CC BY
41
УДК 004.056.55
42
Ю. Ф. Болтнев, М. В. Алешникова, Е. В. Козьминых
ИССЛЕДОВАНИЕ УСЛОВИЙ ПРИМЕНИМОСТИ АТАКИ ВИНЕРА НА КРИПТОСИСТЕМУ RSA
Рассматривается атака Винера на малый секретный ключ в криптосистеме RSA. Представлена новая граница на секретный ключ, выведенная при более общих предположениях. Показано, что новая граница точнее границы Винера при выполнении классических условий. Получены условия применимости атаки Винера при превышении границы на секретный ключ. Даны рекомендации по выбору параметров разработчику криптосистемы.
The paper considers the Wiener's attack for a small secret key in the RSA cryptosystem. Presented a new bound on the secret key, derived under more general assumptions. It is shown that the obtained bound is more accurate than the Wiener's bound under the classical conditions. The conditions of applicability of Wiener's attack when the bound on the secret key is exceeded. Recommendations on the choice of parameters for the cryptosystem developer are given.
Ключевые слова: криптосистема RSA, атака Винера, граница Винера, цепная дробь, подходящие дроби.
Keywords: RSA cryptosystem, Wiener's attack, Wiener's bound, continued fraction, convergents.
Введение
Для криптосистемы RSA с открытым ключом (e, N) и секретным ключом (d, p, q) хорошо известна атака на малый секретный ключ d, носящая название атаки Винера [1; 3; 4]. Эта атака основана на следующей теореме [4].
Теорема 1 (Винер). Пусть задана криптосистема RSA с параметрами
1 I
N = pq, ed = 1(шоёф(Ы)), q<p<2q, d < — N 4 . Тогда ключ d эффективно вы-
3
числим.
Поскольку ed = 1 (mod ^(N)), то существует некоторое целое число к, такое, что выполняется равенство
ed-1 = kq>(N) , (1)
где k — некоторый коэффициент кратности.
1 I
Утверждение теоремы означает, что при d<-N* выполняется неравенство
IN йГ 2 Л* (2)
из которого следует, что дробь ^ является одной из подходящих дробей для числа р количество которых не превышает 2log2 N.
© Болтнев Ю. Ф., Алешникова М. В., Козьминых Е. В., 2019
Вестник Балтийского федерального университета им. И. Канта.
Сер.: Физико-математические и технические науки. 2019. № 1. С. 42 — 48.
Последний факт опирается на следующую теорему из теории цепных дробей [1; 2].
Теорема 2 (достаточный признак подходящей дроби). Если а — не-
a
которое действительное число, причем — — несократимая рациональная
b
дробь, такая, что
a
а —
b
1 a
< —-, то ь — одна из подходящих дробей к числу а.
Поскольку количество подходящих дробей не более 2log2 N, то
можно последовательным их перебором найти искомый секретный ключ. В этом случае атака производится по известному [1; 3] алгоритму.
Алгоритм атаки Винера
ВВОД: N,e,M, C = Me (mod ( ВЫВОД d : ed= 1 mod (ф)
E
1. Положить a = —.
N
2. Разложить a в цепную дробь: a = [qo, qi, ..., q. ,...,qS, s< 2 logg N.
3. Для i = 1, 2, ... вычислить:
P
3.1. Pi, Qi: Si = — i-я подходящая дробь к a.
Q.
3.2. Если CQi = M (mod N), то вернуть d = Q.
Уточнение границы Винера
В условиях теоремы Винера должно выполняться неравенство q < p < 2q. В следующей теореме мы получим границу на секретный ключ d при более общих условиях. В предыдущих обозначениях докажем следующую теорему.
Теорема 3. Секретный ключ d в криптосистеме RSA является эффективно вычислимым, то есть величина - является подходящей дробью для
дроби р если d< где а= = hq.
Доказательство. Нашей целью является получение границы на секретный ключ d, из которой будет следовать неравенство (2). Для функции Эйлера имеем
^(Ю = (р — 1)(q~ 1) =pq — p — q + 1 = N — p — q + 1. Отсюда N — q>(N) = p + q — 1. Оценим разность N — q>(N). Введем обозначение h = -. Тогда p = hq и для величины N = pq можно записать N = q2h. Выразим отсюда переменную q:
Ч =
N
N
И'
43
Ю.Ф. Болтнев, М. В. Алешникова, Е. В. Козьминых
44
Тогда
. n h + 1 г-
p + q = hq + q = (h + 1)q= —— VN.
Vh
Обозначим a= получим соотношение
N- q>(N) = p + q-1 = aVN -1. Учитывая (3), имеем следующую оценку:
(3)
д=
е к ed-Nk 1 + kcp(N) -Nk k(N - ч>т)~ 1
N d Nd Nd Nd
<
fc|W-<p(W)|
k(p+q-1) ^ k(p+q)
Nd Nd Nd
Таким образом, получили оценку
Д= <
kaV~N Nd
ka d^N
ka
(4)
N й ' й—Й '
Из равенства (1) следует, что ed > Поскольку обычно пола
гают, что е < (р{И), то получим неравенство ^ <1. Из него и неравенства (4) следует, что
а
Д<
Vn .
Выясним, при каких условиях имеет место равносильное (2) неравенство
а 1
Vf<^ • (5)
Неравенство (5) равносильно неравенствам
1
,9 V~N , W4
az < — и a < -= .
2а V2a
Последнее неравенство и выражает искомую новую границу Винера.
Таким образом, нами было произведено обобщение теоремы Винера при более общих условиях и получена новая граница для секретного ключа.
Заметим, что полученная граница лучше классической границы Винера. Так, при а= = Jf. В этом случае получим границу
N4
d< —== = 0,4855^4, что лучше границы d< -N4, предложенной в теореме Винера, примерно на 46%.
Также при росте к увеличивается а, а коэффициент с = —= понижается. При большом к он станет меньше - и классической границей Винера пользоваться будет нельзя. Разрешая относительно h уравнение 1 1
—= = -, получим к « 18,2. То есть пока выполняется соотношение
- <18,2, можно пользоваться прежней, классической границей Винера
(несколько заниженной). В ином случае следует использовать нашу границу.
Условия применимости атаки Винера
1 1
Введем обозначение йкр = N4 . Тогда новая граница Винера принимает вид
й< йКр. (6)
Проведенные нами численные эксперименты показали, что атака Винера зачастую приводит к успеху, если даже секретный ключ превышает границу Винера (6). Причины этого явления раскрываются в следующей теореме.
Теорема 4. Пусть г = —— коэффициент кратности превышения гра-
^кр
ницы Винера (6). Тогда атака гарантированно приведет к успеху, если выполнится условие к< -йкр. Если же случайно выполнится условие — <к < то атака может привести к успеху с некоторой вероятностью. Доказательство.
1. Ранее уже отмечалось, что неравенство (2)
N
2d
является достаточным условием того, что ^ — подходящая дробь для дроби ^. При доказательстве теоремы 3 была получена оценка (4):
д_ le fel^ fea
\N di dVw"
Отсюда получим, что достаточное условие для подходящей дроби
г , ^ VÑ ¿i р
будет выполнено, если выполняется условие k < = -j-, которое
проще переписать в виде к< —.
2. Известно [2], что необходимым условием того чтобы - была подходящей дробью для дроби ^ , является выполнение неравенства
< -. (7)
d
к
N й
Рассуждая аналогично пункту 1, получим, что неравенство (7) будет
__- __7 ^ ^кр
выполнено, если случайно выполнится условие к < —-.
Оценим вероятность выполнения неравенств в условиях теоремы 4. Выше уже отмечалось, что параметр к принимает свои значения в интервале 0 < к < й. На основании численных экспериментов можно пред-
к
положить, что значения величины - распределены равномерно на интервале [0, 1]. Данная нулевая гипотеза была проверена по статистическому критерию согласия Пирсона на выборке объема 106 при числе степеней свободы г = 9 и уровне значимости а = 0,05. По результатам теста можно считать эту нулевую гипотезу не противоречащей опытным данным.
45
Ю.Ф. Болтнев, М. В. Алешникова, Е. В. Козьминых
Тогда для вероятности выполнения неравенства 1<fc < — имеем
"кр
V г ) d г2
Аналогично и для вероятности выполнения неравенства — <к < ^^
имеем
V г г / г1
46
Рекомендации разработчику
Для того чтобы убедиться в безопасности выбранных параметров криптосистемы RSA, разработчику необходимо провести вычисления и проверки согласно следующему алгоритму.
Алгоритм проверки параметров RSA
1. Вычислить ф(М) = (р — 1)(q — 1).
2. Вычислить k = ed 1.
ф(Ю
3. Вычислить h = -,а = —=■.
q Vh
1
4. Вычислить dKP = г =—.
кр V2ÏÏ dKp
5. В том случае, если d не превышает границу Винера, (d< dKp), то криптосистема будет легко взломана описанным методом.
6. Если ключ оказался в промежутке dKp <d <dKp2 и случайно (с вероятностью -7) выполняется условие 1<fc < — , то атака гарантированно будет успешной.
7. Если случайно (с вероятностью —) выполняется двойное неравенство — <к < то вероятность взлома по статистике составляет до
г г г
50%.
Пример 1. Исходные данные:
N = 303098468963 = 778579 • 389297; e = 2421079; d = 125191.
Обозначим ккр = —.
кр г
Согласно алгоритму, имеем
¿кр = 360,22; г = 347,53; ккр « 1,037; к = 1. Видим, что выполнено условие к< ккр.
Последовательность подходящих дробей к ^: |о, 12^191, 2S02383 ■ ■ ■]. Атака будет успешна, поскольку - = —---подходящая дробь для
дроби J.
Этот пример демонстрирует успешность атаки даже при превышении границы Винера почти в 350 раз. Пример 2. Исходные данные:
N = 200250077 = 10007 • 20011; e = 65492543; d = 107.
Имеем
dKp = 57,75; г = 1,85; ккр » 31,17; к = 35.
Видим, что выполнено условие ккр <к < 2 ккр. Последовательность подходящих дробей к ^: |о, ^, ^, ^.. .
к 35
Атака будет успешна, поскольку - = — — подходящая дробь для
дроби J.
Пример 3. Исходные данные:
N= 200250077 = 10007 • 20011; e = 65618339; d = 119.
Имеем
dKp = 57,75; г = 2,06; ккр « 28,03, k = 39. Видим, что выполнено условие ккр <к < 2 ккр.
е Г 1 19 58 1121 1
Последовательность подходящих дробей к —: 10, -, —, —, ^^.. -I. Атака не будет иметь успеха, поскольку ^ = ^ не является подходящей дробью для дроби ^.
Список литературы
1. Глухов М. М., Круглов И. А., Пичкур А. Б., Черёмушкин А. В. Введение в теоретико-числовые методы криптографии : учеб. пособие. СПб. ; М., 2011.
2. Нестеренко Ю. В. Теория чисел. М., 2008.
3. Смарт Н. Криптография. М., 2005.
4. Wiener M. Cryptanalysis of Short RSA Secret Exponents // IEEE Trans. Inform. Theory. 1990. Vol. 36, iss. 3. P. 553 - 558.
Об авторах
Юрий Федорович Болтнев — доц., Балтийский федеральный университет им. И. Канта, Россия.
E-mail: IBoltnev@kantiana.ru
Марина Валерьевна Алешникова — ст. преп., Балтийский федеральный университет им. И. Канта, Россия.
E-mail: aleshnikova m v@mail.ru
47
Елена Викторовна Козьминых — ст. преп., Балтийский федеральный университет им. И. Канта, Россия. E-mail: lena_kozm@mail.ru
IC).(I>. EoAmieß, M. B. AAeutmtKodn, E. B. Ko.itMtniux
48
The authors
Yury F. Boltnev, Associate Professor, I. Kant Baltic Federal University, Russia. E-mail: IBoltnev@kantiana.ru
Marina V. Aleshnikova, Assistant Professor, I. Kant Baltic Federal University, Russia.
E-mail: aleshnikova_m_v@mail.ru
Elena V. Kozminykh, Assistant Professor, I. Kant Baltic Federal University, Russia. E-mail: lena kozm@mail.ru
