当前位置:文档之家 › 917834-密码学-第五章 公钥密码 5.2 RSA安全性分析

917834-密码学-第五章 公钥密码 5.2 RSA安全性分析

  • 格式:ppt
  • 大小:1.02 MB
  • 文档页数:31

下载文档原格式

  / 31

合集下载

RSA加密算法的安全性分析

RSA加密算法的安全性分析

RSA加密算法的安全性分析RSA加密算法是一种公钥加密算法,广泛应用于加密通信中。

它的安全性是众所周知的,但是随着计算机技术的发展,RSA加密算法也面临着越来越大的挑战。

本文将对RSA加密算法的安全性进行分析,并探讨其存在的漏洞。

一、RSA加密算法的原理RSA加密算法是一种非对称加密算法,它的安全性基于大质数分解问题的难度。

其原理非常简单,通过选择两个大的质数p和q,计算它们的乘积n=p*q,然后选择一个整数e,使得1<e<φ(n)且e与φ(n)互质,其中φ(n)=(p-1)*(q-1)。

然后计算出一个整数d,使得d*e≡1 mod φ(n)。

e和n组成公钥,d和n组成私钥。

对于给定的明文M,RSA加密算法的加密过程为:C=M^e mod n,其中^表示乘方运算。

对于给定的密文C,RSA加密算法的解密过程为:M=C^d mod n。

二、RSA加密算法的安全性基于大质数分解问题的难度,也就是说,要破解RSA加密算法,需要将公钥n分解成p和q的乘积。

但是,随着计算机技术的发展,大质数分解问题已经不再是一个不可逾越的难关了。

目前,在硬件和算法结合的优化下,可以破解大约100位的RSA密钥。

因此,为了确保RSA加密算法的安全性,密钥的长度必须足够长,至少要达到2048位。

另外,RSA加密算法还存在着一些已知的漏洞,例如:1. 选择恶意公钥攻击。

在这种攻击中,攻击者会伪造一个看似合法的公钥,并将其作为目标用户的公钥。

然后,攻击者就可以在不知情的情况下监视目标用户的通信,从而窃取敏感信息。

2. 计时攻击。

在这种攻击中,攻击者会通过测量加密和解密操作的时间来猜测密钥的值。

这种攻击可以在一段时间内重复进行,从而加速密钥的猜测。

3. 分组攻击。

在这种攻击中,攻击者会通过多次加密和解密相同的明文或密文来推断密钥的值。

通过比较不同的密文或明文块的加密结果,攻击者可以得出有关密钥的信息。

三、RSA加密算法的安全性提升为了提高RSA加密算法的安全性,可以采取以下措施:1. 增加密钥的长度。

RSA公钥密码算法

RSA公钥密码算法

RSA公钥密码算法RSA公钥密码算法是一种常见的加密算法,常用于网络通信、数据传输等领域,它采用公钥与私钥相结合的方式进行加密解密,具有高度的安全性和可靠性。

下面我们将详细介绍RSA公钥密码算法的原理和实现。

RSA公钥密码算法中,每个用户都有一对不同的密钥,公钥和私钥。

公钥是公开的,可以向所有人公开,而私钥只有用户本人知道,保密性极高。

加密时使用公钥进行加密,解密时使用私钥进行解密。

RSA公钥密码算法的原理主要涉及到以下几个方面:1. 随机选择两个素数p和qRSA公钥密码算法的核心是基于数学难题,即大数分解问题。

在算法中,首先需要随机选择两个大质数p和q,它们是算法的核心秘密。

p和q不能太小,否则易被破解,也不能太大,否则计算量太大。

通常,取素数的位数越多,安全性越高。

当p和q选好后,计算N=pq。

2. 计算N和欧拉函数在算法中,N和欧拉函数φ(N)是两个重要的参数。

N=pq是两个质数的积,φ(N)表示小于N的正整数中与N互质的数目。

当p和q是不同的质数时,φ(N)=(p-1)(q-1)。

在实际应用中,我们通常选择的是越大的质数越好。

3. 选择加密密钥e在算法中,需要选定一个加密密钥e,它必须满足1<e<φ(N),且e与φ(N)互质。

加密密钥e可以公开,任何人都可以知道。

4. 计算解密密钥d在算法中,需要计算一个解密密钥d,它必须满足ed mod φ(N)=1。

解密密钥d只有用户本人知道,保密性极高。

根据扩展欧几里得算法,可以求得模φ(N)下e的逆元d。

5. 加密和解密过程在加密时,明文M先被转化为一个整数m,然后计算出密文C=me mod N,其中e是加密密钥,N是公钥中的参数。

在解密时,密文C首先被解密为明文m=Cd mod N,其中d是解密密钥,N是公钥中的参数。

6. 安全性分析RSA公钥密码算法基于大质数分解问题,因此,只有在分解N为p和q这两个质数的乘积时,才有可能破解该算法。

rsa的安全等级

rsa的安全等级

rsa的安全等级RSA是一种流行的加密算法,以其强大的安全性而闻名于世。

RSA算法的安全性基于质因数分解问题,即将大质数的乘积分解为其质因数之和的问题。

而RSA算法的安全级别则取决于所使用的密钥长度。

目前,RSA算法的最短可接受的密钥长度是2048位,这种长度的密钥可以提供较高水平的安全性,足以防御常见的攻击方式,例如暴力破解和试图通过计算机算力来破解密钥的攻击。

然而,在技术日新月异的今天,人们的计算能力不断提高,攻击者也在不断寻求新的攻击手段。

因此,为了确保RSA算法的安全性,密钥长度需要不断增加。

例如,目前一些国家的政府机构和重要组织已经采用了4096位的RSA密钥,以提供更高级别的保护。

需要注意的是,密钥长度增加会导致加密和解密的速度变慢,因此在选择密钥长度时需要进行权衡。

对于需要高性能的应用程序,可能需要选择较短的密钥长度,而对于需要更高水平安全保障的应用程序,则需要选择更长的密钥长度。

除了密钥长度外,RSA算法的安全性还与密钥的安全保护有关。

RSA私钥必须得到严格保护,以防止被泄露,而RSA公钥则可以公开发布。

否则,如果RSA私钥遭到泄露,攻击者可以利用这个漏洞来破解RSA 保护的数据。

因此,为了确保RSA算法的安全性,必须采取适当的安全措施来保护RSA私钥。

这包括使用可靠的密钥管理系统,确保保护RSA私钥的计算机系统不被攻击,并对密钥进行定期更换等。

综上所述,RSA算法的安全级别取决于密钥长度和密钥的安全保护。

选择适当的密钥长度和采取适当的安全措施可以确保RSA算法在今天的计算环境中保持其强大的安全性。

RSA公钥加密算法及其安全性讨论

RSA公钥加密算法及其安全性讨论

RSA公钥加密算法及其安全性讨论RSA algorithm for public-key encryption and its security摘要:RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。

RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。

但是,RSA的安全性依赖于大数的因子分解,却并没有从理论上证明破译RSA的难度与大数分解难度等价,即RSA的重大缺陷是无法从理论上把握它的保密性能到底如何。

随着计算能力的不断进步和各种攻击方法的出现,RSA算法是否真的安全。

关键词:RSA,公钥,加密,大数分解,攻击,安全性1 RSA加密算法1.1公钥简介密码体制按密钥类型分为对称密钥和不对称密钥。

对称密钥即加密、解密用的是同一个密钥,又称为私钥。

不对称密钥即公钥加密,加密、解密用的是不同的密钥,一个密钥“公开”,即公钥,另一个自己秘密持有,即私钥,加密方用公钥加密,只有用私钥才能解密——史称公钥加密体系:PKI。

1.2 RSA算法简介RSA加密算法是一种非对称加密算法。

RSA加密算法是Ron Rivest、Adi Shamirh和Len Adleman于1977年在美国麻省理工学院开发出来的,次年首次对外公开宣布,是第一个既能用于数据加密也能用于数字签名的算法。

RSA就是他们三人姓氏开头字母拼在一起组成的。

RSA是建立在“大整数的素因子分解是困难问题”基础上的,其安全性取决于大数分解,也就是大数分解质因数的困难性。

换言之,对一极大整数做因式分解愈困难,RSA演算法愈可靠。

假如有人找到一种快速因式分解的演算法的话,那么用RSA加密的信息的可靠性肯定会急剧下降,但找到这样的演算法的可能性是非常小的,今天只有短的RSA钥匙才可能被强力方式解破。

到2008年为止,世界上还没有任何可靠的攻击RSA算法的方式。

RSA公钥密码算法

RSA公钥密码算法

RSA公钥密码算法RSA算法是一种非对称加密算法,是目前最广泛应用的公钥密码体制之一。

RSA算法是由 Rivest、Shamir 和 Adleman 三人在1977年提出的,它是基于对大数进行因数分解的困难性的数论问题而设计的。

RSA算法可以用于加密、签名和密钥交换等多种应用。

RSA算法的原理是很简单的,它采用一对密钥,分别为公钥和私钥。

公钥用于加密数据,私钥用于解密数据。

RSA算法的安全性基于一个数论问题,即将两个大质数相乘很容易,但将一个大数分解为两个质数却极为困难。

在RSA算法中,公钥是由两个质数的乘积N和一个公共指数e组成。

私钥是由质数的乘积N和一个私有指数d组成。

公钥可以公开,而私钥需要保密。

RSA算法的加密过程如下:假设要加密的数据为M,加密后的数据为C,公钥为(N,e)。

将M转化为一个数m,并满足0<=m<N。

然后,通过计算C = m^e mod N来进行加密,即对m 的e次方进行模N运算。

最终得到的C就是加密后的数据。

RSA算法的应用非常广泛。

最常见的应用是在网络通信中的安全传输,比如在网上购物、网银转账等过程中,常常会使用RSA算法来加密用户的敏感信息,以保护用户的隐私和安全。

RSA算法还可以用于数字签名,用来验证数据的完整性和真实性。

在密钥交换中,RSA算法也是一种常用的方式,可以安全地传输对称加密算法的密钥。

RSA算法也存在一些缺点。

RSA算法的加解密速度较慢,尤其是当加密的数据较大时,效率更低。

RSA算法的安全性依赖于大质数的选取和密钥的保密性,如果质数选取不当或者私钥泄露,都会导致整个系统的安全性受到威胁。

RSA算法是一种非对称加密算法,通过对大数进行因数分解的困难性来实现安全加密和解密。

它具有广泛的应用领域,比如网络通信、数字签名和密钥交换等。

RSA算法的安全性和效率问题需要仔细考虑和解决。

公钥密码体制(RSA)算法及安全性

公钥密码体制(RSA)算法及安全性

公钥密码体制(RSA)算法及安全性探析□宣克祥【摘要】作为现代经典加密技术,无论是数据加密标准(DES)还是高级加密标准(AES),都是一种私钥密码体制,其安全性是由其密钥的私密性来保证的;而RSA则是一种公钥密码体制,不仅加密算法本身可以公开,甚至加密用的密钥也可以公开。

本文对公钥密码体制RSA算法原理、具体实现过程及安全性进行深入探讨和分析。

【关键词】RSA算法;加密标准;信息安全【作者单位】宣克祥,解放军国际关系学院1976年,美国斯坦福大学的威特菲尔德·笛福(Whit-field Diffie)和马丁·赫尔曼(Martin Hellman)在题为《密码学的新方向》的论文中提出了一种崭新的思想,不仅加密算法本身可以公开,甚至加密用的密钥也可以公开,这种密码体制被称作非对称式公钥密码体制。

1978年,美国麻省理工学院的隆·里维斯特(Ronald L.Rivest)、阿迪·沙米尔(Adi Shamir)和雷奥纳德·阿德曼(Leonard M.Adleman)提出了迄今为止理论上最成熟、最成功的RSA公钥密码体制,它变革了已使用几千年的对称密钥技术。

在公开密钥加密技术中,加密密钥与解密密钥是不一样的。

如果要向对方发送消息,可以先用对方的公开密钥加密要发送的消息;对方收到消息后,可用自己的私钥解密。

加密密钥是公开的,谁都可以找到,然而,以其加密的消息却必须用接收者保留的私钥才能解密,因而别人无法阅读该消息。

一、RSA算法简介RSA公钥密码体制的安全性是基于数论中的大整数因子分解:两个大质数p和q相乘得到乘积n,在min(p,q)与(p-1)(q-1)之间选取另一个数d,该数与(p-1)(q-1)互质,即两者之间没有公因子,然后用如下公式计算出e:ed mod(p-1)(q-1)=1假如明文块用M表示,密文块用C表示,那么RSA的加密过程为:Me mod n=CRSA的解密过程即为:C d mod n=M假如选定了两个小的质数11和23,那么n=11ˑ23= 253。

RSA公钥密码算法

RSA公钥密码算法RSA公钥密码算法是一种非对称密码算法,由三位数学家Rivest、Shamir和Adleman于1977年提出,它利用了两个大素数的乘积的因子难以分解的特性来确保数据的安全性。

RSA算法一直被广泛应用于加密通信、数字签名和身份认证等领域,在信息安全领域具有非常重要的地位。

RSA算法的安全性基于大数分解猜想,该猜想认为任何一个大数都可以分解成几个素数的乘积。

目前为止,尚未有有效的算法可以在合理的时间内对大数进行分解,因此RSA算法在理论上是安全的。

这种安全性使得RSA算法成为了目前最为安全和可靠的非对称密码算法之一。

RSA算法的原理比较简单,它使用了两个密钥来进行加密和解密操作,分别是公钥和私钥。

公钥用于加密数据,私钥用于解密数据,这种设计使得数据的发送方和接收方都可以安全地进行通信而不必担心数据的泄露。

简单来说,RSA算法的流程如下:1. 选择两个大素数p和q,并计算它们的乘积n,n=pq。

2. 计算n的欧拉函数φ(n)=(p-1)(q-1)。

3. 选择一个整数e,使得1<e<φ(n),并且e与φ(n)互质。

4. 计算e的模φ(n)的乘法逆元d,即de≡1(mod φ(n))。

5. 公钥是(n, e),私钥是(n, d)。

6. 加密数据m时,使用公钥(n, e)进行加密运算后得到密文c,c≡m^e(mod n)。

7. 解密密文c时,使用私钥(n, d)进行解密运算后得到明文m,m≡c^d(mod n)。

通过上述流程,我们可以看到RSA算法的加密和解密操作分别使用了公钥和私钥,这样就保证了数据的安全性。

RSA算法还可以用于数字签名,可以通过私钥对数据进行签名,然后可以由持有公钥的人验证签名的有效性,这样就可以确保数据的完整性和真实性。

除了加密通信和数字签名外,RSA算法还可以用于身份认证,因为私钥是唯一的,可以用于证明数据的来源身份。

RSA算法还可以用于密钥交换,可以通过RSA算法协商一个对称密钥,然后使用对称密钥进行加密通信,这样可以提高数据传输的效率和安全性。

rsa 公钥密码算法

rsa 公钥密码算法摘要:1.什么是RSA公钥密码算法2.RSA算法的基本原理3.RSA算法的应用领域4.RSA算法的安全性5.RSA算法的发展趋势正文:RSA公钥密码算法是一种非对称加密算法,由三位数学家Ron Rivest、Adi Shamir和Leonard Adleman于1977年发明。

该算法以其公开密钥和私有密钥的组合而闻名,允许用户以一种安全的方式进行加密和解密。

RSA算法的基本原理是利用两个大素数的乘积来生成公钥和私钥。

公钥由两个大素数的乘积以及一个与这两个素数互质的整数构成。

私钥则由两个大素数的乘积以及一个与这两个素数互质的整数构成。

公钥用于加密数据,私钥用于解密数据。

RSA算法的应用领域非常广泛,主要包括网络安全、电子商务、数字签名等。

在网络安全领域,RSA算法常用于保护数据的机密性和完整性;在电子商务领域,RSA算法常用于保护用户的账户信息和安全支付;在数字签名领域,RSA算法常用于验证文件的完整性和身份认证。

RSA算法的安全性主要取决于密钥的长度和生成方式。

如果密钥足够长,那么破解RSA算法将变得非常困难。

此外,RSA算法还采用了一种称为“公钥加密”的方式,使得即使密钥被盗,数据的安全性也不会受到影响。

随着计算机技术的发展,RSA算法的安全性面临着越来越大的挑战。

为了应对这些挑战,研究人员不断地提出了新的改进方案,如RSA-2048、RSA-4096等。

此外,一些新的非对称加密算法,如椭圆曲线密码算法,也在逐渐取代RSA算法。

总之,RSA公钥密码算法是一种非常重要的非对称加密算法,在现代通信和网络安全领域发挥着重要作用。

RSA算法研究及其安全性分析

RSA算法研究及其安全性分析1、前言随着Internet的迅猛发展,基于Internet的各种应用也日新月异,日益增长。

但是,由于Internet是一个极度开放的环境,任何人都可以在任何时间、任何地点接入Internet获取所需的信息,这也使得在Internet上信息传输及存储的安全问题成为影响Internet应用发展的重要因素。

正因为如此,信息安全技术也就成为了人们研究Internet应用的新热点。

信息安全的研究包括密码理论与技术、安全协议与技术、安全体系结构理论、信息对抗理论与技术、网络安全与安全产品等诸多领域。

在其中,密码算法的理论与实现研究是信息安全研究的基础。

而确保数据加密算法实现的可靠性和安全性对于算法理论应用到各种安全产品中起到了至关重要的作用。

对各类电子信息进行加密,以保证在其存储,处理,传送以及交换过程中不会泄露,是对其实施保护,保证信息安全的有效措施。

RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在(美国麻省理工)开发的。

RSA取名来自开发他们三者的名字。

RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的所有密码攻击,已被ISO推荐为公钥数据加密标准。

RSA 算法基于一个十分简单的数论事实:将两个大素数相乘十分容易,但那时想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。

2、什么是RSARSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。

RSA是被研究得最广泛的公钥算法,从提出到现在已近二十年,经历了各种攻击的考验,逐渐为人们接受,普遍认为是目前最优秀的公钥方案之一。

RSA的安全性依赖于大数的因子分解,但并没有从理论上证明破译RSA的难度与大数分解难度等价。

即RSA的重大缺陷是无法从理论上把握它的保密性能如何,而且密码学界多数人士倾向于因子分解不是NPC问题。

RSA的缺点主要有:A)产生密钥很麻烦,受到素数产生技术的限制,因而难以做到一次一密。

密码学 第五章 公钥密码


2016/3/8
8
模运算

同余的性质



若n|(a-b),则a≡b mod n (a mod n) ≡(b mod n),则a≡b mod n a≡b mod n,则b≡a mod n a≡b mod n, b≡c mod n,则a≡c mod n

求余运算a mod n将a映射到集合 {0,1,…,n-1},求余运算称为模运算
26
2016/3/8
离散对数




定理:设a的阶为m,则ak≡1mod n的充分必 要条件是k是m的倍数。 推论:a的阶整除j(n)。 本原根:a的阶m等于j(n),a为n的本原根。 如果a是n的本原根,a1,a2,...,a j(n)在模n下互不 相同且与n互素。 本原根不唯一。 并非所有元素都有本原根,仅有以下形式的整 数才有本原根:2,4,pa,2pa, p是奇素数
27
2016/3/8
离散对数

指标


y=ax(a>0,a≠1)的逆函数称为以a为底的对 数,记为x=logay 设p为素数,a是p的本原根,则a0,a1,...,a p-1 产生1到p-1中所有值,且每个值只出现一次。 对任一b∈{1,…,p-1},都存在唯一的i(1≤i ≤p),使b≡ai mod p。i称为模p下以a为底b 的指标,记为i=inda,p(d)

2016/3/8
若返回False,n不是素数,若返回True,有可能是素数。
19
素性检测


For循环结束,有d≡an-1 mod n.由费尔玛定理, 若n为素数,d为1.所以d≠1,则d不是素数 n-1≡-1 mod n,所以x ≠1和x ≠n-1指x2≡1 mod n 有非±1的根,n不是素数
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2104
2048 bit
2117
4096 bit
2157
分解时间
(1 GHz的CPU)
66 年 4026 年 462 万年 4620 亿年 594 万亿年 4×1014 万亿年
二、由N和e求d的难度分析
假设能够由 N 和 e 求出d , 则由
ed 1 (mod (N)) (N) | ed 1
故可得到 (N ) 的一个倍数 ed - 1。
RSA的参数选取原则
(1)两个素数 p 和 q 不能选择的太接近。 (2)p±1和q±1应有大的素因子。
一般取p-1=2p*是素数 p*的2倍,这样的素 数称为安全素数。 (3)脱密密钥d不能选择的太小。
当脱密指数的位数小于模数N的位数的四 分之一时,就可求出d。 (4)加密密钥e不能选择的过小。
ed 1 mod(N)
公开参数:N , e 保密参数:p, q, d
保密 加密: A me mod N c B
通信 脱密: B : cd mod N m
一、大合数分解进展
RSA的安全性基础:大合数分解的困难性
目前分解大合数的最好算法是数域筛法,其计
算复杂性是亚指数时间:
1
2
O(e ) (1.923o(1))(ln N ) 3 (ln ln N )3
(1) 若gcd(w, N) 1
可以分解 N
(2) 若gcd(w, N) 1
N | (w2s1r 1)(w2s1r 1) N N| w| 2(sw1r2s21r 且1)N(w|2sw22rs1r1)1 N | w2…s2 r…1…且…N | w2s2 r 1
(wr 1)(wr 1)
对要于有可一t以=个分s-满1解,…足N,1,0, 只
we
w(mod
q)
we w(mod p)的解的个数为 1 gcd(e 1, p 1) we w(mod q) 的解的个数为 1 gcd(e 1, q 1)
三、不动点攻击
we (mod N) w的解的个数就是 [ 1 gcd(e 1, p 1)][1 gcd(e 1, q 1)]
这就是RSA体制的不动点的个数。
N|x
N | x y, 但 N | y
gcd(x, N ) p11或, pq, q, NN
可以分解 N
证毕
二、由N和e求d的难度分析
定理1 如果已知 (N ) 的一个倍数 R ,则就可
以在概率多项式时间内分解大合数N。
证明:
不妨设 R 2s r , s 1, r 为奇数 则对任意的非零 w Z N
证毕
二、由N和e求d的难度分析
d
(N) 的倍数
(N) 的倍数
分解 N
d 分解 N
分解 N d
求 d 的难度 分解 N 的难度
三、不动点攻击
定义 如果
me (mod N) m
则称 m 为RSA的一个不动点。
特点: (1) 密文就是明文,因而直接暴露了明文。
三、不动点攻击
(2) 利用一个非零不动点可以超过1/2的概率分解N 对于任一非零不动点 w
sei tej 1 ci , c j
m msei tej (mod N )
m m eis ejt
cis.ctj
结论:系统之外的用户可以对共模 RSA 协议 的通播消息进行破译。
总结
➢分解大合数 N ➢求解脱密密钥 d ➢不动点
1、RSA是强度很高 的一种密码体制;
➢选择密文 ➢共模体制
2、RSA在实现中若使用不 当,则会造成安全隐患。
密码学
第五章 公钥密码
5.2 RSA安全性分析
5.2 RSA安全性分析
1
大合数分解进展
2 由N和e求d的难度分析
3
不动点攻击
4 共模RSA体制的分析
回顾RSA密码体制
选取两个大素数 p , q,计算
参数 N = pq , (N) lcm( p 1, q 1)
选取 选取 e , gcd(e, (N)) = 1, 求 d 使得
结论:求d 的难度 求 (N倍)数的难度
二、由N和e求d的难度分析
下面我们将证明
定理1 如果已知 (N ) 的一个倍数 R ,则
就可以在概率多项式时间内分解大合数 N。
求 (N倍)数的难度
分解大合数 N 的难度
二、由N和e求d的难度分析
引理1 若 a 为小于 N 的自然数, 且 gcd(a, N ) 1
c1 m1 c2 m2
c1c2 m1m2
四、共模RSA体制的分析
RSA共模体制:在网络环境中,所有用户 共用一个相同的模数 N。
(1)任一个用户A 均可由其密钥对
(eA, dA)
用户A可分解大合数 N
eB
dB
结论:系统中的任何一个用户都能破译其它 用户加密的信息。
四、共模RSA体制的分析
(2)通播信息是不安全的
显然,不动点数越多,对RSA的安全性威胁越大, 而错乱指数是使得不动点最少的加密指数。
例:N 为1024比特,则明文空间中任一明文是不动点的
概率约为
91 21024 10307
选择密文攻击
同态性
E(m1m2 ) (m1m2 )e (mod N ) m1em2e E(m1)E(m2 ) (mod N )
则利用 a 可以分解 N .
证明:
aN N pq
gcd(a, N) 1
gcd(a, N ) 1p1或, pq, q, NN
可以分解 N
证毕
二、由N和e求d的难度分析
引理2 设自然数 x, y 满足
N | x y, 但 N | x, N | y
则利用 x, y 可以分解 N .
证明:
N pq
设一个用户A要向 r 个用户发送同一信息 m, 则可得密文:
c1 me1 , c2 me2 , , cr mer (mod N )
若攻击者截获了密文 c1 , … , cr
当r 较大时,攻击者就可以很大的概率找到:
gcd(ei , ej ) 1
四、共模RSA体制的分析
从而就可由欧几里德算法求出s 和t,使得:
N |可(w以2t r分解1)(Nw2t r 1) N | w2t r 1 且 N | w2t r 1
就可以分解 N .
二、由N和e求d的难度分析
在{1, 2, …, N-1}中, 随机选取 1 个 w , 能够分 解N的概率 1
2
在{1, 2, …, N-1}中随机选取 1 个 w , 不能分 解N的概率 1
(1) 若gcd(w, N) 1 可以分解 N
二、由N和e求d的难度分析
(2) 若gcd(w, N) 1
w(N ) 1mod N (N) | R 2s r
w2s r 1mod N
N | w2s r 1 s 1
N | (w2s1r )2 1
二、由N和e求d的难度分析
对(N)的一个倍数R=2s r , 任取w∈{1, 2, …, N-1}
2003 J. Franke 576 RSA-174
2005 F. Bahr
640 RSA-193
分解RSA-193使用了80 个 2.2 GHz的CPU 用时 5 个月
一、大合数分解进展
合数规模与分解难度的关系
合数规模 计算复杂性
640 bit
271
768 bit
2771024 bit源自2871536 bit
例: 分解2048位大合数的复杂性为:2117 . 一个 1 GHz的CPU需工作 594 万亿年.
一、大合数分解进展
RSA 模数分解纪录
Year Who Size(bit) Number
1992 Atkins
428 RSA-129
1998 Montgomery 465 RSA-140
1999 Montgomery 512 RSA-155
2
随机选取 k 个 w 都不能分解N 的概率
1 2
k
二、由N和e求d的难度分析
反之, 随机选取 k 个 w , 能够分解 N 的概率
1
1 2
k
例: k = 30,则利用欧几里德算法以
式已时知间内(N分)1的解2一1N30 个。≥0倍.9数999R9,99就99可以在概率多项
的概率分解 N
gcd(w, N)≠1
可以分解N
gcd(w, N) = 1 可以超过1/2的概率分解 N
we (mod N) w we1(mod N ) 1 N | we1 1 (w(e1)/2 1)(w(e1)/2 1)
三、不动点攻击
RSA不动点的个数
即同余方程 we (mod N) w的解的个数
we w(mod p)
三、不动点攻击
(e 1), ( p 1), (q 1) 均为偶数 gcd(e 1, p 1) 2, gcd(e 1, q 1) 2
RSA体制的不动点的个数
[ 1 gcd(e 1, p 1)][1 gcd(e 1, q 1)] ( 1 2) (1 2) 9
三、不动点攻击
定义 使 gcd(e-1, p-1) = 2 且 gcd(e-1, q-1) = 2 的 加密指数 e 称为错乱指数。