Об оценке количества малых дешифрующих экспонент криптосистемы RSA, подверженных атаке Винера Текст научной статьи по специальности «Математика»

Выпуск 3 - 2014

(499) 755 50 99 http://mir-nauki.com

Мир Науки

УДК 621.391(075.8)

Трещев Иван Андреевич

ФГБОУ ВПО «Комсомольский-на-Амуре государственный технический университет»

Россия, Комсомольск-на-Амуре Заведующий кафедрой «Информационная безопасность автоматизированных систем»

Кандидат технических наук E-Mail: kalkt@yandex.ru

Воробьев Антон Александрович

ФГБОУ ВПО «Комсомольский-на-Амуре государственный технический университет»

Россия, Комсомольск-на-Амуре

Аспирант E-Mail: zeromem@mail.ru

Худякова Валентина Игоревна

ФГБОУ ВПО «Комсомольский-на-Амуре государственный технический университет»

Россия, Комсомольск-на-Амуре Студент 3-го курса обучения E-Mail: valya_787@mail.ru

Об оценке количества малых дешифрующих экспонент криптосистемы RSA, подверженных атаке Винера

Аннотация. В данной работе рассмотрен криптографический алгоритм RSA в разрезе угроз реализаций атак Винера непрерывными дробями. Произведен вывод точной оценки количества шифрующих экспонент, подверженных атаке Винера для заданного N = pq, для чего доказана лемма о количестве взаимно-простых с z чисел в отрезке [l;n\ при n < z, а также рассчитана вероятность выбора подобной слабой экспоненты. Показана возможность введения криптосистемы RSA двумя равносильными способами, и даны рекомендации по реализации с учетом указанной ранее атаки.

Ключевые слова: экспонента; RSA; атака Винера.

1

18KMN314

Выпуск 3 - 2014

(499) 755 50 99 http://mir-nauki.com

Мир Науки

Криптографический алгоритм RSA, названный в честь авторов Ривеста, Шамира и Эдлемана, является первым криптографическим алгоритмом с открытым ключом, который достойно выдержал испытание временем. Он основывается на удивительно простой теоретикочисловой идее, - легко перемножить два больших простых числа, но крайне сложно разложить на множители их произведение[1].

Введем криптосистему RSA[2]. Пусть p, q - два различных больших случайно выбранных простых числа. Обозначим

N = pq и p(N )=(p-lXq-l),

где cp(N) - функция Эйлера. Кроме того, выберем шифрующую экспоненту E , удовлетворяющую условию

нод (e,@(n )) =l.

Дешифрующую экспоненту d находят расширенным алгоритмом Евклида[3] по паре значений [E,p(N)]. Найденная экспонента удовлетворяет условию

Ed = l(mod <p(N)) - (1)

Тогда для открытого текста m и его закрытого текста C верны следующие соотношения:

C = mE (mod N), m = Cd (mod N).

Но, исходя из условия (1) имеем:

d = E 1 mod(^(N)),

Ук е Z ^ E • |d = E- + кф(N)^

Ed = l + Екф(N )• d~l ^

Е = d _l + Ed ~1кф(р )^

E = d-l mod^(N))

Исходя из малой теоремы Ферма[4] имеем, что дешифрующая экспонента d должна удовлетворять условию

НОД (d ,p(N )) = l.

Таким образом, второй способ определения криптосистемы RSA можно ввести в следующем виде.

Пусть p, q - два различных больших случайно выбранных простых числа. Обозначим

N = pq и v(N) = (p - l)(q -1),

где (p(N) - функция Эйлера. Кроме того, выберем дешифрующую экспоненту d , удовлетворяющую условию

НОД (d ,p(N )) = l.

Шифрующую экспоненту Е находят расширенным алгоритмом Евклида[3] по паре значений [d ,<?(N)].

2

18KMN314

Выпуск 3 - 2014

(499) 755 50 99 http://mir-nauki.com

Мир Науки

Криптографический алгоритм RSA достойно выдержал испытание временем, но при реализации криптосистемы на основе криптоалгоритма RSA имеется ряд исключительных ситуаций[2,4,5,6], подвергающих криптосистему различного рода атакам. Одной из таких атак, является атака Винера, основанная на непрерывных дробях[2].

Одним из важнейших результатов в теории непрерывных дробей является то, что Уа е R , если p - несократимая дробь и удовлетворяет неравенству

q

p

a - —

<

2q

2 ’

1

q

то — - одна из подходящих дробей[7] в разложении а в непрерывную дробь.

q

Исходя из (1), существует такое целое к , что

Ed - кр = 1.

Атака Винера непрерывными дробями для криптографического алгоритма RSA[2]

N

заключается в том, что если дешифрующая экспонента d < , то

N d

2d2

к E

Так как НОД (к, d) = 1 , то — - подходящая дробь при разложении дроби — в

d N

E

непрерывную. Следовательно, раскладывая вещественное значение — в непрерывную дробь,

дешифрующая экспонента подвергается компрометации при последовательной подстановке знаменателей подходящих дробей в выражение

(ME У = M (mod N),

где M - некоторое натуральное случайное число. Общее число проверяемых подходящих дробей оценивается как O(ln N).

Вычислим количество шифрующих экспонент, подверженных атаки Винера. Для этого рассмотрим множество

d =

2;

4/N

с N.

1

<

3

Так как (Z / nZ) * размерностью

(p{N ) = (p - l)(q -1)

является мультипликативной группой[8], то исходя из свойства единственности обратного элемента имеем, что количество шифрующих экспонент E , подверженных атаки Винера на основе непрерывных дробей определяется мощностью множества # H (N), где

H(N) = {dI | НОД(d,,p(N)) = 1,d, е d}.

3

18KMN314

Выпуск 3 - 2014

(499) 755 50 99 http://mir-nauki.com

Мир Науки

научный интернет-журнал

Таким образом, задачу вычисления количества шифрующих экспонент, подверженных атаки Винера можно сформулировать следующим образом: вычислите количеству взаимнопростых чисел в отрезке X : [2; b\ с наперед заданным q, при условии, что b < q, где

b =

VN

’ = pN)

Для решения задачи докажем лемму.

Лемма 1. Для заданных q е N, n е N, q > n количество взаимно-простых чисел p* (q, n) из отрезка [1; n\ и q выражается соотношением

Р* qn) = Vu(d)

где /u(d) - функция Мёбиуса.

Доказательство. Для Vd | q рассмотрим

d|q

d

, где d является простым делителем q .

Очевидно, что данная дробь выражает количество элементов отрезка [l;n\, делящихся на d. Используя основную теорему арифметики, произведем разложение q в виде

k k k km

q=pk pk • •• pk ••• pm,

где pi - простые числа, k - некоторые натуральные числа.

Далее, рассмотрим для Vd | q , рассмотрим произведения u(d) —

d

. Заметим, что

u(d) ф 0 тогда и только тогда, когда делитель d может быть представлен в виде d = П pn

r e2[l;m \

i е [l;2m\, т.е.

Vd | q, d = Пpkrw, w е [l;# r- \

r e2[l;m \

выполнимо

u(d )

Ф 0 kw е[0;1\,

где

u(d ) =

Г1, если # r (mod 2) = 0,

[-1, если # r (mod 2) ф 0.

Просуммируем полученный ряд. Имеем:

p* (q,n) = n - V n + V — +

}L d J depV>>j Ld J

+...+(- 1)m

П p-

3

n

n

4

18KMN314

Выпуск 3 - 2014

(499) 755 50 99 http://mir-nauki.com

Мир Науки

по теореме о включениях-исключениях, ч.т.д.

Сформулируем следствие леммы 1.

Следствие. Для заданных q е N, n е N, m е N , q > n > m количество взаимно-простых чисел %(q, n, m) из отрезка [m; n] и q выражается соотношением

%{q,n,m)=p* (q,n)-p* (q,m).

Данное следствие является очевидным и не требует доказательства.

Отсюда количество шифрующих экспонент, подверженных атаки Винера может быть найдено как

# H (N) = £ <p(N).

VN

3

л

,2

/

Аналогично, для проблемы атак на криптографическую систему RSA в случае d < N0 292 [5], оценка количества шифрующих экспонент вычисляется как

# H (N) = %{pN), N 0292,2).

Таким образом, можно сделать следующие выводы:

1. Криптографическую систему RSA возможно вводить двумя способами, -относительно первоначального выбора шифрующей экспоненты E , так и относительно первоначального выбора дешифрующей экспоненты d .

2. При заданном N = pq, количество шифрующих экспонент, подверженных атаке

Винера непрерывными дробями, и при значениях d < N0 292 выражается значением функции # H (N), а вероятность выбора подобной шифрующей экспоненты равна

# H (N)

N '

3. При реализации криптосистемы RSA, удобнее в использовании второй способ определения, так как позволяет заведомо выбрать значение d так, чтобы противостоять атакам с малой дешифрующей экспонентой.

5

18KMN314

Выпуск 3 - 2014 (499) 755 50 99

http://mir-nauki.com

ЛИТЕРАТУРА

1. Салома, А. Криптография с открытым ключом / А. Салома: Пер. с англ. - М. : Мир, 1995. - 318 с., ил.

2. Смарт, Н. Криптография / Н. Смарт. - М. : Техносфера, 2005. - 528 с.

3. Виноградов, И.М. Основы теории чисел / И.М. Виноградов. - 6-е изд., испр. - М. : Государственное издательство технико-теоретической литературы, 1952. - 180 с.

4. Воронков, Б.Н. Элементы теории чисел и криптозащита: Учебное пособие / Б.Н. Воронков, А.С. Щеголеватых. - Воронеж: ГОУВПО «ВГУ», 2008. - 88 с.

5. Boneh, D. Cryptanalysis of RSA with private key d less than N0 292 / D. Boneh, G. Durfee // EUROCRYPT 1999. Heidelberg: Springer. - 1999. - LNCS Vol. 1592. - P. 1 - 11.

6. Coppersmith, D. Small solutions to polynomial equations, and low exponent RSA vulnerabilities: Revised version of two articles from EUROCRYPT 1996 / D. Coppersmith // Journal of Cryptology. Heidelberg: Springer. - 1997. - Vol. 10(4). - P. 233 - 260.

7. Джоунс, У. Непрерывные дроби. Аналитическая теория и приложения. Пер. с англ. / У. Джоунс, В. Трон - М. : Мир, 1985. - 414 с., ил.

8. Курош, А.Г. Лекции по общей алгебре / А.Г. Курош. - М. : Наука, 1973. - 399 с.

6

18KMN314

Выпуск 3 - 2014

(499) 755 50 99 http://mir-nauki.com

Мир Науки

Ivan Treschev

Komsomolsk-on-Amur state technical University Russia, Komsomolsk-on-Amur E-Mail: kalkt@yandex.ru

Anton Vorobyev

Komsomolsk-on-Amur state technical University Russia, Komsomolsk-on-Amur E-Mail: zeromem@mail.ru

Valentine Khudyakov

Komsomolsk-on-Amur state technical University Russia, Komsomolsk-on-Amur E-Mail: valya_787@mail.ru

On an estimate of the number of small ADK exponential cryptosystem RSA, subject to Wieners attack

Abstract. In this paper we consider the RSA cryptographic algorithm implementations in the context of threats of attacks Wiener continued fractions. Output produced accurate estimates of the number of ciphering exponential prone to attack Wiener given, which prove a lemma about the number of mutually prime to the numbers in the interval when, and calculated the probability of choosing such a weak exponent. The possibility of the introduction of RSA cryptosystem two equipotent methods, and recommendations for implementation, taking into account the previously mentioned attacks.

Keywords: exhibitor; RSA; Wiener attack.

7

18KMN314

Выпуск 3 - 2014

(499) 755 50 99 http://mir-nauki.com

Мир Науки

научный интернет-журнал

REFERENCES

1. Saloma, A. Kriptografija s otkrytym kljuchom / A. Saloma: Per. s angl. - M. : Mir, 1995. - 318 s., il.

2. Smart, N. Kriptografija / N. Smart. - M. : Tehnosfera, 2005. - 528 s.

3. Vinogradov, I.M. Osnovy teorii chisel / I.M. Vinogradov. - 6-e izd., ispr. - M. : Gosudarstvennoe izdatel'stvo tehniko-teoreticheskoj literatury, 1952. - 180 s.

4. Voronkov, B.N. Jelementy teorii chisel i kriptozashhita: Uchebnoe posobie / B.N. Voronkov, A.S. Shhegolevatyh. - Voronezh: GOUVPO «VGU», 2008. - 88 s.

5. Boneh, D. Cryptanalysis of RSA with private key d less than / D. Boneh, G. Durfee // EUROCRYPT 1999. Heidelberg: Springer. - 1999. - LNCS Vol. 1592. - P. 1 - 11.

6. Coppersmith, D. Small solutions to polynomial equations, and low exponent RSA vulnerabilities: Revised version of two articles from EUROCRYPT 1996 / D. Coppersmith // Journal of Cryptology. Heidelberg: Springer. - 1997. - Vol. 10(4). - P. 233 - 260.

7. Dzhouns, U. Nepreryvnye drobi. Analiticheskaja teorija i prilozhenija. Per. s angl. / U. Dzhouns, V. Tron - M. : Mir, 1985. - 414 s., il.

8. Kurosh, A.G. Lekcii po obshhej algebre / A.G. Kurosh. - M. : Nauka, 1973. - 399 s.

8

18KMN314