Рейтинг:0

Атака подслушивания на стандартное шифрование RSA с общедоступным одноразовым номером

флаг in

Рассмотрим следующий сценарий: у Алисы есть пара секретный и открытый ключи для учебника RSA (обозначается $\текст{ск}$ и $\текст{пк}$ соответственно). У Боба есть подлинная копия $\текст{пк}$. У противника есть подлинная копия $\текст{пк}$.

Теперь Боб хочет отправить $\text{ПИН-код}$ Алисе, которая представляет собой четырехзначное число. Он шифрует следующим образом: сначала он выбирает одноразовый номер $N_0$ (число, выбранное случайным образом из очень большого домена). Затем он отправляет шифрование: $c = N_0 \mathbin\| \operatorname{RSA}(\text{pk}, [\text{PIN}\mathbin\| N_0]) = N_0 \mathbin\| [\text{ПИН-код} \mathbin\| N_0]^e \bmod N$ куда $(е,N)$ является открытым ключом RSA.

Иначе говоря, он создает новое сообщение $â\text{PIN} \mathbin\| N_0$ (можно предположить, что он умеет встраивать $[\text{ПИН-код}\mathbin\|N_0]$ как число в $\{1, 2, ..., N-1\}$) и шифрует это с помощью учебника RSA. Он также отправляет номер $N_0$ Алисе «в чистоте».

Покажите атаку, которая позволяет противнику изучить $\text{ПИН-код}$ используя только атаку подслушивания.

Я просто не знаю, как начать с этой проблемы. Я понимаю, что учебник rsa создает зашифрованный текст с $\operatorname{Enc}(e, m) = m^e\bmod N$, но я не знаю, как получить $\text{ПИН-код}$ если я не могу вмешиваться в сообщения. Любая помощь будет оценена по достоинству.

Я пытался решить некоторые вещи, и я пришел к другой проблеме. Поскольку у PIN-кода относительно небольшое количество возможностей, могу ли я просто использовать атаку грубой силы? Поскольку противник знает зашифрованный текст, e, N0, и имеет доступ к открытому ключу, я мог бы просто продолжать пробовать разные PIN-коды, верно?

poncho avatar
флаг my
Подсказка: предположим, вы угадали PIN-код — как бы вы проверили эту догадку?
fgrieu avatar
флаг ng
При редактировании вопроса я позволил себе заменить неоднозначные вхождения $a=b\pmod N$ на $a=b\bmod N$, что является желаемым значением в контексте RSA. Напомним, что $a\equiv b\pmod N$ означает, что $b-a$ кратно $N$, а $a=b\bmod N$ дополнительно означает $0\le a
fgrieu avatar
флаг ng
Да, вы нашли атаку.Теперь вам лучше всего написать ответ на свой вопрос (вы сможете принять его через несколько дней) или удалить вопрос.
Рейтинг:1
флаг us

RSA является детерминированным. Это означает, что если вы дважды зашифруете одно и то же сообщение, используя один и тот же открытый ключ, два зашифрованных текста будут абсолютно одинаковыми.

Поскольку противник знает оба $N_0$ и $E_{pk}(PIN || N_0)$, противник может угадать PIN-код $PIN_{угадай}$ и проверить их предположение, вычислив $E_{pk}(PIN_{угадать} || N_0)$ и проверить, равно ли оно $E_{pk}(PIN || N_0)$.

Поскольку PIN-код состоит из 4 цифр, злоумышленник может проверить все PIN-коды.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.