Рейтинг:7

Были ли когда-либо реальные последствия использования вероятностных тестов простоты для RSA или других подобных систем?

флаг et

Учитывая огромное количество сертификатов RSA, которые были сгенерированы, не будет ли, вероятно, небольшого количества сертификатов, в которых одно из простых чисел могло быть составным? Было ли это когда-нибудь проблемой в дикой природе?

Я думаю, что RSA с таким p&q не сможет проверить и расшифровать подпись. Так что в этих случаях я не думаю, что инструменты выдадут правильное сообщение об ошибке, и это может привести к серьезной путанице.

И если составное число на самом деле является числом Кармайкла, то я думаю, что RSA будет работать так, как предполагалось, но будет менее безопасным, чем предполагалось.

Я знаю, что при достаточном количестве раундов алгоритма Миллера-Рабина вероятность чего-то подобного очень мала. Но мне просто интересно, произошло ли это и было ли обнаружено

Eugene Styer avatar
флаг dz
Связано: https://crypto.stackexchange.com/questions/13083/rsa-with-composite-numbers
Fractalice avatar
флаг in
Вам также нужно умножить это на вероятность первого попадания в число Кармайкла, которое само по себе очень-очень мало.
флаг cn
Обычно количество тестов Миллера-Рабина устанавливается таким образом, что вероятность ошибки *доказуемо* ниже $2^{-80}$ (или даже меньше), но реальная вероятность ошибки, вероятно, намного меньше, чем можно доказать.
флаг br
И тогда вам придется умножить на вероятность того, что кто-то пытается взломать связь кого-то с помощью скомпрометированных сертификатов.
John Coleman avatar
флаг jp
PGP обошелся чем-то гораздо более слабым, чем Миллер-Рабин (просто тест Ферма с 2,3,5,7). Я не думаю, что это когда-либо приводило к какой-либо практической проблеме. Вы можете обмануть такие тесты, но сделать это случайно очень и очень маловероятно.
Рейтинг:15
флаг us

Вероятность случайно ошибочно принять составное за простое число, которое вы выбрали сами, чрезвычайно мало и поддается количественной оценке, как упоминали другие. Именно такая ситуация рассматривается при стандартном анализе рандомизированных тестов на простоту.

Однако есть и проблема кого-то злонамеренно создание композита, который тесты на простоту ошибочно принимают за простое число. Это может произойти с гораздо большей вероятностью. Бумага Прайм и предубеждение Альбрехта, Массимо, Патерсона и Соморовского показывает, как это сделать. В частности, они показывают, как создать 2048-битный композит, который OpenSSL ошибочно принимает за простое число с вероятностью 1/16, даже если он якобы настроен на обнаружение простых чисел с ошибкой. $2^{-80}$. В документе также описываются некоторые проблемные последствия возможности создания композитов такой формы.

Насколько я знаю, основные тесты на простоту в криптобиблиотеках были исправлены в ответ на эту статью.

Рейтинг:3
флаг cn

Я думаю, важно смотреть, что здесь «очень мелко»:

В Эта бумага (пример 6), написано, что для RSA$-2048$ что вероятность ложноположительного результата ограничена сверху $\фракция{1}{10^{80}}$.

Я сделал расчет с вольфрам Альфа для меньшего ключа (RSA$-512$):

Он ограничен сверху $2^{-73}$, таким образом, это также кажется незначительным для реального варианта использования.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.