Рейтинг:1

Уязвимость RSA, когда зашифрованное M не взаимно просто с N

флаг kr

Я проверил несколько тестовых случаев, похоже, что зашифрованный текст $М^е$ RSA всегда взаимно прост с N, когда e=3. Есть ли причина, почему? Что произойдет, если зашифрованный текст $М^е$ не взаимно прост с M, когда e=3?

fgrieu avatar
флаг ng
Когда $(N,e)$ является действительным открытым ключом RSA, где $N$ является произведением двух различных секретных простых чисел $p$ и $q$, существует вероятность $1/p+1/q$, что случайное сообщение $M $ таков, что $M^e$ не взаимно прост с $N$. Поскольку и $p$, и $q$ должны быть большими (сотни десятичных цифр) для обеспечения безопасности RSA, при фактическом использовании RSA этой вероятностью можно пренебречь. Вопрос заключается в рассмотрении того, что в реальном использовании не произойдет для случайного или псевдослучайного $M$ или для $M\in[1,N)$, выбранного тем, кто не знает (и не может найти) факторизацию $N$. .
kelalaka avatar
флаг in
RSA - это перестановка с лазейкой. Вам это о чем-нибудь говорит?
Рейтинг:3
флаг gb

Когда $N = pq$ является произведением двух простых чисел, единственных чисел, которые не взаимно просты с $N$ те, которые содержат либо $р$ или же $q$ как фактор. Безусловно, можно иметь $М^3$ делится либо на $р$ или же $q$ так что ваше замечание в общем случае не соответствует действительности. Пример:

$$ М = 42\ Н = 7*13 = 91\ М^3 \экв 14 \pmod{91} $$ Ясно, что 14 и 91 не взаимно просты — они оба разделяют $7$ как фактор. Вычисление НОД $с = М^3$ и $N$ таким образом утечки $7$ как фактор $N$, нарушая RSA.

Chen avatar
флаг kr
Хорошо, я не подумал об этом.В этом случае это серьезная уязвимость в системе безопасности, поскольку, взяв НОД зашифрованного текста (C) и N, можно получить p или q?
Chen avatar
флаг kr
Решит ли проблему использование OAEP на C, не взаимно простом с N?
fgrieu avatar
флаг ng
@Chen: я не понимаю, что вы имеете в виду под «использованием OAEP на C»; но использование OAEP для создания входных данных $M$ для необработанного шифрования RSA $M\mapsto C=M^e\bmod N$ для безопасного в остальном $N$ практически наверняка «решит проблему», если она была. Теперь мы можем безопасно шифровать числа, кратные $p$ или $q$. Опять же, даже если не использовать OAEP, нет никакой практической проблемы, потому что выбор $M$ или $C$ в $[1,n)$ с $\gcd(C,N)\ne1$ невозможен для человека, не знающего ( ни в состоянии найти) факторизацию $N$.
Chen avatar
флаг kr
Извините, я хотел использовать OAEP на M. Вы имеете в виду, что выбрать M, который дает $ gcd (C, N) - 1 $, невозможно, не зная p и q?
Chen avatar
флаг kr
а почему это невозможно? Будет ли это по-прежнему возможно с вероятностью успеха 1/p + 1/q?
meshcollider avatar
флаг gb
@Chen, это ничем не отличается от злоумышленника, который просто угадывает случайные множители $N$ :)
poncho avatar
флаг my
@Chen: для практических размеров $p, q$, то есть $2^{-1024}$ или меньше, $1/p + 1/q$ фактически «невозможно»

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.