Рейтинг:3

RSA: угроза безопасности, если злоумышленник знает длину значений P и Q?

флаг in

Является ли это угрозой безопасности — или, возможно, насколько велика угроза безопасности — если злоумышленник знает длину значений P и Q, используемых при получении значения параметра N в алгоритме шифрования RSA?

Я кое-что читал о реализациях RSA и вижу, что некоторые требуют, чтобы P и Q были одинаковой длины, в то время как другие имеют минимальную длину для P или Q, поэтому, имея это в виду, вероятно, стоит спросить, есть ли минимальная длина P или Q при использовании RSA (на практике)?

kelalaka avatar
флаг in
Нет. Самый большой риск — это плохая случайность [GCD наносит ответный удар RSA в 2019 году — хорошая случайность — единственное решение?] (https://crypto.stackexchange.com/q/76757/18298) и факторизация Ферма, если простые числа близки.Минимальная длина гарантирует, что у вас есть простое число больше min, так что у вас, скажем, 2048-битный RSA. И легко сгенерировать случайное простое число в каждом интервале.
Рейтинг:14
флаг cn

Это не представляет угрозы безопасности на протяжении всей $P$ и $Q$ быть известным. На самом деле длина $P$ и $Q$ обычно известно, потому что большинство стандартов требуют $P$ и $Q$ иметь одинаковую длину и для общего модуля $N = P \cdotQ$ иметь двойную длину (что исключает значения $P$ и $Q$ которые оба $n$-битное число, произведение которого находится между $2^{2n-2}$ и $2^{2n-1}$).

Итак, если вы знаете, что $2^{2n-1} < N < 2^{2n}$ и ключ был сгенерирован типичной реализацией, то $2^{n-1} <P <2^n$ и $2^{n-1} < Q < 2^n$. На самом деле, некоторые реализации даже заставляют два старших бита простых чисел быть равными 1, т.е. $3 \cdot 2^{n-2} < P,Q < 2^n$, что гарантирует $N \ge 2^{2n-1}$ и не уменьшает значительно пространство закрытого ключа.

Ключ RSA может быть таким же сильным, как наименьшее простое число, поэтому на самом деле не имеет смысла, чтобы простые числа имели разные размеры. Если одно простое число больше другого, это замедляет вычисления, но не повышает безопасность.

Вы можете увидеть минимальные длины ключей для RSA («модуль факторинга»), рекомендованные некоторыми авторитетами на keylength.com. Разделите на два, чтобы получить размер двух простых чисел.

Chrᴉz remembers Monica avatar
флаг us
_...типичная реализация, затем 2n÷1
Steve Cox avatar
флаг ro
_Наличие простого числа больше другого замедляет вычисления без повышения безопасности_ Что ж, лучше, чтобы одно из простых чисел было меньше другого, и если они слишком близки, происходит [простая атака](https://math.stackexchange.com/ вопросов/3754984/объясните-почему-мы-не-должны-выбирать-простые-p-и-q-которые-слишком-близки-вместе-к-f), что подрывает систему. Может помочь уточнить, что вы просто говорите о битовой длине, простые числа должны быть хорошо разделены.
Рейтинг:7
флаг my

Жиль ответил на ваш первый вопрос, так что я отвечу на ваш второй:

вероятно, стоит спросить, существует ли минимальная длина P или Q при использовании RSA (на практике)?

Да; существуют алгоритмы факторизации, которые требуют времени на основе самого короткого фактора и работают значительно быстрее, чем пробная факторизация. Лучший из них метод эллиптических кривых (ЭКМ); используя его, кто-то нашел 276-битный множитель большого композита ($7^{337}+1$); следовательно, было бы разумно убедиться, что меньший фактор значительно больше этого.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.