Атака на підпис RSA в схемі з нотаріусом

Початкові дані: - відкритий ключ нотаріуса. Противник отримує відмову при спробі підписання нотаріусом повідомлення

Завдання: противник хоче отримати підпис нотаріуса на повідомленні.

Противник вибирає довільне обчислює і відправляє це повідомлення на підпис нотаріуса.

Якщо нотаріус підписує це повідомлення, то противник, обчисливши, отримує підпис повідомлення.

Захист: при підпису додавати в повідомлення деяке випадкове число (наприклад, час).

Малі значення секретної експоненти

Початкові дані: Щоб збільшити швидкість розшифрування (або створення цифрового підпису) було зменшено кількість ненульових бітів двійкового представлення секретної експоненти (див. швидкість алгоритму RSA).

Завдання: обчислити секретну експоненту.

У 1990 році Міхаель Вінер (Michael J. Wiener) показав, що в разі малого значення d можливий злом системи RSA.

Захист: Таким чином якщо n має розмір 1024 біта, необхідно щоб d був не менше 256 біт довжиною.

Малі значення відкритої експоненти

Щоб збільшити швидкість шифрування та перевірки цифрового підпису, використовують малі значення відкритої експоненти. Найменша з них. Однак, щоб підвищити криптостійкість алгоритму RSA, рекомендовано використовувати.

Лекція 8. PGP