_1}^2-m_1) $ (儘管有時需要提取小因素或第三對因素)。

這個密碼系統似乎是拉賓簽名的簡化變體。與任何簽名方案一樣,它的目標是消息的完整性和來源證明,而不是保護消息的機密性。

與 RSA 一樣,安全性依賴於因式分解的難度 $ n $ , 哪些不同的質因數 $ p $ 和 $ q $ 是密鑰。 $ m $ 是要簽名的消息,假定具有內部冗餘。或更好(真正的拉賓簽名) $ m $ 是消息的全域雜湊。此外,有點 $ m $ 必須做一個平方模 $ n $ (或等效地,模 $ p $ 和模 $ q $ ). $ c $ 是簽名。簡而言之,驗證就是計算 $ c^2\bmod n $ ,並將其與 $ m $ . 呼叫該解密(就像問題一樣)是術語上的錯誤。

有幾種生成方法 $ p $ 和 $ q $ ; 然後進行調整 $ m $ , 計算 $ c $ (這是簽名,而不是加密),並檢查 $ m $ 反對結果。一種在Alfred J. Menezes、Paul C. van Oorschot 和 Scott A. Vanstone 的應用密碼學手冊的算法 11.29 和 11.30中進行了描述。請務必忽略第 11.3.5 節(它描述了 ISO/IEC 9796(-1) 填充,過時且不安全)。

如果理由是製作密碼 $ c $ 導致 $ m $ 沒有因式分解,這很有意義 $ n $ ,這又不是密碼或加密,並且 $ m\gets c^2\bmod n $ 不是解密。正確的名稱是Rabin signature with total message recovery和 $ m\gets c^2\bmod n $ 是簽名驗證和消息恢復(並且缺乏冗餘驗證 $ m $ )。這由ISO/IEC 9796-2 標準化(具有適當的填充),包括指數 $ 2 $ .

引用自:https://crypto.stackexchange.com/questions/76481