41、密码学后门与量子计算对加密算法的挑战

密码学后门与量子计算对加密算法的挑战

1. 密码学后门相关内容

1.1 密钥对生成与后门问题

为特定目的生成公钥/私钥对时，若使用用于常规通信的公私钥对，就相当于给后门签了名。接着求解((c || R) = pq + r)中的((q,r))。若计算结果显示(q)是合数或者(q - 1)与(e)不互质，就需回到第一步重新操作。最后输出公钥((n = pq,e))和私钥(p)。攻击者可以通过以下方式恢复受害者的私钥：
1. 攻击者获取用户的公钥((n,e))。
2. 设(u)为(n)的最高512位。
3. 攻击者设置(c1 = u)和(c2 = u + 1)（(c2)考虑了计算中可能借位的情况）。
4. 攻击者分别解密(c1)和(c2)得到(s1)和(s2)。
5. 要么(p1 = H(s1))，要么(p2 = H(s2))能整除(n)，且只有攻击者能进行此操作，因为只有攻击者知道对应于(Y)的所需私钥解密密钥。

1.2 哈希算法的后门攻击

一些研究人员一直在探索破坏加密哈希算法的方法。Albertini等人写了一篇关于为SHA - 1创建加密后门的论文。他们选择SHA - 1作为目标，因为它据称是应用最广泛的哈希函数，并且是由美国国家安全局（NSA）和美国国家标准与技术研究院（NIST）设计的。他们利用SHA - 1的四个32位轮常量的自由度，有效地构造1块碰撞，使两个有效的可执行文件在这个恶意的SHA - 1下发生碰撞。不过，由于SHA - 1在80步中仅使用四个不同的32位轮常量，这大大限制了添加后门的自由度，实际上他们的攻击最多只修改常量128位中的80位（平均40位）。这表明现在不仅对称和非对称密