超级会员免费看
对 RSA 的新型相关消息攻击
在当今的商业应用中,RSA 是最为流行的公钥密码系统。它通过公式 ( c \equiv m^e \mod N )(其中 ((e, N)) 是公钥)将消息 ( m \in Z_N ) 映射为密文 ( c \in Z_N )。解密则使用 ( m \equiv c^d \mod N ),其中 ( d ) 是私钥,满足 ( ed \equiv 1 \mod \phi(N) ),( \phi(N) ) 是欧拉函数。通常,( N ) 和 ( d ) 至少有 1000 位长,而 ( e ) 通常较短,许多应用仍使用 16 位长的 ( e )。
相关消息的出现
消息之间存在已知关系的情况可能会发生。例如,在一个不验证接收方身份的协议中,攻击者伪装成接收方,并且消息由内容和序列号拼接而成。攻击者可以声称未正确接收传输内容并要求重新发送,新的传输内容与原内容相同,但序列号递增。如果知道这个增量,就存在已知关系。
现有攻击方法及局限性
之前的研究表明,给定两个 RSA 密文 ( x^e \mod N ) 和 ((ax + b)^e \mod N )(对于已知常数 ( a, b \in Z_N )),通常可以在 ( O(e \log^2 e) ) 次 ( Z_N ) 运算内计算出 ( x ),但存在 ( O(e^2) ) 条消息该方法会失败。
本文的新攻击方法
本文提出,给定 ( e ) 个密文 ( c_i \equiv (a_ix + b_i)^e \mod N )(( i = 0, 1, …, e - 1 )),对于任意已知常数 ( a_i, b_i \in Z_N ),使得向量 ((a_i, b_i
订阅专栏 解锁全文
扫一扫
42
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
