26、RSA密钥恢复与伪随机数生成器攻击研究

RSA密钥恢复与伪随机数生成器攻击研究

1. RSA密钥恢复

1.1 独立马尔可夫链

在分析RSA密钥恢复问题时，有两个重要假设：
- 数字独立性：先前观察到的数字不会决定未探索的数字。
- 密钥独立性：知道 $d_p$ 不能推断出 $d_q$，反之亦然。

基于这些性质，我们创建相同分布的马尔可夫链，并独立分析作用于 $d_p$ 和 $d_q$ 的这些链。每个马尔可夫链的状态空间为 $\Omega = {0, \ldots, 2^{\omega} - 1}$，其转移有两种可能性：
1. 采样一个之前已经见过的数字。
2. 采样一个之前未见过的数字。

因此，我们定义概率转移如下：
[
y_{\gamma} \to
\begin{cases}
y_{\gamma - 1} & \text{概率为} \frac{y_{\gamma - 1}}{2^{\omega}} \
y_{\gamma - 1} + 1 & \text{概率为} \frac{2^{\omega} - y_{\gamma - 1}}{2^{\omega}}
\end{cases}
]

使用这个公式，我们构建概率转移矩阵 $P$。例如，当 $\omega = 4$ 时，状态链的概率转移矩阵为：
[
P =
\begin{bmatrix}
\frac{1}{4} & \frac{3}{4} & 0 & 0 & 0 \
\frac{1}{2} & \frac{1}{2