Студопедия.Орг Главная | Случайная страница | Контакты | Мы поможем в написании вашей работы!  
 

Вскрытие с выбранным шифротекстом против RSA



Некоторые вскрытия работают против реализаций RSA. Они вскрывают не сам базовый алгоритм, а над­строенный над ним протокол. Важно понимать, что само по себе использование RSA не обеспечивает безопас­ности. Дело в реализации.

Сценарий 1: Еве, подслушавшей линии связи Алисы, удалось перехватить сообщение с, шифрованное с по­мощью RSA открытым ключом Алисы. Ева хочет прочитать сообщение. На языке математики, ей нужно от, для которого

Для раскрытия от она сначала выбирает первое случайное число г, меньшее я. Она достает открытый ключ Алисы е. Затем она вычисляет

х = re mod я

у = хс mod я

t = rlmod n

EcJinx = re mod n,Tor = xd mod n.

Теперь просит Алису подписать у ее закрытым ключом, таким образом расшифровав у. (Алиса должна под­писать сообщение, а не его хэш сумму.) Не забывайте, Алиса никогда раньше не видела у. Алиса посылает Еве

u = yd mod n

Теперь Ева вычисляет

tu mod я = г1 / mod = fVcd mod я = с "mod я = от

И Ева получает от.

Сценарий 2: Трент - это компьютер-нотариус. Если Алиса хочет заверить документ, она посылает его Тренту. Трент подписывает его цифровой подписью RSA и отправляет обратно. (Однонаправленные хэш-функции не используются, Трент шифрует все сообщение своим закрытым ключом.)

Мэллори хочет, чтобы Трент подписал такое сообщение, которое в обычном случае он он никогда не подп и-шет. Может быть это фальшивая временная метка, может быть автором этого сообщения является другое лицо. Какой бы ни была причина, Трент никогда не подпишет это сообщение, если у него будет возможность выбора. Назовем это сообщение от'.

Сначала Мэллори выбирает произвольное значение х и вычисляет у = хе mod n. e он может получить без труда - это открытый ключ Трента, который должен быть опубликован, чтобы можно было проверять подписи Трента. Теперь Мэллори вычисляет от = ут' mod n и посылает от Тренту на подпись. Трент возвращает md mod п. Now Мэллори вычисляет (md mod n)xl mod n, которое равно я" mod я и является подписью от'.

На самом деле Мэллори может использовать множество способов решить подобную задачу [423, 458, 486]. Слабым местом, которое используют такие вскрытия, является сохранение мультипликативной структуры входа при возведении в степень. То есть:

{xm)d mod n = x dmd mod n

Сценарий 3: Ева хочет, чтобы Алиса подписала от3. Она создает два сообщения, тх и от2, такие что

от3 = тхтг (mod я)

Если Ева сможет заставить Алису подписать тх и от2, она может вычислить подпись для от3:

m3d = (mid mod n) (m2d mod п)

Мораль: Никогда не пользуйтесь алгоритмом RSA для подписи случайных документов, подсунутых вам по­сторонними. Всегда сначала воспользуйтесь однонаправленной хэш-фунцией. Формат блоков ISO 9796 предот­вращает это вскрытие.





Дата публикования: 2014-11-03; Прочитано: 463 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!



studopedia.org - Студопедия.Орг - 2014-2024 год. Студопедия не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования (0.008 с)...