Атака Винера

Атака Винера, названная в честь криптолога Майкла Дж. Винера, является типом криптографической атаки против алгоритма RSA. Атака использует метод непрерывной дроби, чтобы взломать систему при малом значении закрытой экспоненты ${\displaystyle d}$.

Прежде чем начать описание того, как работает атака Винера, стоит ввести некоторые понятия, которые используются в RSAШаблон:Sfn. Более подробную информацию см. в основной статье о RSA.

Для шифрования сообщений по схеме RSA используется открытый ключ - пара чисел ${\displaystyle (e,N)}$, для расшифрования - закрытый ключ ${\displaystyle (d,N)}$. Числа ${\displaystyle e,d}$ называются открытой и закрытой экспонентой соответственно, число ${\displaystyle N}$ - модулем. Mодуль ${\displaystyle N=pq}$, где ${\displaystyle p}$ и ${\displaystyle q}$ - два простых числа. Связь между закрытой, открытой экспонентой и модулем задаётся, как ${\displaystyle ed=1mod\phi (N)}$, где ${\displaystyle \phi (N)=(p-1)(q-1)}$ функция Эйлера.

Если по открытому ключу ${\displaystyle (e,N)}$ за короткое время можно восстановить ${\displaystyle d}$, то ключ уязвим: получив информацию о закрытом ключе ${\displaystyle (d,N)}$, у злоумышленников появляется возможность расшифровать сообщение.

Криптосистема RSA был изобретена Рональдом Ривестом, Ади Шамир и Леонардом Адлеманом и впервые опубликован в 1977 годуШаблон:Sfn. С момента публикации статьи криптосистема RSA была исследована на уязвимости многими исследователями.Шаблон:Sfn Большая часть таких атак используют потенциально опасные реализации алгоритма и пользуются явными условиями на какой-либо недочёт в алгоритме: общий модуль, малый открытый ключ, малый закрытый ключШаблон:Sfn. Так алгоритм атаки крипотографической атаки на алгоритм RSA с малым закрытым ключом был предложен криптологом Майклом Дж. Винером в статье, впервые опубликованной в 1990 году.Шаблон:Sfn Теорема Винера утверждает о том, что если выполняется условие малости ключа, то закрытый ключ может быть найден за линейное время.

В криптосистеме RSA Боб может использовать меньшее значение ${\displaystyle d}$, а не большое случайное число, чтобы улучшить производительность расшифровки RSA. Однако атака Винера показывает, что выбор небольшого значения для ${\displaystyle d}$ приведет к небезопасному шифрованию, в котором злоумышленник может восстановить всю секретную информацию, то есть взломать систему RSA. Этот взлом основан на теореме Винера, которая справедлива при малых значениях ${\displaystyle d}$. Винер доказал, что злоумышленник может эффективно найти ${\displaystyle d}$, когда ${\displaystyle d<\frac{1}{3}{N}^{\frac{1}{4}}}$.

Винер также представил некоторые контрмеры против его атаки. Два метода описаны ниже:Шаблон:Sfn

1. Выбор большого открытого ключа :

Заменить ${\displaystyle e}$ на ${\displaystyle e^{\prime }}$, где ${\displaystyle e^{\prime }=e+k\cdot \phi (N)}$ для некоторого большого ${\displaystyle k}$. Когда ${\displaystyle e^{\prime }}$ достаточно велик, то есть ${\displaystyle e^{\prime }>N^{\frac{3}{2}}}$, то атака Винера неприменима независимо от того, насколько мал ${\displaystyle d}$.

2. Используя китайскую теорему об остатках:

Выбрать ${\displaystyle d}$ так, чтобы и ${\displaystyle d_p=dmod(p-1)}$, и ${\displaystyle d_q=dmod(q-1)}$ были малы, но сам ${\displaystyle d}$ нет, то быстрое дешифрование сообщения ${\displaystyle C}$ может быть выполнено следующим образом:

1. Сначала вычисляется ${\displaystyle M_p=C^{d_p}modp}$ и ${\displaystyle M_q=C^{d_q}modq}$
2. Используя китайскую теорему об остатках, чтобы вычислить уникальное значение ${\displaystyle M\in {\mathbb{Z}}_{\mathbb{N}}}$, которое удовлетворяет ${\displaystyle M=M_{p}modp}$ и ${\displaystyle M=M_{q}modq}$. Результат ${\displaystyle M}$удовлетворяет ${\displaystyle M=C^{d}modN}$ как и требовалось. Дело в том, что атака Винера здесь неприменима, потому что значение ${\displaystyle dmod\phi (N)}$ может быть большим.

Шаблон:См. также

Поскольку

${\displaystyle ed=1(\mathrm{mod}\mathrm{lcm}(p-1,q-1)))}$,

то существует целое ${\displaystyle K}$ такое, что:

${\displaystyle ed=K\times \mathrm{lcm}(p-1,q-1)+1}$.

Стоит определить ${\displaystyle G=\gcd (p-1,q-1)}$ и подставить в предыдущее уравнение:

${\displaystyle ed=\frac{K}{G}(p-1)(q-1)+1}$.

Если обозначить ${\displaystyle k=\frac{K}{\gcd (K,G)}}$ и ${\displaystyle g=\frac{G}{\gcd (K,G)}}$, то подстановка в предыдущее уравнение даст:

${\displaystyle ed=\frac{k}{g}(p-1)(q-1)+1}$.

Разделив обе части уравнения на ${\displaystyle dpq}$, выходит что:

${\displaystyle \frac{e}{pq}=\frac{k}{dg}(1-\delta )}$, где ${\displaystyle \delta =\frac{p+q-1-\frac{g}{k}}{pq}}$.

В итоге, ${\displaystyle \frac{e}{pq}}$ немного меньше, чем ${\displaystyle \frac{k}{dg}}$, причём первая дробь состоит целиком из публичной информации. Тем не менее, метод проверки такого предположения всё ещё необходим. Принимая во внимание, что ${\displaystyle ed>pq}$ последнее уравнение может быть записано как:

${\displaystyle edg=k(p-1)(q-1)+g}$.

Используя простые алгебраические операции и тождества, можно установить точность такого предположения.Шаблон:Sfn

Пусть ${\displaystyle N=pq}$, где ${\displaystyle q<p<2q}$. Пусть ${\displaystyle d<\frac{1}{3}{N}^{\frac{1}{4}}}$.

Имея ${\displaystyle ⟨N,e⟩}$, где ${\displaystyle ed=1mod\phi (N)}$, взломщик может восстановить ${\displaystyle d}$.Шаблон:Sfn

Доказательство построено на приближениях с использованием непрерывных дробей.Шаблон:Sfn

Поскольку ${\displaystyle ed=1mod\phi (N)}$, то существует ${\displaystyle 𝑘}$ при котором ${\displaystyle ed-k\phi (N)=1}$. Следовательно:

${\displaystyle |\frac{e}{\phi (N)}-\frac{k}{d}|=\frac{1}{d\phi (N)}}$.

Значит, ${\displaystyle \frac{k}{d}}$ - это приближение ${\displaystyle \frac{e}{\phi (N)}}$. Несмотря на то что взломщик не знает ${\displaystyle \phi (N)}$, он может использовать ${\displaystyle N}$ чтобы его приблизить. Действительно, поскольку:

${\displaystyle \phi (N)=N-p-q+1}$ and ${\displaystyle p+q-1<3\sqrt{N}}$, мы имеем: ${\displaystyle |p+q-1|<3\sqrt{N}}$ и ${\displaystyle |N+1-\phi (N)-1|<3\sqrt{N}}$

Используя ${\displaystyle N}$ вместо ${\displaystyle \phi (N)}$, получим:

${\displaystyle |\frac{e}{N}-\frac{k}{d}|=\left|\frac{ed-kn}{Nd}\right|=\left|\frac{ed-k\phi (N)-kN+k\phi (N)}{Nd}\right|}$

${\displaystyle =\left|\frac{1-k(N-\phi (N))}{Nd}\right|\le \left|\frac{3k\sqrt{N}}{Nd}\right|=\frac{3k\sqrt{N}}{\sqrt{N}\sqrt{N}d}=\frac{3k}{d\sqrt{N}}}$

Теперь, ${\displaystyle k\phi (N)=ed-1<ed}$, значит ${\displaystyle k\phi (N)<ed}$. Поскольку ${\displaystyle e<\phi (N)}$, значит ${\displaystyle k\phi (N)<ed<\phi (N)d}$, и в итоге получается:

${\displaystyle k\phi (N)<\phi (N)d}$

где ${\displaystyle k<d}$

Так как ${\displaystyle k<d}$ и ${\displaystyle d<\frac{1}{3}{N}^{\frac{1}{4}}}$, следовательно:

${\displaystyle (1)|\frac{e}{N}-\frac{k}{d}|<\frac{1}{d{N}^{\frac{1}{4}}}}$

Поскольку ${\displaystyle d<\frac{1}{3}{N}^{\frac{1}{4}},2d<3d}$, то ${\displaystyle 2d<3d<N^{\frac{1}{4}}}$, и исходя из этого ${\displaystyle 2d<N^{\frac{1}{4}}}$, значит:

${\displaystyle (2)\frac{1}{2d}>\frac{1}{N^{\frac{1}{4}}}}$

Из (1) и (2), можно заключить, что:

${\displaystyle |\frac{e}{N}-\frac{k}{d}|<\frac{3k}{d\sqrt{N}}<\frac{1}{d\cdot 2d}=\frac{1}{2d^2}}$

Смысл теоремы заключается в том, что если условие выше удовлетворено, то ${\displaystyle \frac{k}{d}}$ появляется среди подходящих дробей для непрерывной дроби числа ${\displaystyle \frac{e}{N}}$.

Следовательно, алгоритм в итоге найдёт такое ${\displaystyle \frac{k}{d}}$Шаблон:Sfn.

Рассматривается открытый RSA ключ ${\displaystyle (e,N)}$, по которому необходимо определить закрытую экспоненту ${\displaystyle d}$. Если известно, что ${\displaystyle d<\frac{1}{3}{N}^{\frac{1}{4}}}$, то это возможно сделать по следующему алгоритму Шаблон:Sfn:

1. Разложить дробь ${\displaystyle \frac{e}{N}}$ в непрерывную дробь ${\displaystyle [a_1,a_2...]}$.

2. Для непрерывной дроби ${\displaystyle [a_1,a_2...]}$ найти множество всех возможных подходящих дробей ${\displaystyle \frac{k_n}{d_n}}$.

3. Исследовать подходящую дробь ${\displaystyle \frac{k_n}{d_n}}$:

3.1. Определить возможное значение ${\displaystyle \phi (N)}$, вычислив ${\displaystyle f_n=\frac{e{d}_n-1}{k_n}}$.

3.2. Решив уравнение ${\displaystyle x^2-((N-f_n)+1)x+N=0}$, получить пару корней ${\displaystyle (p_n,q_n)}$.

4. Если для пары корней ${\displaystyle (p_n,q_n)}$ выполняется равенство ${\displaystyle N=p_n\cdot q_n}$, то закрытая экспонента найдена ${\displaystyle d=d_n}$.

Если условие не выполняется или не удалось найти пару корней ${\displaystyle (p_n,q_n)}$, то необходимо исследовать следующую подходящую дробь ${\displaystyle \frac{k_{n+1}}{d_{n+1}}}$, вернувшись к шагу 3.

Два данных примера Шаблон:Sfn наглядно демонстрируют нахождение закрытой экспоненты ${\displaystyle d}$, если известен открытый ключ RSA ${\displaystyle (e,N)}$.

Для открытого ключа RSA ${\displaystyle (e,N)=(1073780833,1220275921)}$:

Таблица: нахождение закрытой экспоненты d

e/N = [0, 1, 7, 3, 31, 5, 2, 12, 1, 28, 13, 2, 1, 2, 3]
n	kn / dn	phin	pn	qn	pn qn
0	0/1	-	-	-	-
1	1/1	1073780832	-	-	-
2	7/8	1227178094	-	-	-
3	22/25	1220205492	30763	39667	1220275921

Получается, что ${\displaystyle d=25}$. В этом примере можно заметить, что условие малости выполняется ${\displaystyle d<\frac{1}{3}{N}^{\frac{1}{4}}\approx 62.30074...}$.

Для открытого ключа RSA ${\displaystyle (e,N)=(1779399043,2796304957)}$:

Таблица: нахождение закрытой экспоненты d

e/N = [0, 1, 1, 1, 2, 1, 340, 2, 1, 1, 3, 2, 3, 1, 21, 188]
n	kn / dn	fn	pn	qn	pn qn
0	0/1	-	-	-	-
1	1/1	1779399042	-	-	-
2	1/2	3558798085	-	-	-
3	2/3	2669098564	-	-	-
4	5/8	2847038468	-	-	-
5	7/11	2796198496	47129	59333	2796304957

Получается, что ${\displaystyle d=11}$. В этом примере так же можно заметить, что условие малости выполняется ${\displaystyle d<\frac{1}{3}{N}^{\frac{1}{4}}\approx 76.65224...}$.

Сложность алгоритма определяется количеством подходящих дробей для непрерывной дроби числа ${\displaystyle \frac{e}{N}}$, что есть величина порядка ${\displaystyle O(log(n))}$. То есть число ${\displaystyle d}$ восстанавливается за линейное времяШаблон:Sfn от длины ключа.

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:СтатьяШаблон:Недоступная ссылка
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Книга
• Шаблон:Книга