超级会员免费看
密码学中格的两面性:从攻击到应用
1. 对DSA的格攻击
数字签名算法(DSA)在密码学中有着重要的地位,但之前隐藏数问题的解决方案却为其带来了潜在威胁。DSA使用一个阶为q的公共元素g ∈ Zp,其中q是一个160位的素数,且能整除p - 1(p是一个至少512位的大素数)。签名者拥有一个私钥α ∈ Z∗q和一个公钥β = gα mod p。对于消息m,DSA签名为(r, s) ∈ Z2q,其中r = (gk mod p) mod q,s = k−1(h(m) + αr) mod q,h是SHA - 1哈希函数,k是每次签名时在Z∗q中随机选择的元素。
如果随机数k被泄露,或者k是由一个密码学上较弱的伪随机生成器(如已知参数的线性同余生成器)生成,并且有几个签名可用,那么私钥α很容易被恢复。最近,Howgrave - Graham和Smart发现,如果有足够多的签名以及相应随机数k的足够多的比特位已知,Babai的最近平面CVP算法可以启发式地恢复α。这其实是一个广义的隐藏数问题。
假设攻击者知道d个消息mi的签名(ri, si)中随机数ki的ℓ个最低有效位,即知道ai < 2ℓ,使得ki - ai = 2ℓbi。那么αri ≡ si(ai + bi2ℓ) - h(mi) (mod q),可改写为αri2−ℓs−1i ≡ (ai - s−1i h(mi)) · 2−ℓ + bi (mod q)。令ti = ri2−ℓs−1i mod q,则MSBℓ(αti mod q)是已知的。恢复私钥α就是一个广义隐藏数问题,其中ti并非独立且均匀分布在Zq上,但底层的ki是独立且均匀分布在Z∗q上的。
Nguyen和Shparlinski证明,在对哈希函数的合理假
订阅专栏 解锁全文
扫一扫
32
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
