19、一种RSA变体的进一步密码分析

一种RSA变体的进一步密码分析

1. 部分密钥暴露攻击验证与比较

通过实验验证了部分密钥暴露攻击的有效性。在与使用Coppersmith方法对B型变体进行的小私钥攻击比较时，设置γ = 0，α = 2，得到的界限β < (7 - 2√7) / 3 ≈ 0.569，这与Nitaj等人得到的界限相同。这意味着当前构造只能达到较弱的界限，而非更强的β < 0.585界限，如何优化攻击以覆盖更强界限仍是一个待解决的问题。由于该攻击对应于一些最高有效位（MSBs）和最低有效位（LSBs）都泄露的一般情况，可能存在精度损失，可分别考虑MSBs和LSBs情况，并采用不同的临时优化构造。

与标准RSA和A型变体的部分密钥暴露攻击比较时，根据相关数据，该攻击对B型变体得到的界限与A型变体相同。这主要是因为A型和B型变体的ψ(N)与N²具有相同的数量级，且都使用了Jochemsz和May提出的一般构造。但该结果并非标准RSA部分密钥暴露攻击界限的两倍，Takayasu和Kunihiro选择了一些临时且优化良好的构造而非一般构造，从而有可能完全覆盖Boneh和Durfee的界限。

2. 小素数差攻击

提出了对B型RSA变体的小素数差攻击，其中模数N = pq，素数差|p - q|足够小。当|p - q| ≤ N^(1/4)时，攻击很简单，因为根据引理3可得出p + q等于2√N，从而实现分解，所以只考虑δ > 1/4的情况。

定理3 ：设N = pq是B型RSA变体的模数，其中q < p < 2q，且p - q < N^δ（1/4 < δ < 1/2）。设e = N^α，d