15、反馈多项式与服务器辅助RSA计算协议的特性及攻击分析

最新推荐文章于 2025-10-21 13:23:03 发布

原创最新推荐文章于 2025-10-21 13:23:03 发布 · 712 阅读

15 ·

CC 4.0 BY-SA版权

文章标签：

#反馈多项式 #服务器辅助RSA #RSA-S1

反馈多项式与服务器辅助RSA计算协议的特性及攻击分析

反馈多项式的特性

在实际应用中，二进制序列具有重要意义，因此我们主要关注二进制序列相关的反馈多项式。假设FSR的反馈多项式为$f(X)$，那么$f(X) \in Z_2[t_1, t_2, \ldots, t_m]$，这里$Z_2[t_1, t_2, \ldots, t_m]$是包含不定元$t_1, t_2, \ldots, t_m$的所有多项式表达式的集合。这些多项式与布尔函数$f: {0,1}^m \to {0,1}$相对应，反之，任何$m$位布尔函数$f$都可以表示为多项式$Q_f(X) \in Z_2[t_1, t_2, \ldots, t_m]$，也就是$f$的环和展开（ME）或代数范式（ANF）。设$Z_2^m[t_1, t_2, \ldots, t_m]$是$2^{2^m}$个ANF多项式的集合，这些多项式是在环元素根据$t_i = t_i^2$（$1 \leq i \leq m$）简化后仍留在$Z_2[t_1, t_2, \ldots, t_m]$中的多项式。

我们关注反馈多项式的两个重要量：项数和次数。对于$f(X) \in Z_2[t_1, t_2, \ldots, t_m]$，用$T(f(X))$表示$f(X)$的项数，$deg(f(X))$表示$f(X)$的次数。那么存储$f(X)$所需的空间受$n \cdot T(f(X))$的限制。

有定理表明，假设在$Z_2[t_1, t_2, \ldots, t_m]$上是均匀分布的，$E(deg(f, m)) = m - \frac{1}{2} + o(1)$。从二项式定理还能得出$E(T(f(X))) = 2^{m - 1}$。这意味着$Z_2[t_1, t_2, \ldots, t_m]$中的随机多项式的项数是关于$m$的指数级，次数近似为$m$。

例如，计算长度$n = 10^6$的序列的线性跨度和跨度时，假设$f(X)$中一半的系数非零，LFSR的总存储量约为750,000位。根据相关定理，最小的移位寄存器大约有$2\log n$级，若反馈多项式是从$Z_2[t_1, t_2, \ldots, t_{\log n}]$中随机选取的，$f(X)$将有$2^{\log n - 1}$项，这远大于序列的长度。

一般来说，生成给定序列的反馈多项式不是唯一的。设序列$s$的跨度为$m$，$f(X)$是一个反馈多项式。有$2^m$个$m$位字符串，其中$k$（$1 \leq k \leq 2^m$）个字符串作为子串出现在$s$中。那么实际上有$2^{2^m - k}$个多项式$g(X)$在$s$中找到的$k$个输入字符串上与$f(X)$一致。我们可以将$f(X)$定义为生成$s$且$f(X) + 1$的根的数量最少的多项式，以此来关联每个序列$s$的反馈多项式。

实验结果

在实验中，我们使用C库函数 srandom 生成随机位序列。通过比较后缀计算每个序列的跨度，并为序列生成反馈函数。使用MAPLE™简化反馈函数以统计项数。该实验应用于100,000个32位序列，平均跨度为8.65，标准差为1.59。不同跨度长度下反馈函数的项数如下表所示：
| Span | # of cases | Mean # of terms | Std. Dev. |
| — | — | — | — |
| 5 | 11 | 15.82 | 3.24 |
| 6 | 2871 | 30.30 | 4.84 |
| 7 | 20917 | 53.86 | 11.80 |
| 8 | 29822 | 92.47 | 11.80 |
| 9 | 22228 | 154.25 | 66.08 |
| 10 | 12485 | 251.68 | 140.59 |
| 11 | 6328 | 415.13 | 292.70 |
| 12 | 2887 | 666.99 | 599.33 |
| 13 | 1339 | 1078.58 | 1103.69 |
| 14 | 638 | 1713.08 | 2199.19 |
| 15 | 256 | 2679.77 | 4304.51 |
| 16 | 109 | 4335.17 | 9380.74 |
| 17 | 60 | 14028.02 | 32298.27 |
| 18 | 30 | 24725.47 | 64266.20 |
| 19 | 11 | 10025.73 | 14349.16 |
| 20 | 5 | 12698.00 | 11095.74 |
| 21 | 0 | 0.00 | 0.00 |
| 22 | 2 | 560.00 | 464.00 |
| 23 | 1 | 874.00 | 0.00 |

从这些实验结果可以看出，跨度和反馈函数的项数之间存在一定的关系，跨度越大，反馈函数的平均项数也越大，且标准差也呈现出增大的趋势。

服务器辅助RSA计算协议概述

智能卡常被用于为个人所有者执行秘密加密计算，但ISO标准的智能卡更注重物理灵活性，计算能力有限。特别是配备通用CPU的智能卡，其速度不足以执行非对称算法，如RSA签名。因此，一些协议被提出以借助服务器的计算能力来加速智能卡的RSA操作。

主要的服务器辅助协议使智能卡能够在服务器的帮助下更快地计算RSA签名，这些协议都有相同的基本结构。下面介绍两个重要的协议：RSA - S1和RSA - S2。

RSA - S1协议

RSA - S1协议的预计算阶段，智能卡（或受信任的更大设备）将秘密指数$d$分解。随机生成一个整数向量$D = (d_1, \ldots, d_M)$和一个二进制向量$F = (f_1, \ldots, f_M)$，满足$d = f_1d_1 + \ldots + f_Md_M \bmod \varphi(n)$且$Weight(F) \leq L$，这里$Weight$表示汉明重量。对实际消息$x$进行签名的计算步骤如下：
1. 智能卡将$n$、$D$和$x$发送给服务器。
2. 服务器为$i = 1, \ldots, M$计算$Z_i := x^{d_i} \bmod n$，并将$Z = (z_1, \ldots, z_M)$发送回智能卡。
3. 智能卡通过将$f_i = 1$对应的$z_i$相乘得到$y$。

这样，智能卡只需要$L - 1$次乘法，通信量为$2(M + 1)$个数字。

RSA - S2协议

RSA - S2协议通过使用中国剩余定理改进了RSA - S1。预计算时，智能卡将$d$分解为$d = f_1d_1 + \ldots + f_Md_M \bmod (p - 1)$和$d = g_1d_1 + \ldots + g_Md_M \bmod (q - 1)$，其中$D = (d_1, \ldots, d_M)$是整数向量，$F = (f_1, \ldots, f_M)$和$G = (g_1, \ldots, g_M)$是二进制向量，且$Weight(F) + Weight(G) \leq L$。
步骤1和2与RSA - S1相同。在步骤3中，智能卡得到$y_p := y \bmod p$（$f_i = 1$对应的$z_i$的乘积）和$y_q := y \bmod q$（$g_i = 1$对应的$z_i$的乘积），最后应用中国剩余定理。

其他协议变体

除了上述两个协议，还有其他变体。例如，可以使用中国剩余定理加速RSA - S1，当$F$和$G$相等时，计算与RSA - S2相同，但安全考虑不同。还有非二进制变体，即系数$f_i$和$g_i$可以有除0和1之外的值，但必须是非常小的整数，以便智能卡只需进行少量乘法。另外，不同的协议还会改变指数集$D$的选择。

其中，[QuSo - 91]提出的协议在RSA安全的情况下可证明对被动攻击是安全的，但缺点是通信开销大，在标准接口的智能卡上不实用。

被动攻击分析

被动攻击是指服务器从不偏离其协议，总是发送正确的$x^{d_i} \bmod n$值，因此无法采取措施防止被动攻击。

对RSA - S1的被动攻击

在[MaKI - 90]中指出，RSA - S1只能通过穷举所有可能的重量$\leq L$的向量$F$来破解。但实际上，搜索空间可以小得多。对于已知签名$y = x^d$的消息$x$，攻击步骤如下：
1. 计算所有值$z_i = x^{d_i}$。
2. 计算所有向量$F$（重量$\leq \lfloor L/2 \rfloor$）的乘积$y_F := \prod_{i = 1}^{M} z_i^{f_i} \bmod n$。
3. 计算值$y^*_F := y y_F^{-1} \bmod n$。

通过这种方式，可以显著减小搜索空间，提高攻击效率。

综上所述，反馈多项式的特性在序列生成和分析中具有重要意义，而服务器辅助RSA计算协议虽然能提高智能卡的计算效率，但存在安全隐患，特别是被动攻击可以通过减小搜索空间来实施。在实际应用中，需要综合考虑协议的安全性和效率，选择合适的协议和参数。

主动攻击分析

之前已经知道RSA - S2协议容易受到主动攻击，实际上RSA - S1协议也存在同样的问题。而且，即使智能卡检查结果的正确性，攻击仍然可能奏效，这与之前认为检查结果可以抵御所有主动攻击的观点不同。

对于RSA - S2协议，攻击者可以通过篡改服务器返回给智能卡的数据来实施攻击。例如，攻击者可以修改$Z = (z_1, \ldots, z_M)$中的某些值，使得智能卡计算出错误的签名。虽然智能卡可以检查签名的正确性，但攻击者可以通过精心构造篡改的数据，使得在检查时仍然能够通过。

对于RSA - S1协议，攻击者也可以采用类似的策略。在服务器返回$Z$给智能卡的过程中，攻击者截获并修改数据，然后将修改后的数据发送给智能卡。由于智能卡依赖于服务器返回的数据进行计算，因此可能会生成错误的签名。

下面通过一个流程图来展示主动攻击的过程：

graph TD;
    A[智能卡发送n,D,x到服务器] --> B[攻击者截获数据];
    B --> C[攻击者修改数据];
    C --> D[攻击者将修改后的数据发送给服务器];
    D --> E[服务器根据修改后的数据计算并返回Z];
    E --> F[攻击者再次截获Z];
    F --> G[攻击者再次修改Z];
    G --> H[攻击者将修改后的Z发送给智能卡];
    H --> I[智能卡根据修改后的Z计算签名];
    I --> J[智能卡检查签名正确性];
    J --> K{检查是否通过};
    K -- 通过 --> L[攻击者攻击成功];
    K -- 不通过 --> M[攻击者调整攻击策略重新尝试];

对过时协议的攻击讨论

除了上述的RSA - S1和RSA - S2协议，还有一些过时的协议也存在安全问题。虽然这些协议可能已经不再广泛使用，但了解对它们的攻击方式有助于我们更好地理解协议的安全性。

一些过时协议可能在设计上存在漏洞，使得攻击者可以通过特定的方法获取秘密信息。例如，某些协议可能没有对数据进行充分的加密，或者在密钥管理方面存在问题。攻击者可以利用这些漏洞，通过分析协议的通信过程来获取敏感信息。

对于这些过时协议的攻击，通常需要结合具体的协议内容进行分析。攻击者可能会采用多种技术，如密码分析、中间人攻击等。在实际应用中，应该及时更新协议，避免使用存在安全隐患的过时协议。

总结与展望

通过对反馈多项式和服务器辅助RSA计算协议的研究，我们可以得出以下结论：
1. 反馈多项式方面 ：反馈多项式的项数和次数与序列的生成和分析密切相关。随机多项式的项数是关于$m$的指数级，次数近似为$m$，且生成给定序列的反馈多项式通常不唯一。
2. 服务器辅助RSA计算协议方面 ：这些协议能够提高智能卡的计算效率，但存在安全隐患。被动攻击可以通过减小搜索空间来实施，主动攻击即使在智能卡检查结果的情况下仍然可能成功。

未来的研究方向可以包括：
- 协议改进 ：设计更加安全的服务器辅助RSA计算协议，在保证计算效率的同时，提高协议的安全性，抵御各种攻击。
- 攻击防范 ：研究更加有效的防范攻击的方法，例如开发新的加密算法、改进密钥管理机制等。
- 折中方案 ：寻找安全性和效率之间的最佳折中方案，使得协议在实际应用中既安全又高效。

在实际应用中，开发者和用户需要综合考虑协议的安全性和效率，选择合适的协议和参数，以确保系统的安全稳定运行。同时，随着技术的不断发展，新的攻击方式和防范方法也会不断涌现，我们需要持续关注和研究，以应对不断变化的安全挑战。

通过这个表格，我们可以更清晰地看到不同协议的特点、安全隐患和应对措施，有助于在实际应用中做出合理的选择。