51、简单的 RSA 密钥生成后门方案解析

简单的 RSA 密钥生成后门方案解析

1. RSA 密钥生成与攻击算法概述

在 RSA 密钥生成过程中，若在步骤 3 要求 (|\epsilon| = t)（(t \in [1, \cdots, k/2])），则拼接输入 ((\delta_H, \delta_L, \epsilon)) 的总大小为 (2t + k/4)。当设 (t := \gamma k)（(\gamma) 为小的正数）时，其大小近似为 (k/4)。通过额外的随机填充或增大 (t)，可生成范围在 ( \sqrt[4]{n} < e < \varphi(n)) 的指数 (e)，但要确保 (\gamma k) 至少为 80，以防止暴力攻击。

在运行时间方面，该算法与标准 RSA 密钥生成算法相比表现良好。步骤 1 和 6 的运行时间与原算法相同，步骤 2 到 5 的循环次数大致与原循环相同，循环内的最大公约数（gcd）计算次数约为原算法的 3 倍。只要 (\pi_{\beta}(\epsilon)) 的计算相对于 gcd 等计算可忽略不计，运行时间的差异就可忽略。

当 (n) 和 (e) 公开后，给定秘密后门 (\beta)，可按以下算法对 (n) 进行因式分解：

Algorithm 3.6 ( RSA - HSEβ attack (n, e) )
1: 给定 (n, e)，计算 (δH :δL :ϵ) := π−1β (e)。
2: 使用 BDF 低公共指数攻击（定理 2），结合部分私钥知识，从 (n, δH, δL, ϵ) 计算 δ。
3: 根据 (ϵ, δ) 将 n 分解为 p 和 q。
4: 返回 (p, q)