RSA的选择密文进攻。
RSA在选择密文进攻眼前很懦弱。一般进攻者是将某一信息作一下伪装(Blind),让拥有私钥的实体签署。然后,颠末计较就可获得它所想要的信息。实际上,进攻操作的都是同一个弱点,即存在这样一个事实:乘幂保存了输入的乘法布局:
( XM )^d = X^d *M^d mod n
前面已经提到,这个固有的问题来自于公钥暗码系统的最有用的特征--每小我私家都能利用公钥。但从算法上无法办理这一问题,主要法子有两条:一条是回收好的公钥协议,担保事情进程中实体差池其他实体任意发生的信息解密,差池本身一无所知的信息签名;另一条是决差池生疏人送来的随机文档签名,签名时首先利用One-Way Hash Function对文档作HASH处理惩罚,或同时利用差异的签名算法。在中提到了几种差异范例的进攻要领。
RSA的民众模数进攻。
若系统中共有一个模数,只是差异的人拥有差异的e和d,系统将是危险的。最普遍的环境是同一信息用差异的公钥加密,这些公钥共模并且互质,那末该信息无需私钥就可获得规复。设P为信息明文,两个加密密钥为e1和e2,民众模数是n,则:
C1 = P^e1 mod n
C2 = P^e2 mod n
暗码阐明者知道n、e1、e2、C1和C2,就能获得P。
因为e1和e2互质,故用Euclidean算法能找到r和s,满意:
r * e1 + s * e2 = 1
假设r为负数,需再用Euclidean算法计较C1^(-1),则
( C1^(-1) )^(-r) * C2^s = P mod n
别的,尚有其它几种操作民众模数进攻的要领。总之,假如知道给定模数的一对e和d,一是有利于进攻者解析模数,一是有利于进攻者计较出其它成对的e'和d',而无需解析模数。办理步伐只有一个,那就是不要共享模数n。
RSA的小指数进攻。 有一种提高RSA速度的发起是使公钥e取较小的值,这样会使加密变得易于实现,速度有所提高。但这样作是不安详的,搪塞步伐就是e和d都取较大的值。
RSA算法是第一个能同时用于加密和数字签名的算法,也易于领略和操纵。RSA是被研究得最遍及的公钥算法,从提出到此刻已近二十年,经验了各类进攻的检验,逐渐为人们接管,普遍认为是今朝最优秀的公钥方案之一。RSA的安详性依赖于大数的因子解析,但并没有从理论上证明破译RSA的难度与大数解析难度等价。即RSA的重大缺陷是无法从理论上掌握它的保密机能如何,并且暗码学界大都人士倾向于因子解析不是NPC问题。
RSA的缺点主要有:A)发生密钥很贫苦,受到素数发生技能的限制,因而难以做到一次一密。B)分组长度太大,为担保安详性,n 至少也要 600 bits以上,使运算价钱很高,尤其是速度较慢,较对称暗码算法慢几个数量级;且跟着大数解析技能的成长,这个长度还在增加,倒霉于数据名目标尺度化。今朝,SET(Secure Electronic Transaction)协议中要求CA回收2048比拿手的密钥,其他实体利用1024比特的密钥。
DSS/DSA算法
Digital Signature Algorithm
(DSA)是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS(Digital SignatureStandard)。算法中应用了下述参数:
p:L bits长的素数。L是64的倍数,范畴是512到1024;
q:p - 1的160bits的素因子;
g:g = h^((p-1)/q) mod p,h满意h < p - 1, h^((p-1)/q) mod p > 1;
x:x < q,x为私钥 ;
y:y = g^x mod p ,( p, q, g, y )为公钥;
H( x ):One-Way Hash函数。DSS中选用SHA( Secure Hash Algorithm )。
p, q,
g可由一组用户共享,但在实际应用中,利用民众模数大概会带来必然的威胁。签名及验证协议如下:
1. P发生随机数k,k < q;
2. P计较 r = ( g^k mod p ) mod q
s = ( k^(-1) (H(m) + xr)) mod q
签名功效是( m, r, s )。
3. 验证时计较 w = s^(-1)mod q
u1 = ( H( m ) * w ) mod q
u2 = ( r * w ) mod q
v = (( g^u1 * y^u2 ) mod p ) mod q
若v = r,则认为签名有效。
DSA是基于整数有限域离散对数困难的,其安详性与RSA对比差不多。DSA的一个重要特点是两个素数果真,这样,当利用别人的p和q时,纵然不知道私钥,你也能确认它们是否是随机发生的,照旧作了手脚。RSA算法却作不到。