Rsa

這個特定的 RSA 協議有問題嗎?

  • January 4, 2021

所以一個協議使用兩個隨機素數 $ P $ 和 $ Q $ 等效位長約為 2048 位,乘以形成 $ N $ . 詳細的加密函式是:

$ m^e \bmod\ N $

$ (\text{512-bit-random-key})^{65537}\bmod\ \text{4096-bit-modulus} $

現在,如果消息長度太短,可以執行一些攻擊。因此,消息長度是固定的 512 位。顯示的資訊中是否存在任何其他理論/實踐弱點?

提議的系統接近安全的RSA-KEM,但有一些例外:

  1. 條件 $ \gcd(P-1,e)=1 $ 和 $ \gcd(Q-1,e)=1 $ 不見了。生成時必須檢查這個 $ P $ 和 $ Q $ . 在素數的情況下 $ e $ (如問題)這簡化為 $ P\bmod e\ne1 $ 和 $ Q\bmod e\ne1 $ .
  2. 隨機密鑰是 512 位,在 RSA-KEM 中它通常被繪製在 $ [0,P,Q) $ ,因此大約為 4096 位。這被認為(沒有正式證據)沒有可怕的後果,因為 $ 512,e\gg4096 $ . 然而,這將是一場徹底的災難 $ e=3 $ ,因為取 $ e^\text{th} $ 密文的根會洩露秘密;我不會盲目警告它 $ e=5 $ .
  3. 據報導,隨機密鑰直接用作某些對稱密碼的加密/解密密鑰,而不像習慣那樣通過某些密鑰導出函式。對於大多數實用密碼來說,這可能沒問題,但理論上我們應該擔心與密碼屬性的相互作用。例如,對於一個假設的密碼,其中一個密鑰和相同的移位了一些比特給出了相關的解密,攻擊者可以利用它來強制合法的接收者使用相關的密鑰進行解密。
  4. 的產生和用途 $ P $ 和 $ Q $ 必須留下它們(以及秘密派生量,例如 $ \varphi(P,Q) $ , $ \lambda(P,Q) $ , 任何私有指數 $ d $ …) 秘密,說起來容易做起來難。

假設 $ e=2^{(2^4)}+1 $ 如問題所示:忽略 1 在實踐中會導致大約一個鍵 $ 2^{15} $ . 我們會逃脫 2。我們可能會逃脫 3,但沒有足夠的上下文來確認它。4 是 RSA 加密的標準。

像往常一樣:對於一個真實的系統,設計一個加密是不明智的。

引用自:https://crypto.stackexchange.com/questions/87297