Регистрация Войти
Рейтинг:7
avatar Crypto

Были ли когда-либо реальные последствия использования вероятностных тестов простоты для RSA или других подобных систем?

флаг et
user93353

Учитывая огромное количество сертификатов RSA, которые были сгенерированы, не будет ли, вероятно, небольшого количества сертификатов, в которых одно из простых чисел могло быть составным? Было ли это когда-нибудь проблемой в дикой природе?

Я думаю, что RSA с таким p&q не сможет проверить и расшифровать подпись. Так что в этих случаях я не думаю, что инструменты выдадут правильное сообщение об ошибке, и это может привести к серьезной путанице.

И если составное число на самом деле является числом Кармайкла, то я думаю, что RSA будет работать так, как предполагалось, но будет менее безопасным, чем предполагалось.

Я знаю, что при достаточном количестве раундов алгоритма Миллера-Рабина вероятность чего-то подобного очень мала. Но мне просто интересно, произошло ли это и было ли обнаружено

872
2 + 5
Eugene Styer avatar
флаг dz
Eugene Styer
Связано: https://crypto.stackexchange.com/questions/13083/rsa-with-composite-numbers
1
Ответить
Fractalice avatar
флаг in
Fractalice
Вам также нужно умножить это на вероятность первого попадания в число Кармайкла, которое само по себе очень-очень мало.
1
Ответить
флаг cn
j.p.
Обычно количество тестов Миллера-Рабина устанавливается таким образом, что вероятность ошибки *доказуемо* ниже $2^{-80}$ (или даже меньше), но реальная вероятность ошибки, вероятно, намного меньше, чем можно доказать.
1
Ответить
флаг br
Barmar
И тогда вам придется умножить на вероятность того, что кто-то пытается взломать связь кого-то с помощью скомпрометированных сертификатов.
1
Ответить
John Coleman avatar
флаг jp
John Coleman
PGP обошелся чем-то гораздо более слабым, чем Миллер-Рабин (просто тест Ферма с 2,3,5,7). Я не думаю, что это когда-либо приводило к какой-либо практической проблеме. Вы можете обмануть такие тесты, но сделать это случайно очень и очень маловероятно.
1
Ответить
Рейтинг:15
avatar Crypto
флаг us
Mikero

Вероятность случайно ошибочно принять составное за простое число, которое вы выбрали сами, чрезвычайно мало и поддается количественной оценке, как упоминали другие. Именно такая ситуация рассматривается при стандартном анализе рандомизированных тестов на простоту.

Однако есть и проблема кого-то злонамеренно создание композита, который тесты на простоту ошибочно принимают за простое число. Это может произойти с гораздо большей вероятностью. Бумага Прайм и предубеждение Альбрехта, Массимо, Патерсона и Соморовского показывает, как это сделать. В частности, они показывают, как создать 2048-битный композит, который OpenSSL ошибочно принимает за простое число с вероятностью 1/16, даже если он якобы настроен на обнаружение простых чисел с ошибкой. $2^{-80}$. В документе также описываются некоторые проблемные последствия возможности создания композитов такой формы.

Насколько я знаю, основные тесты на простоту в криптобиблиотеках были исправлены в ответ на эту статью.

0 + 0
Рейтинг:3
Ievgeni avatar Crypto
флаг cn
Ievgeni

Я думаю, важно смотреть, что здесь «очень мелко»:

В Эта бумага (пример 6), написано, что для RSA$-2048$ что вероятность ложноположительного результата ограничена сверху $\фракция{1}{10^{80}}$.

Я сделал расчет с вольфрам Альфа для меньшего ключа (RSA$-512$):

Он ограничен сверху $2^{-73}$, таким образом, это также кажется незначительным для реального варианта использования.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.