CHƯƠNG 3 : TẤN CÔNG RSA VÀ CÁC BIẾN THỂ CỦA RSA
3.2. Tấn công vào biến thể của RSA
Vì các biến thể của RSA đều được xây dựng dựa trên cấu trúc của RSA, nên hầu hết các tấn công trên RSA đều có thể áp dụng vào. Do đó, trong phần này luận văn chỉ xét một số cuộc tấn công khai thác các đặc điểm khác biệt so RSA trong cấu trúc của các biến thể của nó.
3.2.1. Tấn công CRT-RSA
Vì CRT-RSA là một trường hợp đặc biệt của RSA, nên tất cả các tấn công trên RSA đều có thể áp dụng được với CRT-RSA. Trong phần này ta sẽ xét một số tấn công điển hình với CRT-RSA.
Nguyễn Thị Ngọc Anh – K16 – HTTT1
3.2.1.1. Tấn công khi số mũ CRT nhỏ
Khi số mũ CRT nhỏ có một vài tấn công có thể phân tích modulus.
(1). Tấn công của Galbraith, Heneghan và MCKee
Tấn công này sử dụng phân số liên tục và phương pháp Coppersmith để tìm các ẩn.
Định lý 3.9:
Với mọi ε>0, tồn tại một n0 để mọi n > n0 có: N=pq là một modulus n-bit với các số nguyên tố cân bằng. Gọi e = Nα là số mũ công khai và d là số mũ bí mật tương ứng của nó được định nghĩa theo modulo λ(N), dp = d mod p-1 và dq= d mod q-1 là các mũ CRT (dp, dq < Nδ). Với các mũ công khai có 1/4≤α≤3/4, nếu các mũ CRT thỏa mãn:
3 2 2 1
Thì modulus N có thể được phân tích trong thời gian đa thức n.
Tấn công này được chia làm hai giai đoạn:
- Giai đoạn một: kp và kq được tính bằng cách sử dụng phương pháp của Coppersmith:
Nhân hai phương trình khóa: edp kp 1 kpp và edq kq 1 kqqvới nhau ta được phương trình: 0 ) 1 ( ) 1 ( ) 1 ( ) 1 ( 2 q p q p p q q p q pd ed k ed k N k k k k d e
Tối giản phương trình này cho modulo e ta được phương trình:
) (mod 0 ) 1 ) 1 (N kpkq kp kq e
Trong đó kp và kq là các ẩn. Sử dụng phương pháp của Coppersmith sẽ tìm được các nghiệm nhỏ (x0,y0)=(kp, kq) của đa thức fe(x,y) (N 1)xy x y 1
modulo e khi:
3 2 2 1
- Giai đoạn 2: Tấn công sử dụng kp (hoặc kq )để phân tích modulus thành thừa số: Từ phương trình khóa edp = 1+ kp(p-1), ta có: ) (mod 1 k 1 e p p
Khi số mũ công khai lớn hơn số nguyên tố p (hoặc q), khi biết kp (hoặc kq) ta có thể tìm được các thừa số p và q. Khi số mũ công khai nhỏ hơn các số nguyên tố nhưng lớn hơn N1/4, ta có thể tính ~plà:
, mod 1 1 ~ e k
p p tương ứng với N1/4 bít ít ý nghĩa nhất của p. Sử dụng định lý 3.8, ta có thể tính các bít còn lại của p nên phân tích được modulus thành thừa số.