Rsa
在公鑰不可用時使用量子電腦破解密文
正如我們所知道的量子電腦上的 Shor 算法,如果我們有足夠的量子比特,就可以輕鬆破解 RSA / ECC。
如果我們只有密文並且沒有用於加密自身的公鑰,是否有可能在量子電腦上破解 RSA/ECC?
如果我們有許多密文和相應的明文,其中一些是使用相同的公鑰生成的,這有關係嗎?
您問:
如果我們只有密文並且沒有用於加密自身的公鑰,是否有可能在量子電腦上破解 RSA/ECC?
通常不會,除了少數例外;以下是例外情況:
- 具有確定性填充(例如 PKCS #1.5)和小到中等的 RSA 簽名 $ e $ (例如 $e = 65537) - 使用兩個簽名(和相應的消息),我們可以使用傳統電腦恢復公鑰(然後使用我們的量子電腦破解它)。
- ECDSA 簽名 - 通過一個簽名(和相應的消息),我們可以使用傳統電腦恢復公鑰(帶有一些“錯誤命中”);然後我們可以使用我們的量子電腦來破解它。
可能看起來免疫的事情:
- RSA 加密(總是使用隨機填充)或隨機 RSA 簽名(例如 PSS);明文之間的關係似乎過於微妙,攻擊者無法使用它們。
- EdDSA 簽名 - 由於公鑰是如何被攪動的,我們使用 ECDSA 的密鑰恢復方法不起作用(並且沒有公鑰,攻擊者無法計算 $ H(R, A, M) $ ,你需要知道有一個生成偽造的副本)
- ECIES - 密文包括 $ rG $ (對於一些隨機 $ r $ ) 和一個對稱密文,其密鑰基於 $ rP $ ; 攻擊者可以恢復價值 $ r $ 用他那方便的量子電腦,然而卻不知道 $ P $ ,他無能為力(而且擁有多個密文似乎無濟於事)。