C i= LSi(i-1) Di = LSi(Di-1)
CHƯƠNG 5 MÃ HÓA KHÓA CÔNG KHA
5.3.2 an toàn của hệ RSA
Một nhận định chung là tất cả các cuộc tấn công giải mã đều mang mục đích không tốt. Tính bảo mật của RSA chủ yếu dựa vào việc giữ bí mật khóa giải mã hay giữ bí mật các thừa số p,q của N. Ta thử xét một vài phương thức tấn công điển hình của kẻ địch nhằm giải mã trong thuật toán này (nhằm xâm phạm tới các yếu tố bí mật đó).
Trường hợp 1: Chúng ta xét đến trường hợp khi kẻ địch nào đó biết được mođun N, khóa công khai KB và bản tin mã hóa C, khi đó kẻ địch sẽ tìm ra bản tin gốc (Plaintext) như thế nào.
Ðể làm được điều đó kẻ địch thường tấn công vào hệ thống mật mã bằng hai phương thức sau đây:
• Phương thức thứ nhất: Trước tiên dựa vào phân tích thừa số mođun N. Tiếp theo sau chúng sẽ tìm cách tính toán ra hai số nguyên tố p và q, và có khả năng thành công khi đó sẽ tính được φ(N) = (p-1)(q-1) và khóa bí mật kB. Ta thấy N cần phải là tích của hai số nguyên tố, vì nếu N là tích của hai số nguyên tố thì thuật toán phân tích thừa số đơn giản cần tối đa N1/2 bước, bởi vì có một số nguyên tố nhỏ hơn N1/2. Mặt khác, nếu N là tích của n số nguyên tố, thì thuật toán phân tích thừa số đơn giản cần tối đa N1/n bước.
• Phương thức thứ hai: Phương thức tấn công thứ hai vào hệ mã hóa RSA là có thể khởi đầu bằng cách giải quyết trường hợp thích hợp của bài toán logarit rời rạc. Trường hợp này kẻ địch đã có trong tay bản mã C và khóa công khai KB tức là có cặp (KB, C)
Trường hợp 2: Chúng ta xét trường hợp khi kẻ địch nào đó biết được mođun N và
φ(N), khi đó kẻ địch sẽ tìm ra bản tin gốc (Plaintext) bằng cách sau: Biết φ(N) thì có thể tính p,q theo hệ phương trình:
p×q = N, (p-1)(q-1) = φ(N)
do đó p và q là nghiệm của phương trình bậc hai: x2 - (n - φ(N) +1) + n = 0
Ví dụ: n=84773093, và biết φ(N) = 84754668.
Giải phương trình bậc hai tương ứng ta sẽ được hai nghiệm p=9539 và q=8887