密码学-08(2)RSA问题与加密_rfc3447-优快云博客

本文链接：https://blog.youkuaiyun.com/Wxiran/article/details/127156660

8.2 RSA问题与加密

本节学习第一个也是目前应用最广泛的公钥加密方案RSA。
目录：RSA问题，针对“书本上RSA”加密的攻击，实践中的RSA加密。
RSA概览
- RSA: Ron Rivest, Adi Shamir and Leonard Adleman, 三位作者于1977年发表RSA加密方案。
- RSA问题: 给定 $N = pq$ (两个不同的大质数的乘积) 并且 $\in \mathbb{Z}^*_N$ ，计算 $y^{-e}$ ，即 $y$ 模 $N$ 下的 $e$ 次方根。
- 开放问题：RSA问题比分解 $N$ 更容易吗?
- RSA相关标准: PKCS#1 (RFC3447/8017), ANSI X9.31, IEEE 1363
- 密钥长度：1,024 到 4,096 比特
- 已知最强的公开密码学分析：768比特密钥已经被破解
- RSA挑战赛：破解 RSA-2048 来赢得 $200,000 USD
- 密钥长度比较：3072比特RSA密钥安全强度相当于128比特对称密钥
书本上的RSA
- 构造：
  - $Gen\mathsf{Gen}$ : 输入 $1^n$ 运行 $GenRSA(1n)\mathsf{GenRSA}(1^n)$ 产生 $N, e, d$ 。 $\langle N,e \rangle$ 和 $\langle N,d \rangle$ 。
  - $Enc\mathsf{Enc}$ : 输入 $p k$ 和 $\in \mathbb{Z}^*_N$ ，获得密文 $[m^e \bmod N]$ .
  - $Dec\mathsf{Dec}$ : 输入 $s k$ 和 $\in \mathbb{Z}^*_N$ ，获得明文 $[c^d \bmod N]$ .
- 不安全性：由于“书本上的RSA”是确定性的，在我们已经提出的任何安全定义下都是不安全的。
- 下面学习问题：如何产生 $N, e, d$ ? 什么是 $ZN∗\mathbb{Z}^*_N$ ? 如何计算 $Nm^e \bmod N$ ? 这个难题是TDP? 为什么很难？
- 参考教材：《A Computational Introduction to Number Theory and Algebra》(Version 2) Victor Shoup。
质数与模算术
- 整数集合 $Z\mathbb{Z}$ , $\in \mathbb{Z}$ 。
- $a$ 整除 $b$ : $\mid b$ 如果 $∃c,ac=b\exists c, ac=b$ (否则 $\nmid b$ ). $b$ 是 $a$ 的倍数。如果 $\notin \{1,b\}$ ，那么 $a$ 是 $b$ 的因子。
- $p > 1$ 是质数（素数），如果其没有因子；否则，是合数。
- $∀a,b\forall a,b$ , $∃\exists$ 商 $q$ , 余数 $r$ : $a = q b + r$ , 且 $0≤r<b0\le r < b$ 。
- 最大公因子 $gcd⁡(a,b)\gcd(a,b)$ 是最大的整数 $c$ 使得 $c∣ac\mid a$ 且 $c∣bc\mid b$ 。 $gcd⁡(0,b)=b\gcd(0,b)=b$ , $gcd⁡(0,0)\gcd(0,0)$ 为定义。
- $a$ 和 $b$ 是互质，如果 $gcd⁡(a,b)=1\gcd(a,b)=1$ 。
- 余数 $[a\bmod N] = a - b\lfloor a/b\rfloor$ 并且 $r < N$ . $N$ 称为模。
- $N∣a∈Z}\mathbb{Z}_N = \{0,1,\dots,N-1\} = \{a \bmod N | a \in \mathbb{Z}\}$ .
- $a$ 是模 $N$ 下可逆的 $gcd⁡(a,N)=1\iff \gcd(a,N) = 1$ 。如果 $\equiv 1 \pmod N$ ，那么 $b=a^{-1}$ 是模 $N$ 下 $a$ 的乘法逆。
模算术例子
- 欧几里德算法（辗转相除法）： $b]).\gcd(a,b) = \gcd(b, [a \bmod b]).$
  - $gcd⁡(12,27)\gcd(12, 27)$
- 扩展欧几里德算法：给定 $a, N$ ，寻找 $X, Y$ 使得 $\gcd(a,N)$ （贝祖定理）
  - 求 $11 \pmod {17}$ 的逆
- 求余然后相加/乘
  - 计算 $193028 \cdot 190301 \bmod 100$
- 消去律：如果 $gcd⁡(a,N)=1\gcd(a,N)=1$ 且 $\equiv ac \pmod N$ ，那么 $\equiv c \pmod N$ .
  - $a = 3, c = 10, b = 2, N = 24$
$ZN∗\mathbb{Z}_N^*$ 群
- $ZN∗=def{a∈{1,…,N−1}∣gcd⁡(a,N)=1}\mathbb{Z}_N^* \overset{\text{def}}{=} \{a \in \{1,\dotsc,N-1 \} | \gcd(a,N) = 1\}$
- 群是一个集合 $G\mathbb{G}$ 带有一个二元操作 $∘\circ$ :
  - 闭包： $∀g,h∈G\forall g,h \in \mathbb{G}$ , $\circ h \in \mathbb{G}$ .
  - 单位元： $∃\exists$ 单位元 $e∈Ge\in \mathbb{G}$ 使得 $∀g∈G,e∘g=g=g∘e\forall g\in \mathbb{G}, e \circ g = g = g \circ e$ .
  - 逆元： $∀g∈G\forall g \in G$ , $h∈G\exists\; h \in \mathbb{G}$ 使得 $\circ h =e = h \circ g$ . $h$ 是 $g$ 的逆元.
  - 结合律： $∀g1,g2,g3∈G\forall g_1,g_2,g_3 \in \mathbb{G}$ , $(g1∘g2)∘g3=g1∘(g2∘g3)(g_1\circ g_2)\circ g_3 = g_1 \circ (g_2 \circ g_3)$ .
- $G\mathbb{G}$ with $∘\circ$ 是阿贝尔群，如果有交换律： $∀g,h∈G,g∘h=h∘g\forall g,h \in \mathbb{G}, g\circ h = h\circ g$ .
- 逆元的存在意味着消去律
- 当 $G\mathbb{G}$ 是有限群， $\mathbb{G}|$ 是群的阶。
- 问题： $ZN∗\mathbb{Z}_N^*$ 是乘法下的群吗？ $ZN\mathbb{Z}_N$ 在乘法下呢？ $Z15∗=?\mathbb{Z}_{15}^* = ?$ $Z13∗=?\mathbb{Z}_{13}^* = ?$
群指数
- $times.g^m \overset{\text{def}}{=} \underbrace{g\circ g\circ \cdots \circ g}_{m\; \text{times}}.$
- 欧拉定理： $G\mathbb{G}$ 是有限群。那么， $∀g∈G,g∣G∣=1\forall g \in \mathbb{G}, g^{|\mathbb{G}|}=1$ .
- 注：课上证明，将群中每个元素与 $g$ 相乘后连乘等于群中元素连乘。
- 例子：计算 $\in \mathbb{Z}_{7}^*$ 的所有指数。
- 费马小定理： $∀g∈G\forall g \in \mathbb{G}$ and $i$ , $∣G∣]g^i \equiv g^{[i \bmod {|\mathbb{G}|}]}$ .
- 注：这是欧拉定理的推论。
- 例子：计算 $378∈Z7∗3^{78} \in \mathbb{Z}_{7}^*$
算术算法
- 加/减：线性时间 $O (n)$ .
- 乘：最初 $O(n^2)$ 。
  - Karatsuba (1960，当时23岁): $O(n^{\log_2 3})$ $(2bx1+x0)×(2by1+y0)(2^bx_1+x_0) \times (2^by_1+ y_0)$ 使用3个乘法。
  - 注：因为 $x1⋅y0+x0⋅y1=(x1+x0)⋅(y1+y0)−x1⋅y1−x0⋅y0x_1 \cdot y_0 + x_0 \cdot y_1 = (x_1 + x_0) \cdot (y_1 + y_0) - x_1 \cdot y_1 - x_0 \cdot y_0$ 。
  - 最佳渐进算法: $O(nlog⁡n)O(n\log n)$ 。
- 除/求余： $O(n^2)$ 。
- 指数： $O(n^3)$ ，平方指数法，例如计算8次幂并不需要乘8次，而是计算4次幂的平方，而4次幂来自2次幂平方。
  - 输入 $\in G$ ; 指数 $x=[xnxn−1…x2x1x0]2x=[x_nx_{n-1}\dots x_2x_1x_0]_2$
  - 输出： $g^x$
  - $\gets g; z \gets 1$
  - For $i = 0$ to $n$
    - If （ $x_i == 1$ ）{ $\gets z \times y$ }
    - $\gets y^2$
  - Return $z$
  - 这里举个例子，例如算 $g^9$
欧拉的Phi函数
- 欧拉phi函数： $ϕ(N)=def∣ZN∗∣\phi(N) \overset{\text{def}}{=} |\mathbb{Z}_N^*|$ . 注：整数乘法群的阶
- 算法基本定理： $\prod_ip_i^{e_i}$ , ${p_i\}$ 是不同的质数， $ϕ(N)=∏ipiei−1(pi−1)\phi(N) = \prod_ip_i^{e_i-1}(p_i-1)$ 。
- 例题： $N = pq$ 其中 $p, q$ 是不同质数。 $ϕ(N)=?\phi(N)=?$ $ϕ(12)=?\phi(12)=?$ $ϕ(30)=?\phi(30)=?$
- 欧拉定理与费马小定理： $\in \mathbb{Z}_N^*$ . $aϕ(N)≡1(modN)a^{\phi (N)} \equiv 1 \pmod N$ . 注：前面证明过
- 如果 $p$ 是质数并且 $\in \{1,\dotsc,p-1\}$ ，那么 $ap−1≡1(modp)a^{p-1} \equiv 1 \pmod p$ . 注：因为质数 $p$ 乘法群的阶为 $p - 1$
- 例题： $49=?3^{43} \bmod 49 = ?$
基于群指数函数的排列
- 指数函数 $f_e\;:$ $ZN∗→ZN∗\mathbb{Z}^*_N \to \mathbb{Z}^*_N$ by $N]f_e(x) =[x^e \bmod N]$ .
- 对指数函数求逆： $y$ 的 $e$ 次方根: $xe≡yx^e \equiv y$ , $\equiv y^{1/e}$ .
- 推论：如果 $gcd⁡(e,ϕ(N))=1\gcd(e,\phi(N))=1$ ，那么 $f_e$ 是排列。
- 证明：令 $[e^{-1} \bmod \phi(N)]$ ，那么 $f_d$ 是 $f_e$ 的逆函数。 $\equiv x^{e};\quad f_{d}(y) \equiv y^d \equiv x^{ed} \equiv x$ .
- 例题：在 $Z10∗\mathbb{Z}^*_{10}$ 中, $3,\ d = ?,\ f_{e}(3) = ?,\ f_{d}(f_{e}(3)) = ?,\ 9^{\frac{1}{3}} = ?$
- 问题：如果对于某些特别的 $N$ 无法计算 $ϕ(N)\phi(N)$ ，那么会如何？如果不能分解 $N$ 呢?
整数分解是难的
- 分解 $N = pq$ . $p, q$ 长度相同为 $n$ .
- 尝试分解: $O(N⋅polylog(N))\mathcal{O}(\sqrt{N}\cdot \mathsf{polylog}(N))$ .
- Pollard’s $p - 1$ 方法: 当 $p - 1$ 具有小质数因子时有效。
- Pollard’s rho 方法: $O(N1/4⋅polylog(N))\mathcal{O}(N^{1/4}\cdot \mathsf{polylog}(N))$ .
- 二次筛法 [Carl Pomerance]: 亚指数时间 $O(exp⁡(n⋅log⁡n))\mathcal{O}(\exp(\sqrt{n\cdot \log n}))$ .
- 已知最优算法为通用数域筛法 [Pollard]： $O(exp⁡(n1/3⋅(log⁡n)2/3))\mathcal{O}(\exp(n^{1/3}\cdot(\log n)^{2/3}))$ .
RSA问题是难的
- 思路：分解难 $\implies$ 对于 $N = pq$ , 找到 $p, q$ 难 $\implies$ 计算 $ϕ(N)=(p−1)(q−1)\phi(N)=(p-1)(q-1)$ 难
  
  $\implies$ 无法模 $ϕ(N)\phi(N)$ 计算
  
  $\implies$ 计算 $ϕ(N)e^{-1} \bmod \phi(N)$ 难
  
  这里存在裂缝
  
  $\implies$ RSA 问题难：给定 $\in \mathbb{Z}^*_N$ , 计算 $y^{-e}$ modulo $N$ .
- 开放问题：RSA 比分解容易?
产生随机质数
- 为了构造RSA问题，首先需要一个产生随机质数的方法：随机选择的一个数，测试其是否为质数。
- 该方法的有效性需要回答两个问题：(1) 随机选择的数是质数的概率多大？(2) 是否能够有效地测试其是否为质数？
- 对于问题1， $∃\exists$ 常数 $c$ 使得, $∀n>1\forall n>1$ , 一个随机选择的 $n$ 比特数为质数的概率至少 $c / n$ 。
- 对于问题2，如果 $N$ 是质数，那么Miller-Rabin质性测试始终输出质数。如果 $N$ 是合数，那么算法输出质数的概率至多 $2^{-t}$ 。
产生RSA问题
- 令 $GenModulus(1n)\mathsf{GenModulus}(1^n)$ 为一个概率多项式时间算法，输入 $1^n$ , 输出 $(N, p, q)$ ，其中 $N = pq$ , 并且 $p, q$ 是 $n$ 比特质数，除了有可忽略的概率失败。
- 产生RSA问题算法简述：
  1. 由 $GenModulus(1n)\mathsf{GenModulus}(1^n)$ 产生 $(N, p, q)$ ；
  2. 计算 $ϕ(N):=(p−1)(q−1)\phi(N) := (p-1)(q-1)$ ；
  3. 寻找一个 $e$ ，使得 $gcd⁡(e,ϕ(N))=1\gcd(e,\phi(N))=1$ ；
  4. 计算 $[e^{-1} \bmod \phi(N)]$ ；
  5. 返回 $N, e, d$
RSA假设
- RSA实验 $RSAinvA,GenRSA(n)\mathsf{RSAinv}_{\mathcal{A},\mathsf{GenRSA}}(n)$ :
  1. 运行 $GenRSA(1n)\mathsf{GenRSA}(1^n)$ 来产生 $(N, e, d)$ 。
  2. 选择 $\gets \mathbb{Z}^*_N$ 。
  3. 敌手 $A\mathcal{A}$ 给定 $N, e, y$ , 并输出 $\in \mathbb{Z}^*_N$ .
  4. $RSAinvA,GenRSA(n)=1\mathsf{RSAinv}_{\mathcal{A},\mathsf{GenRSA}}(n)=1$ ，实验成功，如果 $xe≡y(modN)x^e \equiv y \pmod N$ ，否则实验失败 0 。
- 定义：RSA问题相对于 $GenRSA\mathsf{GenRSA}$ 是难的，如果 $∀\forall$ PPT算法 $A\mathcal{A}$ , $∃\exists$ $negl\mathsf{negl}$ 使得， $Pr⁡[RSAinvA,GenRSA(n)=1]≤negl(n).\Pr[\mathsf{RSAinv}_{\mathcal{A},\mathsf{GenRSA}}(n) = 1] \le \mathsf{negl}(n).$
构造陷门排列
- 用 $GenRSA\mathsf{GenRSA}$ 来定义一个排列族：
  - $Gen\mathsf{Gen}$ : 输入 $1^n$ , 运行 $GenRSA(1n)\mathsf{GenRSA}(1^n)$ 来产生 $(N, e, d)$ 并且 $I=⟨N,e⟩,td=dI=\langle N,e \rangle, \mathsf{td}=d$ , 令 $DI=Dtd=ZN∗\mathcal{D}_I = \mathcal{D}_{\mathsf{td}} = \mathbb{Z}^*_N$ .
  - $Samp\mathsf{Samp}$ : 输入 $I$ , 挑选一个随机元素 $x$ of $ZN∗\mathbb{Z}^*_N$ .
  - $N]f_{I}(x) = [ x^e \bmod N]$ .
  - 确定性求逆算法 $N]\mathsf{Inv}_{\mathsf{td}}(y) = [ y^d \bmod N]$ .
- 将RSA问题规约到陷门排列求逆问题。
回顾“书本上的RSA”
- 略
攻击带有小 $e$ 的“书本上的RSA”
- 小 $e$ 和小 $m$ 令模算术失去作用，不再是难题。
  - 如果 $e = 3$ 并且 $m < N^{1/3}$ ，那么 $c = m^3$ 并且 $m =$ ？
  - 在混合加密中，1024比特 RSA 与 128比特 AES。
- 当小 $e$ 被使用时通用攻击：
  - $e = 3$ , 同一个消息 $m$ 被发送给 3 个不同的接收者。
  - $N1]c_1= [ m^3 \bmod N_1]$ , $N2]c_2= [ m^3 \bmod N_2]$ , $N3]c_3= [ m^3 \bmod N_3]$ .
  - $N_1,N_2,N_3$ 互质, 并且 $N^*=N_1N_2N_3$ ，使用中国剩余定理可知， $∃\exists$ 唯一的 $c^<N∗\hat{c} < N^*$ :
  - $c^≡c1(modN1)\hat{c} \equiv c_1 \pmod{N_1}$ , $c^≡c2(modN2)\hat{c} \equiv c_2 \pmod{N_2}$ , $c^≡c3(modN3)\hat{c} \equiv c_3 \pmod{N_3}$ .
  - $c^≡m3(modN∗)\hat{c} \equiv m^3 \pmod{N^*}$ . 由于 $m^3 < N^*$ , $m=c^1/3m = \hat{c}^{1/3}$ .
对恢复明文的二次改进
- 如果 $\le m < \mathcal{L} = 2^{\ell}$ , 存在一个算法可以在 $L\sqrt{\mathcal{L}}$ 时间恢复 $m$ 。
- 思路： $\equiv m^e = (r\cdot s)^e = r^e\cdot s^e \pmod N$
- 算法：
  - 输入：公钥 $⟨N,e⟩\langle N,e \rangle$ ; 密文 $c$ ; 参数 $ℓ\ell$
  - 输出： $2^{\ell}$ 使得 $me≡c(modN)m^e \equiv c \pmod N$
  - $2^{\alpha \ell}$ // $α<1\frac{1}{2} < \text{constant}\; \alpha <1$
  - For{ $r = 1$ to $T$ } { $N]x_r := [c/r^e \bmod N]$ }
  - sort pairs ${(r,xr)}r=1T\{ (r,x_r)\}^T_{r=1}$ by $x_r$
  - For $s = 1$ to $T$
    - If $N]=?xr[s^e \bmod N] \overset{?}{=} x_r$ for some $r$
      - Return $N][r\cdot s \bmod N]$
  - Return fail
共模攻击
- 共模攻击使用相同的模数 $N$ .
- 情况1：多个用户带有自己的密钥。每个用户可以以自己的 $e, d$ 计算 $ϕ(N)\phi(N)$ ，然后找到其他人的 $d$ .
- 情况2：用两个公钥为同一个消息加密。
  - 假设 $gcd(e_1,e_2)=1$ , $c1≡me1c_1 \equiv m^{e_1}$ and $c2≡me2(modN)c_2 \equiv m^{e_2} \pmod N$ . $∃X,Y\exists X,Y$ 使得 $Xe_1 + Ye_2 = 1$ （贝祖定理）.
  - $c1X⋅c2Y≡mXe1mYe2≡m1(modN).c_1^X\cdot c_2^Y \equiv m^{Xe_1}m^{Ye_2} \equiv m^1 \pmod N.$
  - $N = 15, e_{1} = 3, e_{2} = 5, c_{1} = 8, c_{2} = 2, m = ?$
对“书本上RSA”的CCA
- 使用CCA恢复消息：敌手 $A\mathcal{A}$ 选择一个随机数 $\gets \mathbb{Z}^*_N$ 并计算 $[r^e\cdot c \bmod N]$ ，使用CCA获得 $m^{'}$ 。那么， $m = ?$
- 在拍卖中讲价格翻倍： $[m^e \bmod N]$ . $[2^ec \bmod N]$ .
RSA实现问题
- 将二进制串编码为 $ZN∗\mathbb{Z}^*_N$ 中元素： $ℓ=∥N∥\ell = \|N\|$ 。任意长度为 $ℓ−1\ell - 1$ 的二进制串 $m$ 可以被看作是 $Z_N$ 中元素。尽管 $m$ 不在 $Z_N^*$ 中，RSA 仍工作。
- $e$ 的选择： $e = 3$ 或小 $d$ 都是坏选择。推荐 $e=65537=2^{16}+1$
- 使用中国剩余定理来加速解密： $q]).[c^d \bmod N] \leftrightarrow ([c^d \bmod p],[c^d \bmod q]).$
- 假设一个 $n$ 比特整数指数预算需要 $n^3$ 操作。RSA 解密花费 $2n)^3=8n^3$ ，其中使用中国剩余定理需要 $2n^3$ 。
Padded RSA
- 思路：添加随机性来改进安全
- 构造：
  - 令 $ℓ\ell$ 为一个函数，对所有 $n$ ， $ℓ(n)≤2n−2\ell(n) \le 2n-2$ ，为被加密的消息长度。
  - $Gen\mathsf{Gen}$ : 输入 $1^n$ , 运行 $GenRSA(1n)\mathsf{GenRSA}(1^n)$ 来产生 $(N, e, d)$ . 输出 $\langle N,e \rangle$ 和 $\langle N,d \rangle$ 。
  - $Enc\mathsf{Enc}$ : 输入 $\in \{0,1\}^{\ell(n)}$ , 选择随机串 $\gets \{0,1\}^{\|N\| - \ell(n)-1}$ . 输出 $N]c:=[(r\|m)^e \bmod N]$ 。注：填充随机串后加密
  - $Dec\mathsf{Dec}$ : 计算 $m^:=[cd mod N]\hat{m} := [c^d \bmod N]$ , 并输出 $m^\hat{m}$ 中的低 $ℓ(n)\ell(n)$ 个比特。注：这部分为明文
- $ℓ\ell$ 不应该太大 (理论上的 $r$ 太小) 也不应该太小 (实践中的 $m$ 太小)。
- 定理：如果RSA问题相对于 $GenRSA\mathsf{GenRSA}$ 是难的，那么基于 $ℓ(n)=O(log⁡n)\ell(n)=\mathcal{O}(\log n)$ 的构造是CPA安全的。
- 证明：与对称加密中CPA安全方案类似。
对RSA的实现攻击
- 对HTTPS中PKCS1 v1.5的简化的CCA攻击 [Bleichenbacher]
- 服务器对给定的密文来应答明文的最高有效位是否等于1 (版本号) 。攻击者发送 $(2^{r})^{e}\cdot c$ 。如果收到 $Y es$ ，那么明文中第 $(r + 1)$ 最高有效位= ?
- 防御：处理格式不正确的消息和格式正确的消息的方式应该是不可区分的。[RFC 5246]
PKCS #1 v2.1 （RSAES-OAEP）
- 最优非对称加密填充（Optimal Asymmetric Encryption Padding，OAEP): 将长度 $n /2$ 的 $m$ 编码为长度 $2 n$ 的消息 $m^\hat{m}$ 。 $G, H$ 是随机预言机。
- RSA-OAEP在ROM下是CCA安全的。（当RO实例化后可能不安全）
- CPA攻击下，敌手不知道 $r$ ，则 $m$ 被完美保护；若要知道 $r$ ，则必须知道 $s$ ，这不可能。
- CCA攻击下，无法有效进行解密查询，因为在应答前会检查明文中“00…0”。
- 局限性：这个方案对RSA是安全的，但对其他TDP可能不是。
OAEP改进
- OAEP+对所有TDP都是CCA安全的
- SAEP+更简单填充，同样安全
对RSA的实现攻击（续）
- 计时攻击：[Kocher et al. 1997] 计算 $c^d$ 所消耗的时间可能泄漏 $d$ 。 (需要高解析时钟)
- 能耗攻击：[Kocher et al. 1999] 为计算 $c^d$ 智能卡消耗的能量可能泄漏 $d$ 。
- 防御：将密文和随机数 $r$ 绑定，解密 $re⋅cr^{e}\cdot c$ 。
- 密钥生成问题：(在 OpenSSL RSA 密钥生成过程中):
- 相同的 $p$ 由多个设备产生 (源自启动时的低熵)，但是不同的 $q$ (源自额外的随机性).
  - 问题: 不同设备的 $N_1,N_2$ , $gcd(N_1,N_2) = ?$
  - 实验结果: 可分解 0.4% 的公开的HTTPS密钥。
对RSA的故障攻击
- 故障攻击：在解密过程中 $Nc^d\bmod N$ 发生的计算机故障可能泄漏 $d$ 。
- 之前提到过使用中国剩余定理来加速解密:
  
  $N]↔([mp≡cd(modp)],[mq≡cd(modq)])[c^d \bmod N] \leftrightarrow ([m_p \equiv c^d \pmod p],[m_q \equiv c^d \pmod q])$
- 假设在计算 $m_q$ 时发生错误，但在计算 $m_p$ 时没有错误。
- $\equiv c^d \pmod p$ , $\not \equiv c^d \pmod q$ 。
- $(m′)e≡c(modp)(m')^e \equiv c \pmod p$ , $(m′)e≢c(modq)(m')^e \not \equiv c \pmod q$
- $gcd((m')^e-c, N)=\ ?$
- 防御：检查输出 (但减慢 10% )。
总结
- RSA问题是TPD，但书本上RSA加密不安全，RSA-OAEP在ROM下是CCA安全的。