49、利用少量RSA私钥信息穿透迷雾

最新推荐文章于 2025-11-06 14:38:04 发布

julia4scientist

最新推荐文章于 2025-11-06 14:38:04 发布

阅读量78

点赞数

CC 4.0 BY-SA版权

分类专栏： CT-RSA 2003：密码学前沿研讨会精华文章标签： RSA 私钥攻击指数盲化

本文链接：https://blog.youkuaiyun.com/julia4scientist/article/details/149923324

CT-RSA 2003：密码学前沿研讨会精华专栏收录该内容

50 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

利用少量RSA私钥信息穿透迷雾

1. 搜索空间减半

在RSA算法中，若已知公钥模数 (N = PQ)（(P) 和 (Q) 为素数），且通常选择 (P) 和 (Q) 具有相同的比特位数，攻击者可假设 (P < Q < 2P)。由此可得：
[2\sqrt{N} < P + Q < 3\sqrt{\frac{N}{2}}]
进而推出 (\varphi(N) = N - (P + Q) + 1) 的范围：
[N - 3\sqrt{\frac{N}{2}} + 1 < \varphi(N) < N - 2\sqrt{N} + 1]
此区间长度小于 (\frac{1}{8}\sqrt{N})，所以可轻易确定 (\varphi(N)) 一半以上的最高有效位。

公钥指数 (E) 和私钥指数 (D’) 满足：
[D’ \times E = 1 + k\varphi(N)]
通常选择 (D’ < \varphi(N))，使得 (k < E)。为 (D’) 添加一个随机因子 (r\varphi(N))（(r) 常为32位随机数），得到实际用于指数运算的私钥 (D)：
[D = D’ + r\varphi(N) = \frac{1 + (k + rE)\varphi(N)}{E}]
设 (B) 为 (r) 的上界，那么 (\varphi(N)) 的系数 (k + rE) 是 (0) 到 (BE) 范围内的随机数。攻击者只需生成 (O(BE)) 个可能的系数值，就能得到一个包含观察到的指数运算中使用的 (D) 的近似值集合。若没有添加随机因子，取 (r = 0)，(B = 1)。

对于给定的 (r) 和 (k)，由上述公式确定 (D) 的上下界 (D_l) 和 (D_u)，满足：
[D_u - D_l = \frac{k + rE}{E}(3\sqrt{\frac{1}{2}} - 2)\sqrt{N} < \frac{B}{8}\sqrt{N}]
攻击者接下来要生成 (D) 后一半左右的所有可能数字，选取足够多的数字构造 (D_j)，使其满足：
[D_j \geq \sqrt{\frac{(k + rE)N}{E}} \quad \text{且} \quad D_j \geq D_u - D_l]
通常第一个不等式是第二个不等式的结果。当 (r \geq 68) 时，可忽略第一个不等式。

根据侧信道泄漏的威胁模型，数字选择会受到一定限制。攻击者的下一个问题是确定哪个选择是正确的。通过一系列推导可得：
[\mu_j = D \text{ div } D_j = \lfloor\frac{D_l}{D_j}\rfloor \text{ 或 } \lfloor\frac{D_u}{D_j}\rfloor]
可根据此计算并判断 (D_j) 是否符合要求，即判断 (\lfloor\frac{D_l}{D_j}\rfloor) 或 (\lfloor\frac{D_u}{D_j}\rfloor) 是否为集合 (S = {2, 3, 5}) 中元素的乘积。

接下来估算满足条件的 (D_j) 的数量。假设 (\lfloor\frac{D_l}{D_j}\rfloor) 和 (\lfloor\frac{D_u}{D_j}\rfloor) 的素因数分解是随机的，一个大小为 (D / D_j) 的随机数是 (2)、(3) 和 (5) 的幂的乘积的概率可通过以下公式估算：
[3(\log 2 \log 3 \log 5)^{-1}(\log K)^2 / K]
其中 (K) 可根据不同情况取值。若 (D_j) 满足一定条件，可确定 (D \text{ div } D_j) 的范围，进而确定 (K) 的取值为 (O(\sqrt{N}))。

根据不同定理，有 (D_j^{3/5}) 或 (D_j^{1/3}) 个具有正确模式的 (D_j) 值需要考虑。对于每个 (k) 和 (r) 的选择，满足条件的 (D_j) 的期望数量最多为：
[O(B^{3/5}{\log N}^2 N^{-1/5}) \text{ 或 } O(B^{1/3}{\log N}^2 N^{-1/3})]
对于某些预期大小的 (N) 和 (B)，此值小于 (1)，表明可能只有一个解。若没有泄漏数据，进行穷举搜索的复杂度较高；而任何能将搜索空间缩小到穷举搜索以下的侧信道，都能将满足条件的 (D_j) 的期望数量最多降低到 (O(B{\log N}^2))。

确定可行的 (D_j) 后，可迭代重建 (D) 的其余部分。随着迭代进行，错误选择会迅速消失，通常每次迭代最多考虑两个 (D_{i + 1}) 值。此方法最多生成 (O(EB^{8/5}N^{3/10})) 或 (O(EB^{4/3}N^{1/6})) 个可能的 (D_j) 值，对于标准RSA密钥长度（1024位及以上），若无其他数据缩小搜索空间，攻击在计算上仍然不可行。增加公钥指数 (E) 或随机因子 (B) 的大小比增加模数 (N) 更能以较低成本提高安全性。

以下是该过程的流程图：

graph TD;
    A[确定\(\varphi(N)\)范围] --> B[生成\(k + rE\)可能值];
    B --> C[计算\(D_l\)和\(D_u\)];
    C --> D[生成\(D_j\)可能值];
    D --> E[筛选符合条件的\(D_j\)];
    E --> F[迭代重建\(D\)其余部分];

2. 搜索空间四等分

Coppersmith的格基技术能从私钥的最低有效位推导出私钥，与上一节方法互补。以往从公钥模数和部分私钥信息恢复私钥的工作主要基于位视图，这里需要以更不依赖基数的方式重新表述。类似Boneh等人的方法，平均需要确定约四分之一的数字/基数对。

主要定理如下：
设 (N = PQ) 是 (n) 位RSA模数，给定 (\mu \geq 2^{n/4}) 且已知 (P_0 = P \bmod \mu)，则可在 (n) 的多项式时间内分解 (N)。

假设已正确猜测 (0 \leq i \leq j - 1) 的数字/基数对 ((m_i, d_i))，则已知 (\delta_j) 和 (\mu_j)，满足 (D \equiv \delta_j \bmod \mu_j)。将 (D) 的公式用 (N) 和 (P) 表示：
[DE = 1 + (k + rE)(N - P - \frac{N}{P} + 1)]
对其取模 (\mu = \mu_j)，可得 (P_0 = P \bmod \mu) 是方程：
[\delta_jE \equiv 1 + (k + rE)(N - x - \frac{N}{x} + 1) \bmod \mu]
的解，即二次方程：
[(k + rE)x^2 - (1 - \delta_jE + (k + rE)(N + 1))x + (k + rE)N \bmod \mu]
的根。设 (g = \gcd{k + rE, \mu})，将方程除以 (k + rE)，得到：
[x^2 - (\frac{1 - \delta_jE}{k + rE} + N + 1)x + N \bmod \frac{\mu}{g}]

通过配方法求解该二次方程，令 (y = x - \frac{1}{2}(\frac{1 - \delta_jE}{k + rE} + N + 1))，得到：
[y^2 \equiv c \bmod \frac{\mu}{g}]
其中 (c) 可轻易计算。若 (c) 能被 (2)、(3) 或 (5) 的幂整除，则该幂必须为偶数，否则选择的 (k + rE) 错误。

求解 (y^2 \equiv c \bmod \frac{\mu}{g}) 时，先对整除 (\frac{\mu}{g}) 的最大 (2)、(3) 和 (5) 的幂取模求解，再用中国剩余定理重建解。对于 (2) 的高次幂（大于 (2^2)），最多有 (4) 个解；对于奇素数 (p)，(y^2 \equiv c \bmod p^t) 最多有 (2) 个解。假设至少 (2^3 \times 3 \times 5) 整除模数且每个素数幂都至少有一个解，通过中国剩余定理组合结果，共有 (4 \times 2 \times 2 = 16) 个解。

获取和组合解的计算复杂度为 (O(\log \mu))，由于 (j) 的选择使得 (\mu \geq 2^{n/4}) 且 (k + rE) 有 (BE) 个选择，因此计算所有可能的 (P_0) 值的复杂度为 (O(nBE))。

由此可得定理：对于 (n) 位公钥RSA模数 (N)、公钥指数 (E) 和使用随机倍数 (\varphi(N)) 进行指数盲化（上界为 (B)），给定 (D) 的最低有效随机数字且其基数乘积至少为 (N^{1/4})，则可在 (n) 的多项式时间和 (BE) 的线性时间内分解 (N)。

以下是该过程的流程图：

graph TD;
    A[猜测数字/基数对] --> B[确定\(\delta_j\)和\(\mu_j\)];
    B --> C[构建二次方程];
    C --> D[计算\(g\)并化简方程];
    D --> E[配方法求解方程];
    E --> F[求解\(y^2 \equiv c \bmod \frac{\mu}{g}\)];
    F --> G[中国剩余定理组合解];
    G --> H[得到\(P_0\)可能值];

3. 结论

介绍了两种利用RSA公钥模数和指数知识，从Mist指数算法生成的私钥 (D) 的部分随机数字展开信息中恢复私钥的技术。第一种技术依赖于仅由 (2)、(3) 和 (5) 的幂组成的大数的稀缺性；第二种技术推广了Boneh等人的“Bellcore攻击”方法。

在某些威胁模型下，对于标准密钥长度和包含适当盲化的合理实现，这些技术不会削弱对Mist指数算法的功耗攻击和电磁辐射攻击（SPA/DPA和SEMA/DEMA）在计算上不可行的信心。而经典的滑动窗口和 (m) 元指数算法在相同假设下则毫无抵抗能力。

综上所述，指数盲化对于防止此类攻击非常重要，增加盲化因子比增加密钥长度更能提高抗篡改能力。若出现更强大的攻击方法，对于密钥长度小于1024位的情况，强烈建议使用盲化技术。同时，若为了效率等原因对基数选择进行偏置，会进一步降低攻击的执行时间。

以下是两种方法的对比表格：
| 方法 | 依赖原理 | 所需信息 | 计算复杂度 |
| ---- | ---- | ---- | ---- |
| 搜索空间减半 | (2)、(3)、(5) 幂的稀缺性 | 部分最高有效位信息 | (O(EB^{8/5}N^{3/10})) 或 (O(EB^{4/3}N^{1/6})) |
| 搜索空间四等分 | 格基技术和中国剩余定理 | 部分最低有效位信息 | (O(nBE)) |

利用少量RSA私钥信息穿透迷雾

4. 技术细节深入剖析

在上述两种方法中，还有一些技术细节值得深入探讨。

对于搜索空间减半的方法，确定可行的 (D_j) 后迭代重建 (D) 的其余部分时，其概率变化是一个关键因素。随着 (i) 减小，(\mu_i = D \text{ div } D_i) 的因子越来越少，更有可能符合正确形式。例如，当 (\mu_i \approx 3\times2^9) 时，只有约 (\mu_i^{3/5} \approx 54) 或 (\mu_i^{1/3} \approx 9) 个选择用于将 (D_i) 扩展到 (D)，且在区间 ([1, 3\times2^9]) 中只有 79 个值能使后续的 (\mu_{i’}) 符合正确形式。

平均基数 (m_i’) 为 2.50，前 (t) 个基数值会使 (D) 缩小约 (2.50^t) 倍。因此，对于这些 (t) 个数字/基数对，分别有大约 ((2.50^t)^{3/5}) 或 ((2.50^t)^{1/3}) 个选择。每个选择满足整除条件的概率最多为 (12^{-t})，所以最多约 ((2.50^t)^{3/5}12^{-t}) 或 ((2.50^t)^{1/3}12^{-t}) 个错误选择会在 (t) 个基数选择后幸存。随着 (t) 增加，这些值趋近于 0。

错误选择的平均存活迭代次数计算如下：
设错误选择存活 (i) 次迭代的概率为 (P(i) = (\frac{4}{12})^i)，则平均存活迭代次数为 (\sum_{i = 1}^{\infty} i(\frac{4}{12})^i = \frac{3}{4})。这意味着通常每次迭代最多考虑两个 (D_{i + 1}) 值：一个正确值（如果 (k) 和 (r) 选择正确）和最多一个错误值。

对于搜索空间四等分的方法，在求解 (y^2 \equiv c \bmod \frac{\mu}{g}) 时，不同素数幂的求解方式有所不同。对于 (2) 的高次幂（大于 (2^2)），根据相关结论最多有 4 个解；对于奇素数 (p)，(y^2 \equiv c \bmod p^t) 最多有 2 个解。通过中国剩余定理将这些解组合起来，假设至少 (2^3 \times 3 \times 5) 整除模数且每个素数幂都至少有一个解，可得到 16 个不同的解。

以下是两种方法技术细节的对比列表：
- 搜索空间减半 ：
- 迭代重建时错误选择随 (i) 减小迅速消失。
- 平均存活迭代次数少，每次迭代考虑值少。
- 依赖 (2)、(3)、(5) 幂的稀缺性筛选 (D_j)。
- 搜索空间四等分 ：
- 求解二次同余方程时针对不同素数幂有不同解法。
- 利用中国剩余定理组合解。
- 从最低有效位信息推导私钥。

5. 实际应用与安全建议

在实际应用中，RSA算法的安全性至关重要。以下是一些基于上述技术分析的安全建议：

指数盲化 ：指数盲化是防止攻击的重要手段。增加盲化因子 (B) 比增加密钥长度更能以较低成本提高安全性。对于密钥长度小于 1024 位的情况，若存在更强大的攻击方法，强烈建议使用盲化技术。

基数选择 ：避免为了效率等原因对基数选择进行偏置，因为这会进一步降低攻击的执行时间。应尽量随机选择基数，以增加攻击的难度。

密钥长度 ：对于标准RSA密钥长度（1024位及以上），若无其他数据缩小搜索空间，上述攻击方法在计算上仍然不可行。但随着计算能力的提升，适当增加密钥长度也是保障安全的一种方式。

以下是实际应用中的安全措施流程图：

graph TD;
    A[选择RSA算法] --> B[确定密钥长度];
    B --> C{密钥长度是否小于1024位};
    C -- 是 --> D[使用指数盲化];
    C -- 否 --> E[考虑增加密钥长度];
    D --> F[随机选择基数];
    E --> F;
    F --> G[实施加密操作];