4、服务器辅助RSA协议的安全性分析及攻击方法研究

服务器辅助RSA协议的安全性分析及攻击方法研究

在服务器辅助RSA协议的安全性研究中，许多攻击方法被提出并分析。其中，Merkle的多轮攻击和针对低指数RSA - S1的一轮新攻击具有重要意义。下面将详细介绍这些攻击方法及其理论结果和实验情况。

1. 最短向量问题与实验必要性

在研究格相关问题时，当格维度不是太大时，一些算法常常能返回最短格向量，其表现优于理论预期。因此，若有解决最短向量问题（SVP）的算法（SVP - oracle），预测其能高效达成的结果是很有意义的，例如在子集和问题中就有这样的应用。然而，除非格维度极小，否则很难提前预测一个SVP实例在实际中是否可解，所以实验在这种情况下总是必要的。

2. Merkle的多轮攻击分析

2.1 Merkle攻击原理

Merkle的攻击基于如下观察：对于特定向量 (f = (f_1, \ldots, f_m) \in B_{k,\ell,m}) 和 (d = (d_1, \ldots, d_m) \in [\varphi(N)]^m)，有 (0 < \sum_{i = 1}^{m} f_id_i < k2^{\ell}\varphi(N))，且 (\sum_{i = 1}^{m} f_id_i \equiv d + j\varphi(N))，其中 (j \in \lfloor k2^{\ell} \rfloor)，即 (j) 的取值不会太多。

研究表明，无论向量 (f \in B_{k,\ell,m}) 的分布如何，对于上述协议产生的两对向量 (f_1 = (f_1, \ldots, f_m))，(d_1 = (d_1, \ldots, d_m))