m kn n 0k − ∑ =

Wstęp 

RACHUNEK PRAWDOPODOBIEŃSTWA 

A PARADOKS DNIA URODZIN 

Dla dodatnich liczb całkowitych m i n, spełniających warunek m ≥ n, liczba m (n) jest określona 

następująco: 

m (n) = m(m - 1)(m - 2) ... (m - n + 1) = m!/( m - n)!. 

Niech m i n będą nieujemnymi liczbami całkowitymi spełniającymi warunek m ≥ n. Liczbą 

m 

Stirlinga drugiego rodzaju, oznaczaną jako , jest 

⎩⎨⎧ 

n ⎭⎬⎫ 

n 

n−k 

m 1 

⎛ n⎞ 

= ∑( − 1) k 

m 

, 

⎩⎨⎧ 

n ⎭⎬⎫ 

n! 

k 

k = 0 

⎜⎝ 

⎟⎠ 

0 

przy czym wyjątkiem jest = 1. 

⎩⎨⎧ 

0⎭⎬⎫ 

m 

Symbol określa liczbę sposobów podziału zbioru m obiektów na n niepustych podzbiorów. 

⎩⎨⎧ 

n ⎭⎬⎫ 

W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009 

str.86

Klasyczny problem zajętości 

Urna zawiera m kul ponumerowanych od 1 do m. ZałóŜmy, Ŝe z urny jest losowanych 

pojedynczo n kul, po wylosowaniu kule są zwracane do urny, zaś ich numery są zapisywane. 

Prawdopodobieństwo zdarzenia polegającego na tym, Ŝe zostało wylosowanych dokładnie t 

róŜnych kul, wynosi 

n m 

( t ) 

P1 

( m,n,t ) = , 1 ≤ t ≤ n. 

⎩⎨⎧ 

t ⎭⎬⎫ 

m 

n 

Paradoks dnia urodzin jest szczególnym przypadkiem klasycznego problemu zajętości. 

Paradoks dnia urodzin 

Urna zawiera m kul ponumerowanych od 1 do m. ZałóŜmy, Ŝe z urny losuje się pojedynczo n 

kul, po wylosowaniu kule są zwracane do urny, zaś ich numery są zapisywane. 

(i) Prawdopodobieństwo zdarzenia polegającego na tym, Ŝe wystąpiła co najmniej jedna 

koincydencja (tzn. kula została wylosowana co najmniej dwukrotnie), wynosi 

P 

2 

( n ) 

m 

( m,n ) = 1 − P1 

( m,n,n ) = 1 − , 1 ≤ n ≤ m. (*) 

m 

n 


str.87

Gdy n = O( m ) i m → ∞, wtedy 

⎛ n ( n − 1) 

⎛ 1 ⎞⎞ 

P 2 ( m, 

n) 

→ 1 − exp − + O ≈ 1 − 

⎜⎝ 2m 

⎜⎝ m 

⎟⎠ 

⎟⎠ 

exp 

⎛ 

⎜⎜ − 

⎝ 

2 

n ⎞ 

2 m ⎟⎟ . 

⎠ 

(ii) Gdy m → ∞, wtedy oczekiwana liczba losowań przed wystąpieniem koincydencji wynosi 

π m . 

2 

Wyjaśnienie, dlaczego rozkład prawdopodobieństwa (*) jest nazywany niespodzianką dnia 

urodzin lub paradoksem dnia urodzin, jest następujące: 

Prawdopodobieństwo tego, Ŝe co najmniej 2 osoby, spośród 23 znajdujących się w jednym 

pomieszczeniu, obchodzą urodziny w tym samym dniu roku, wynosi P 2 (365,23) ≈ 0,507 i jest 

zaskakująco duŜe. Wielkość P 2 (365, n) takŜe gwałtownie wzrasta ze wzrostem n; na przykład 

P 2 (365,30) ≈ 0,706. 


str.88

Inne ujęcie paradoksu dnia urodzin 

ZałóŜmy, Ŝe prawdopodobieństwo urodzenia się w określonym dniu roku kalendarzowego 

kaŜdego z członków populacji liczącej k osobników ma rozkład jednorodny, tzn.: 

gdzie: 

P( u i = d ) = 1 / 365 

u i - data urodzin osobnika i-tego ( i = 1, 2, ..., k ); 

d - numer kolejnego dnia w roku ( d = 1, 2, ..., 365 ). 

Spróbujmy oszacować oczekiwaną liczbę par osobników w tej populacji, obchodzących 

urodziny w tym samym dniu roku. JeŜeli uznamy, Ŝe fakty narodzin kaŜdego z osobników są 

zdarzeniami niezaleŜnymi, to wówczas dla dowolnej pary osobników (i, j) prawdopodobieństwo 

tego, iŜ urodzili się w tym samym, określonym dniu d wynosi: 

P( u i = d , u j = d ) = P( u i = d ) * P ( u j = d ) = 1 / (365) 2 


str.89

W skali całego roku prawdopodobieństwo to wynosi: 

365 

P( u i = u j ) = Σ P ( u i = d, u j = d)) = 365 / (365) 2 = 1 / 365 

d=1 

Definiując zmienną losową : 

x ij = 1 , gdy osobnicy i oraz j obchodzą urodziny w tym samym dniu. 

oraz 

x ij = 0 w przypadku przeciwnym, 

moŜna określić wartość oczekiwaną tej zmiennej w przypadku konkretnej pary: 

E( x ij ) = 1 * ( 1 / 365 ) + 0 * ( 1 - 1 / 365 ) = 1 / 365 

oraz wartość oczekiwaną liczby par osobników “wspólnie świętujących” w całej populacji 

(sumowanie obejmuje wszystkie moŜliwe pary): 

k i 1 ⎛ k ⎞ k( k − 1 ) 

∑ ∑ − 

E( xij 

) = ( 1 / 365 ) = 

2 

2* 365 

i= 

2 j= 

1 

⎜⎝ 

⎟⎠ 

JuŜ dla 28 osobników wartość ta wynosi ok. 1,0356 (a więc powinna się znaleźć w tej populacji 

przynajmniej jedna taka para). 


str.90

Paradoks dnia urodzin a funkcja skrótu 

Poszukiwanie pary wiadomości dających tą samą wartość n-bitowej funkcji skrótu 

(poszukiwanie kolizji) równowaŜne jest zadaniu znalezienia pary osobników urodzonych w tym 

samym dniu roku liczącego 2n dni.. 

Oczekiwana liczba takich par, w sytuacji gdy “przebadano” k “kandydatur” wynosi: 

gdzie: p = 2n 

k 

∑ 

i= 

2 

i 1 

∑ − 

E( 

j= 

1 

xij 

) = 

⎛ k ⎞ 

( 1 / ⎜⎝ 2 

⎟⎠ 

p ) = 

k( k − 1 ) 

2* p 

JeŜeli wartość funkcji skrótu jest ciągiem n-bitowym, wówczas znalezienie metodą ataku 

brutalnego wiadomości, która po skróceniu dałaby taką samą wartość skrótu, jak wartość dana, 

wymagałoby skracania 2 n losowo wybranych wiadomości. 

Znalezienie pary wiadomości dających taki sam skrót wymagałoby jedynie skracania 20.5n 

losowo wybranych wiadomości. Korzyść jest ewidentna. Np.: jeśli n = 16, wówczas 

odpowiednie ilości koniecznych operacji wynoszą : 65536 i 256. 


str.91

Atak na podpis cyfrowy wykorzystujący paradoks dnia urodzin 

Podpis cyfrowy dla wiadomości m: 

s = D d ( h ( m ) ) 

Procedura ataku (n – długość wartości funkcji skrótu w bitach): 

1. Wygenerować 2 n/2 „fałszywych wiadomości” m i ( i = 1, 2, ..., 2 n/2 ); 

2. Wygenerować losowo 2 n/2 „fałszywych podpisów” s i ( i = 1, 2, ..., 2 n/2 ); 

3. Utworzyć listę E e ( s i ) oraz listę h ( m i ); 

4. ZnaleŜć parę ( j, k ) taką, Ŝe E e ( s j ) = h ( m k ). 

Propozycja zapobiegania atakowi (J.Patarin) 

Wykorzystać dwie róŜne funkcje skrótu h 1 i h 2 : 

s = D d ( h 1 ( m ) + D d ( h 2 ( m ) + D d ( h 1 ( m )))) 


str.92

TEORIA INFORMACJI A KRYPTOLOGIA 

Niech X będzie zmienną losową przybierającą wartości ze skończonego zbioru { x 1 , x 2 , ..., x n } , 

przy czym rozkład prawdopodobieństwa tej zmiennej określony będzie przez zbiór wartości: 

p i = P ( X = x i ) (i = 1, 2, ..., n ) 

a ponadto: 

n 

Σ p i = 1 

i =1 

Rozkład ten, o ile nie będzie to wiodło do nieporozumień, będzie oznaczany jako p ( X ). 

Entropia jest miarą ilości informacji pozyskanej w wyniku obserwacji zmiennej losowej X: 

n 

Η(X) = − Σ p i log 2 

p i [w bitach] 

i=1 


str.93

Z punktu widzenia kryptologii entropia wiadomości mierzy jej nieokreśloność, podając liczbę 

bitów informacji, jaka musi być pozyskana w celu jej ujawnienia, jeŜeli wiadomość ta została 

ukryta w postaci zaszyfrowanej. 

KaŜda dodatkowo pozyskana informacja zmniejsza entropię. 

Właściwości entropii: 

Dla zmiennej losowej mogącej przybierać n róŜnych wartości 

• 0 ≤ H ( X ) ≤ log 2 

n 

• H ( X ) = 0 ⇔ p i = 1 dla pewnego i oraz p j = 0 dla wszystkich j ≠ i 

• H ( X ) = log 2 

n ⇔ p i = 1/n dla kaŜdego i 


str.94

Entropia łączna X i Y : 

H ( X, Y ) = - Σ P ( X = x, Y = y) log 2 

(P ( X = x, Y = y)) 

x, y 

H ( X, Y ) ≤ H ( X ) + H ( Y ) 

H ( X, Y ) = H ( X ) + H ( Y ) ⇔ X i Y są niezaleŜne 

Entropia warunkowa X dla Y = y: 

H ( X | Y = y ) = - Σ P ( X = x | Y = y ) log 2 

(P ( X = x | Y = y )) 

x 

Entropia warunkowa X względem Y (equivocation): 

HY ( X ) = H ( X | Y ) = - Σ P ( Y = y ) H ( X | Y = y ) 

y 


str.95

Wartość HY ( X ) jest miarą nieokreśloności X po pozyskaniu obserwacji Y. 

• HY ( X ) ≥ 0 oraz HX ( X ) = 0 

• H ( X, Y ) = H ( X ) + HX ( Y ) = H ( Y ) + HY ( X ) 

• HY ( X ) ≤ H ( X ) 

• HY ( X ) = H ( X ) ⇔ X i Y są niezaleŜne 

Informacja wzajemna (transinformation) zmiennych losowych X i Y: 

I ( X ; Y ) = H ( X ) - HY ( X ) 

jest interpretowana jako ilość informacji o X ujawniana na podstawie znajomości Y. 


str.96

Analogicznie - informacja wzajemna zmiennej losowej X i pary zmiennych losowych Y, Z: 

I ( X ; Y , Z ) = H ( X ) - HY,Z ( X ) 

• I ( X ; Y ) ≥ 0 

• I ( X ; Y ) = 0 ⇔ X i Y są niezaleŜne 

• I ( X ; Y ) = I ( Y ; X ) 

Warunkowa informacja wzajemna pary X i Y przy znanym Z: 

IZ ( X ; Y ) = HZ ( X ) - HY,Z ( X ) 

jest interpretowana jako ilość informacji o X ujawniana na podstawie znajomości Y przy 

załoŜeniu, Ŝe juŜ zaobserwowano Z. 

• I ( X ; Y , Z ) = I ( X ; Y ) + IY ( X ; Z ) 

• IZ ( X ; Y ) = IZ ( Y ; X ) 


str.97

Niech będą dane: 

• M - przestrzeń wiadomości jawnych M z rozkładem prawdopodobieństwa a priori p ( M ) 

• C - przestrzeń wiadomości zaszyfrowanych C z rozkładem prawdopodobieństwa p ( C ) 

• K - przestrzeń kluczy K wybieranych zgodnie z rozkładem prawdopodobieństwa p ( K ) 

Warunek poufności doskonałej : pC ( M ) = p ( M ) 

Interpretacja : przechwycenie zaszyfrowanej wiadomości nie daje Ŝadnych przesłanek do 

określenia wiadomości jawnej. 

Prawdopodobieństwo odbioru wiadomości zaszyfrowanej C pod warunkiem wysłania 

wiadomości jawnej M : 

pM ( C ) = Σ p ( K ) 

K 

Ek(M)=C 


str.98

Warunek konieczny i wystarczający poufności doskonałej : 

∀ C ∈ C ∀ M ∈ M : pM(C) = p(C) 

Interpretacja : prawdopodobieństwo odebrania określonego kryptogramu C przy załoŜeniu, Ŝe 

wysłano wiadomość jawną M zaszyfrowaną pewnym kluczem, jest takie samo, jak 

prawdopodobieństwo odebrania C przy wysłaniu jakiegokolwiej innej wiadomości jawnej M' 

zaszyfrowanej dowolnym innym kluczem. 

Wniosek: 

Poufność doskonała wymaga, aby liczba kluczy była równa co najmniej liczbie wiadomości. 


str.99

Niech dla ustalonego "języka" przestrzeń wiadomości jawnych zawiera komunikaty o długości 

N znaków, przy czym do ich przedstawienia wykorzystywany jest alfabet zawierający L 

znaków. 

Wskaźnik języka (rate of the language) - r - to ilość informacji (entropia) przypadająca na jeden 

znak wiadomości jawnej : 

r = H(M)/N 

Bezwzględny wskaźnik języka (absolute rate of the language) - R - to maksymalna liczba bitów 

informacji, która mogłaby być zakodowana w jednym znaku, przy załoŜeniu, Ŝe wszystkie 

moŜliwe sekwencje znaków są jednakowo prawdopodobne (maksymalna entropia dla 

pojedynczego znaku) : 

R = log 2 

L 

Nadmiarowość (redundancy) języka określana jest jako : 

D = R - r 

(czasem wyraŜana takŜe w procentach jako D / R ). 


str.100

Przykład A: 

Metodą szacowania entropii N-gramów dla rosnących wartości N określono dla literackiego 

języka angielskiego (26 liter) metodą ekstrapolacji (wykorzystując reprezentatywne 

wieloznakowe próbki tekstów) wartość wskaźnika języka jako : 

1.0 ≤ r ≤ 1.5 bitów na literę 

Nadmiarowość : 

R = log226 ≈ 4.7 bitów na literę 

3.2 ≤ D ≤ 3.7 (68 % - 79 %) 


str.101

Przykład B: 

Wiadomości jawne są ciągami cyfr 0 - 9, zaś histogramy poszczególnych cyfr, digramów, 

trigramów, itd. są zbiorami identycznych wartości. 

Entropia dla ciągów N-elementowych : 

H(M) = 10N(1 / 10N)log2(10N) = log2(10N) = N log2 10 

r = log210 ≈ 3.32 bitów na cyfrę 

Nadmiarowość : 

R = log210 ≈ 3.32 bitów na cyfrę 

D = 0 (0 %) 


str.102

Jeśli pC(K) jest prawdopodobieństwem warunkowym, Ŝe uŜyto klucza K, pod warunkiem, 

Ŝe przechwycono wiadomość tajną C, to poufność klucza moŜna wyrazić przez entropię 

warunkową klucza (Shannon) : 

ΗC(Κ) = Σ p(C) Σ pC(K) log2 (1 / pC(K)) 

C K 

JeŜeli ΗC(Κ) = 0, 0 to brak nieokreśloności i szyfr jest teoretycznie przełamywalny, 

pod warunkiem zgromadzenia wystarczających do tego celu zasobów. Ze wzrostem długości N 

tekstu zaszyfrowanego zmniejsza się entropia warunkowa klucza. 

Długość krytyczna (unicity distance) jest to najmniejsza wartość N, dla której ΗC(Κ) = 0 , 

a więc najmniejsza ilość zaszyfrowanego tekstu niezbędna do jednoznacznego określenia klucza 

szyfrowania K. Dla szyfru bezwarunkowo bezpiecznego ΗC(Κ) 

nigdy nie osiąga wartości 

zerowej. 


str.103

W większości przypadków nie jest moŜliwe analityczne wyznaczenie wartości długości 

krytycznej. Niekiedy moŜna ją jednak oszacować. Np. dla szyfru endomorficznego, w którym 

wszystkie wiadomości jawne i tajne mają długość N i są wyraŜane symbolami tego samego 

alfabetu, zawierającego L znaków, Hellman oszacował długość krytyczną szyfru jako : 

N = H(K) / D 

Przykład C: 

Szyfrem podstawieniowym Cezara zaszyfrowano tekst angielski, składający się jedynie z 

duŜych liter (alfabet przestrzeni wiadomości jawnych i tajnych zawiera 26 znaków). Kluczem 

szyfrowania jest wielkość przesunięcia (od 0 do 25). 

Nadmiarowość języka angielskiego : D = 3.2 

Entropia przestrzeni kluczy : H(K) = log226 = 4.7 

Długość krytyczna : N = (4.7) / (3.2) ≈ 1.5 znaku (PARADOKS ???!!!) 

Przykład D: 

Dla systemu kryptograficznego z przykładu B nadmiarowość wynosi D = 0, a zatem teoretycznie 

nie jest moŜliwe określenie liczby znaków niezbędnych do jednoznacznego określenia klucza. 

Ciekawostka: 

Dla algorytmu DES (długość bloku 64 bity, długość klucza 56 bitów) długość krytyczna 

wynosi 17.5 bajta (< 3 bloków kryptogramu !!!). 


str.104

DYGRESJA HISTORYCZNA 

Pracownicy CESG (Communication Electronic Security Group – brytyjska agencja 

wywiadowcza) odkryli ideę kryptografii klucza publicznego na kilka lat przed ich oficjalnym 

odkryciem (ujawniono to w grudniu 1997). 

Odkrycie nie obejmowało zastosowania kryptografii asymetrycznej do realizacji podpisów 

cyfrowych. 

WciąŜ nie wiadomo, czy i kiedy kryptografia klucza publicznego została odkryta przez NSA 

(National Security Agency). 

Ogólna koncepcja kryptografii klucza jawnego (publicznego) 

James H. Ellis 

styczeń 1970 

Whitfield 

Diffie, 

Martin 

Hellmann 

listopad 1976 

“The possibility of Secure Non-Secret 

Digital Encryption” 

Dowód moŜliwości konstrukcji systemu 

nie-tajnej kryptografii 

„New Directions in Cryptography” 

Schemat uzgadniania kluczy D-H 

Koncepcja podpisu cyfrowego 


str.105

Asymetryczny szyfr wykładniczy (moduł iloczynem dwóch róŜnych liczb pierwszych) 

Ron Rivest, 

Clifford Cocks 

Adi Shamir, 

Leonard Adleman 

listopad 1973 

styczeń 1978 

C = M N mod N 

N = PQ (P,Q – liczby pierwsze) 

Deszyfrowanie zawsze wymaga zastosowania CRT 

PP' = 1 (mod Q-1) 

QQ' = 1 (mod P-1) 

M = C P' (mod Q) 

M = C Q' (mod P) 

C = M e mod N 

N = PQ (P,Q – liczby pierwsze) 

M = C d mod N 

de = 1 (mod (P-1)(Q-1)) 

Deszyfrowanie z zastosowaniem CRT 

jako rzadko stosowana opcja 

Schemat uzgadniania kluczy Diffie’go- Hellmana 

Malcolm Williamson 

1974 

Whitfield Diffie, 

Martin Hellmann, 

Ralph Merkle 

czerwiec 1976 


str.106

ASYMETRYCZNE SZYFRY WYKŁADNICZE 

W systemach klucza publicznego opartych na potęgowaniu wiadomość szyfrowana 

przekształcana jest na bloki interpretowane jako pewne liczby nieujemne z zakresu 

ograniczonego jednym z parametrów przekształcenia, czyli elementy pierścienia Z n : 

C = M e mod n , M = C d mod n, M ∈ Z n , C ∈ Z n 

Parametr n nosi nazwę modułu przekształcenia szyfrującego, zaś parametry e i d są 

kluczami przekształcenia (jeden z nich to klucz prywatny, drugi - klucz publiczny). 

Klucze przekształcenia powinny być dobrane tak, aby spełniona była zaleŜność : 

ed mod Φ(n) = 1 , gdzie Φ(n) jest funkcją Eulera. 

Wtedy na podstawie twierdzenia Fermata - Eulera (k ∈Z): 

C d mod n = (M e mod n) d mod n = M ed mod n = M kΦ (n) + 1 mod n = 

= M M kΦ(n) mod n = M (M kΦ(n) mod n) mod n = M ((M Φ(n) mod n)k mod n)mod n = 

= M (1 k mod n) mod n = M mod n = M, 


str.107

a zatem wymienione na wstępie przekształcenia wykładnicze są parą przekształceń 

odwrotnych (formalnie dzieje się tak dla M i C względnie pierwszych z n, ale dowód dla 

elementów nie naleŜących do Z* n jest podobny) . Ponadto, dzięki symetrii : 

(M d mod n) e mod n = M 

Zasada wyznaczania kluczy : 

• określa się moduł przekształcenia n; 

• wybiera się liczbę d względnie pierwszą z Φ(n); 

• wyznacza się e jako element odwrotny do d (mod Φ(n)) 

e = d -1 mod Φ(n). 


str.108

Szyfr RSA (R.Rivest , A.Shamir, L.Adleman - 1978 r.) 

W tym szyfrze wykładniczym jako moduł przekształcenia szyfrującego przyjmuje się 

liczbę n będącą iloczynem dwóch duŜych liczb pierwszych p i q (n = pq). 

W takim przypadku funkcja Eulera : Φ(n) = (p ( - 1)( q - 1). 

Problem rozkładu duŜych liczb na czynniki pierwsze nie jest zagadnieniem trywialnym, 

więc ujawnienie modułu przekształcenia n oraz jednego z kluczy (np. e, który w ten sposób 

staje się kluczem publicznym) nie prowadzi do prostego przełamania systemu. 

Faktoryzacja modułu przekształcenia n = pq umoŜliwia przełamanie systemu RSA, gdyŜ 

wtedy: 

- znana jest liczba p , a zatem takŜe znana jest Φ (p) = p - 1; 

- znana jest liczba q , a zatem takŜe znana jest Φ (q) = q - 1; 

- znany jest klucz publiczny e; 

- moŜna obliczyć Φ (n) = (p ( - 1)( q - 1); 

oraz 

- moŜna obliczyć klucz prywatny d = e -1 mod Φ(n), 

np. za pomocą rozszerzonego algorytmu Euklidesa. 


str.109

Uwaga 1: 

Podobnie, jak w przypadku szyfru Pohliga-Hellmana, przy ataku tekstem jawnym 

kryptoanalityk mógłby obliczyć : 

d = log C M mod n 

pod warunkiem, Ŝe „opanowałby” umiejętność obliczania logarytmu dyskretnego w 

dowolnej podgrupie cyklicznej grupy Z* n . 

Uwaga 2: 

W istocie, ze względu na to, Ŝe (p - 1) i (q - 1) mają co najmniej jeden wspólny czynnik = 2, 

związek między wykładnikiem prywatnym i publicznym określa zaleŜność: 

d = e -1 mod λ(n), 

gdzie: 

λ(n) = lcm((p - 1), (q - 1)) – funkcja Carmichaela 

zaś lcm – najmniejsza wspólna wielokrotność. 


str.110

Uwaga 3: 

W wersji 2.1 dokumentu PKCS#1 z czerwca 2002 zaproponowano uogólnienie algorytmu 

RSA, określając moduł jako iloczyn u róŜnych nieparzystych liczb pierwszych: 

n = r 1 r 2 r 3 ... r u , gdzie u ≥ 2. 

Od wykładnika publicznego e Ŝąda się wówczas spełnienia warunku: 

wówczas: 

gcd( e, λ(n)) = 1, 

d = e -1 mod λ(n), 

zaś wartość funkcji Carmichaela λ(n) jest wówczas określona jako: 

λ(n) = lcm((r 1 - 1), ( r 2 - 1), ... , ( r u - 1)) 


str.111

Podatność algorytmu RSA na atak wybranym szyfrogramem 

Algorytm RSA moŜe być wykorzystany zarówno do szyfrowania danych, jak i do ich 

podpisywania. Jednak w tym drugim przypadku niedopuszczalne jest podpisywanie samej 

wiadomości w formie jawnej. Schemat postępowania naleŜy koniecznie uzupełnić o funkcję 

skrótu (lub inny mechanizm kontroli integralności danych, innym rozwiązaniem jest 

wykorzystywanie dwóch róŜnych par kluczy do szyfrowania i podpisywania). PoniŜej 

przedstawione scenariusze udanego ataku na RSA wyjaśniają, dlaczego jest to niezbędne. 

Scenariusz 1: 

Atakujący chce uzyskać „nielegalny” podpis złoŜony przy pomocy klucza d na pewnej 

wiadomości M , którego nigdy by nie uzyskał w sposób legalny, prezentując do podpisania 

wiadomość M. W tym celu generuje dwie „niewinne” wiadomości M1 i M2, takie Ŝe: 

M = M1 * M2 mod n 

i uzyskuje na obu tych wiadomościach podpisy: M1 d mod n oraz M2 d mod n, 

a następnie „samodzielnie” wytwarza podpis na wiadomości M: 

( M1 d mod n ) * ( M2 d mod n ) = ( M1 * M2 ) d mod n = M d mod n 


str.112

Scenariusz 3: 

Atakujący zna moduł przekształcenia n, klucz publiczny e, a ponadto przez podsłuch 

kanału komunikacyjnego wszedł w posiadanie pewnego kryptogramu c = m e mod n. 

W celu odtworzenia wiadomości jawnej m atakujący wybiera losową liczbę r < n, a 

następnie oblicza wartości x, y i t: 

x = r e mod n (stąd: r = x d mod n ) 

y = x c mod n 

t = r -1 mod n (stąd: t = x - d mod n ) 

i podsuwa wiadomość y do „podpisania” właścicielowi klucza prywatnego d. 

Po odebraniu wiadomości u, będącej podpisaną kluczem prywatnym d wiadomością y 

atakujący odtwarza „poszukiwaną” wiadomość jawną wykonując proste mnoŜenie: 

u = y d mod n 

(tu) mod n = x - d y d mod n = x - d x d c d mod n = c d mod n = m. 


str.113

Problem małego wykładnika-klucza publicznego 

W celu poprawienia skuteczności szyfrowania (czyli szybkości obliczeń) sugeruje się, by 

wartość klucza publicznego RSA była mała, lub by jego reprezentacja binarna miała jak 

najmniejszą liczbę bitów jedynkowych (np. e = 3 lub e = 2 16 + 1 = 65537). Często przyjmuje 

się, Ŝe wszystkie podmioty mają tą samą wartość klucza publicznego, zaś róŜne moduły n. 

ZałóŜmy, Ŝe podmiot A chce wysłać tą samą wiadomość m do trzech róŜnych podmiotów, 

których moduły przekształcenia RSA wynoszą odpowiednio: n 1 , n 2 i n 3 . Niech klucz 

publiczny dla wszystkich trzech podmiotów ma wartość e = 3. 

Utworzone kryptogramy: 

c 1 = m 3 mod n 1 

c 2 = m 3 mod n 2 

c 3 = m 3 mod n 3 


str.114

PoniewaŜ z duŜym prawdopodobieństwem wszystkie trzy moduły są parami względnie 

pierwsze, więc adwersarz, wykorzystując CRT (i np. algorytm Gaussa) moŜe znaleźć 

rozwiązanie: 

rozwiązując układ trzech kongruencji: 

⎧ x ≡ c1(mod 

⎪⎨ x ≡ c2(mod 

⎪⎩ x ≡ c3(mod 

x = m 3 (0 ≤ x ≤ n 1 n 2 n 3 ) 

n1 

) 

n2 

) 

n3 

) 

a następnie obliczając pierwiastek trzeciego stopnia z x w pierścieniu liczb całkowitych 

(czyli „zwyczajny” pierwiastek trzeciego stopnia, bez wnikania w „zawiłości obliczeń” w 

Z n ). 

Z tego powodu ten sam „mały” klucz publiczny nie powinien być stosowany do 

szyfrowania tej samej wiadomości wysyłanej do róŜnych podmiotów. 


str.115

JeŜeli jest to jednak z pewnych powodów wygodne, to zaleca się uzupełnianie (padding) 

kaŜdej z identycznych wiadomości m pseudolosowym ciągiem binarnym o określonej 

długości (np. 64 bitów), innym dla kaŜdego z odbiorców, przed poddaniem jej szyfrowaniu 

(tzw. salting). 

Małe klucze publiczne są takŜe niedogodne w przypadku małych wiadomości jawnych m, 

tzn. takich, Ŝe m < n 1 / e , gdyŜ wtedy m moŜna odtworzyć z c = m e przez proste obliczenie 

zwykłego pierwiastka e-tego stopnia z liczby c. RównieŜ i w tym przypadku salting 

rozwiązuje (choć nie do końca) problem. 

Problem tego samego modułu dla róŜnych podmiotów 

ZałóŜmy, Ŝe pewna Zaufana Trzecia Strona ustaliła w systemie jeden stały moduł n 

przekształcenia RSA, rozsyłając wszystkim podmiotom przez kanał fizycznie bezpieczny 

pary (e i , d i ). 

Wówczas podmiot j-ty, dysponujący parą kluczy (e j , d j ), dokonuje faktoryzacji modułu n, 

zaś znając klucz publiczny e k podmiotu k-tego i wiedząc o tym, Ŝe ma on identyczny moduł 

n, jest w stanie odtworzyć jego klucz prywatny d k . 


str.116

Punkty stałe przekształcenia RSA 

Wiadomość jawna m (0 ≤ m ≤ n-1) jest nazywana w systemie RSA nieukrywalną wtedy, gdy 

m e = m (mod n). Takimi wiadomościami są oczywiście m = 0, m = 1 oraz m = n - 1. 

Wiadomości nieukrywalne są punktami stałymi przekształcenia RSA, zaś ich liczba dana 

jest wzorem: 

[1 + gcd(e-1, p-1)][ 1 + gcd(e-1, q-1)]. 

PoniewaŜ wartości (e-1), (p-1) i (q-1) są zawsze parzyste, więc liczba wiadomości 

nieukrywalnych wynosi co najmniej 9. 

JeŜeli wartość e jest względnie mała (np. e = 3 lub e = 2 16 + 1) to liczba nieukrywalnych 

wiadomości jawnych jest znikoma w porównaniu z liczbą wszystkich wiadomości jawnych, 

wynoszącą n. 


str.117

Atak cykliczny na system RSA 

Niech szyfrogram c = m e (mod n), zaś k będzie liczbą naturalną taką, Ŝe: 

e 

c k 

≡ 

c(mod n) 

PoniewaŜ przekształcenie szyfrujące jest permutacją określoną na przestrzeni wiadomości 

jawnych M = Z n , więc liczba k zawsze istnieje. Wynika z tego, Ŝe: 

e 

c k 

−1 

≡ 

m(mod n) 

Atak cykliczny na system RSA polega na tym, Ŝe adwersarz oblicza kolejno: 

dopóki nie uzyska: 

c e mod n 

c e 2 

mod n 

c e 3 

mod n 

e 

c k 

≡ c(mod n) 


str.118

Wtedy poprzednia wartość uzyskana w cyklu: 

e 

c k 

−1 

W istocie problem dotyczy ponownie właściwego wyboru wykładników publicznego 

i prywatnego, bowiem poszukując wartości parametru k, czyli liczby szyfrowań wiodących 

do ujawnienia m, moŜna problem uogólnić na całą przestrzeń M. Z twierdzenia Fermata- 

Eulera wynika, Ŝe powyŜsze poszukiwania sprowadzają się do znalezienia najmniejszego k, 

takiego Ŝe: 

e k = 1 (mod Φ (n)), 

a więc rzędu elementu e (lub d) w grupie multiplikatywnej Z Φ(n) . 

Problem kluczy raz jeszcze 

≡ 

m(mod n) 

Liczba róŜnych par kluczy „prywatny-publiczny” zaleŜy oczywiście od modułu 

przekształcenia n = p * q, i nie ma regularnej zaleŜności (w szczególności liniowej) między 

wielkością liczb pierwszych określających ten moduł, a liczbą róŜnych par kluczy, 

spełniających warunek: 

d * e = 1 mod (p - 1)(q - 1) 


str.119

Cechą przekształcenia RSA jest istnienie pewnych par kluczy, które szyfrują wszystkie 

wiadomości do identycznych szyfrogramów (daleki odpowiednik kluczy z kolizją dla 

algorytmu DES). W konsekwencji takie pary są nierozróŜnialne (bez konieczności 

faktoryzacji modułu moŜna skutecznie podszywać się pod inny podmiot). 

Warunek owej kolizji da się wyrazić następująco: 

i w konsekwencji: 

∀ m 

∀ m 

d2* e2 

gdzie: 

e1 ≠ d1, e2 ≠ d2, e1 ≠ d2, e2 ≠ d1 


str.120

PowyŜsze spostrzeŜenia jednoznacznie wskazują na fakt, iŜ w systemie kryptograficznym, 

opartym na najpopularniejszym obecnie algorytmie kryptografii asymetrycznej, naleŜy 

wyjątkowo pieczołowicie implementować realizację zadania generowania i przydzielania 

par kluczy poszczególnym podmiotom (a w miarę moŜliwości dbać o to, by moduły 

przekształceń były niepowtarzalne). 

Przykład: 

Do konstrukcji systemu kryptograficznego opartego na algorytmie RSA wykorzystano 

liczby pierwsze: 

p = 31 i q = 43 

Moduł przekształcenia szyfrującego n = p * q = 1333. 

Taki dobór parametrów umoŜliwia wygenerowanie 151 par kluczy, spośród których 15 par 

naleŜy w zasadzie odrzucić, bowiem spełniają one warunek: 

Są to klucze o wartościach: 

e = d. 

71, 181, 251, 379, 449, 559, 629, 631, 701, 811, 881, 1009, 1079, 1189 i 1259. 


str.121

W ten sposób pozostaje do wykorzystania jako klucze jedynie 272 róŜnych wartości 

liczbowych, które mogą tworzyć pary kluczy prywatnych i publicznych. 

Analizując liczbę punktów stałych przekształcenia szyfrującego (uwzględniając równieŜ 

pary spełniające warunek e = d) uzyskuje się następującą statystykę: 

liczba par kluczy liczba punktów stałych 

46 9 

16 33 

10 45 

46 49 

4 165 

16 217 

10 301 

3 1333 


str.122

A więc jedynie około 1/3 moŜliwych par kluczy (w tym przypadku) zapewnia minimalną 

liczbę punktów stałych przekształcenia szyfrującego. Spośród par kluczy, które 

odpowiadają przekształceniu toŜsamościowemu, aŜ dwie sprawiają wraŜenie par 

„poprawnych” : 

(211, 1051) oraz (421, 841) 

Istnieją takŜe nierozróŜnialne (ze względu na efekt szyfrowania) pary kluczy, jak np.: 

(197, 953) oraz (827, 323), 

albowiem dla kaŜdej wiadomości jawnej m < 1333 zachodzi: 

m 197 mod 1333 = m 827 mod 1333 

oraz 

m 953 mod 1333 = m 323 mod 1333 


str.123

Przyjrzyjmy się tym dwóm parom kluczy. 

Φ(n) = (p - 1) (q - 1) = 30 * 42 = 1260 

λ(n) = lcm((p - 1), (q - 1)) = lcm(30, 42) = 1260 / gcd(30, 42) = 1260 / 6 = 210 

953 mod 210 = 113 

323 mod 210 = 113 

827 mod 210 = 197 

197 mod 210 = 197 

A zatem nie powinna juŜ dziwić taka, a nie inna zaleŜność wiąŜąca parę według aktualnej 

wersji dokumentu PKCS #1. 


str.124

Problem blokady przy zastosowaniu do podpisywania algorytmu RSA 

Niech oprócz wymagania integralności i autentyczności danych będzie poŜądane takŜe 

zapewnienie ich poufności. Stosując algorytm RSA moŜna obie te usługi zrealizować 

jednocześnie, wykorzystując odwracalność przekształcenia RSA. 

Niech podmiot A dysponujący kluczem publicznym (e A , n A ) chce poufnie przesłać 

podpisaną przez siebie informację do podmiotu B, dysponującego kluczem publicznym 

(e B , n B ) . 

JeŜeli n A > n B , to istnieje niebezpieczeństwo, Ŝe wiadomość nie zostanie prawidłowo 

odtworzona przez odbiorcę. 

Przykład: 

n A = 62894113 e A = 5 d A = 37726937 

n B = 55465219 e B = 5 d B = 44360237 


str.125

Podmiot A chcący przesłać poufnie do podmiotu B podpisaną przez siebie wiadomość m = 

1368797 oblicza: 

s = m dA mod n A = 1368797 37726937 mod 62894113 = 59847900 

c = s eB mod n B = 59847900 5 mod 55465219 = 38842235 

Podmiot B odszyfrowując i weryfikując podpis podmiotu A oblicza: 

s’ = c dB mod n B = 38842235 44360237 mod 55465219 = 4382681 

m’ = s’ eA mod n A = 4382681 5 mod 62894113 = 54383568 

m ≠ m’ (!!!) 


str.126

Atak na RSA metodą „indukowania błędów” w ICC (Integrated Circuit(s) Card) 

W kartach elektronicznych w celu przyspieszenia szyfrowania RSA wykorzystuje się CRT - 

chińskie twierdzenie o resztach, a właściwie algorytmy pokrewne do algorytmu Garnera 

wyznaczającego rozwiązanie odpowiedniego układu równań, z którego wynika następująca 

toŜsamość: 

s = x d mod n = [ c 1 ( x d1 mod p ) + c 2 ( x d2 mod q )] mod n 

gdzie: 

c 1 = q ( q -1 mod p ) c 2 = p ( p -1 mod q ) 

d 1 = d mod( p - 1 ) d 2 = d mod( q - 1 ) 

W przypadku, gdy d jest kluczem prywatnym przechowywanym w obszarze 

kryptograficznym karty, wówczas powyŜsza operacja bezpiecznie realizuje podpisywanie 

wiadomości x bez ujawniania klucza szyfrującego. 

JeŜeli jednak istnieje moŜliwość wielokrotnego podpisania tej samej wiadomości x, to 

wówczas wprowadzając podczas kolejnych realizacji podpisu „zakłócenia” (np. wyginając 

kartę) moŜna spowodować, Ŝe jedno z powyŜszych obliczeń cząstkowych będzie 

„przypadkowym śmieciem” (random garbage). 


str.127

Niech „zakłócenie” spowoduje, Ŝe zamiast ( x d2 mod q ) do obliczenia „uszkodzonego 

podpisu” s* wzięta zostanie losowa wartość r. 

Wtedy: 

σ = s - s* = [ c 1 ( x d1 mod p ) + c 2 ( x d2 mod q ) ] mod n + 

- [ c 1 ( x d1 mod p ) + c 2 r ] mod n = 

= [ c 2 ( x d2 mod q ) - c 2 r ] mod n = 

= c 2 k’ mod n = p k” mod n 

Przy „łucie szczęścia” (np. gdy k” jest niewielkie) moŜna łatwo sfaktoryzować wartość σ 

i wyznaczyć p (!!!). W tym celu wystarczy wyznaczyć gcd(σ, 

n ) = p (np. przy pomocy 

algorytmu Euklidesa). 

„Poprawka” A.Lenstry : 

W rzeczywistości wystarczy x i s* (jedna próba !!!), gdyŜ: 

„Panaceum”: 

gcd[x - (s*) e mod n , n ] = p (!!!) 

Jednym ze środków uniemoŜliwiających przeprowadzenie tego rodzaju ataku jest kontrola 

poprawności wyniku przed jego udostępnieniem na zewnątrz i nie udostępnianie 

jakichkolwiek zakłóconych rezultatów (a jedynie informacji o błędnym przetwarzaniu). 


str.128

Atak na RSA metodą analizy poboru mocy (SPA, DPA – Static/Dynamic Power Analysis) 

JeŜeli wykładnik prywatny RSA jest przechowywany w obszarze kryptograficznym 

sprzętowego modułu kryptograficznego (np. procesorowej karty elektronicznej z 

koprocesorem kryptograficznym), zaś operacja kryptograficzna (podpisywanie lub 

deszyfrowanie) jest realizowana wewnątrz modułu, zaś otoczeniu jest udostępniany jedynie 

jej rezultat, to wówczas zakłada się, Ŝe paradygmat bezpieczeństwa klucza prywatnego jest 

spełniony. 

Operację potęgowania modulo n z reguły implementuje się zgodnie ze schematem 

wywodzącym się z klasycznego schematu Hornera, wykonując tyle pętli obliczeniowych, ile 

jest znaczących bitów w reprezentacji binarnej wykładnika. 

Obliczanie potęgi całkowitej a k mod n (n > k ≥ 0): 

- długość binarnej reprezentacji k = t + 1 bitów 

- a stąd: 

k 

a 

t i 0 

k 0 1 

k 1 

a k 2 ⎛ 

a 

2 ⎞ ⎛ 

i 

a 

2 ⎞ ⎛ 

= ∏ = 

⎜⎜ 

⎟⎟ 

⎜⎜ 

⎟⎟ ... 

⎜⎜ a 

i= 

0 ⎝ ⎠ ⎝ ⎠ ⎝ 


t 

2 

k 

⎞ t 

⎟⎟ 

⎠ 

str.129

Klasyczny algorytm potęgowania metodą wielokrotnego podnoszenia do kwadratu i 

mnoŜenia: 

Power (a, k, n) 

{ b := 1 

if (k = 0) then return (b) 

x := a 

if (k0 = 1) then b := a 

for i := 1 until t do 

{ x := x 2 mod n 

if (ki = 1) then b := x · b mod n } 

return (b) } 

W zaleŜności od tego, czy kolejny bit wykładnika jest „zerem”, czy „jedynką”, w kaŜdej 

pętli oprócz operacji podnoszenia do kwadratu moŜe być wykonywane dodatkowe 

mnoŜenie. 


str.130

W rzeczywistości powyŜszy pseudokod jest na poziomie sprzętu zastępowany sekwencją 

elementarnych poleceń (z listy rozkazów procesora), zaś kaŜde z nich ma swoje specyficzne 

„widmo” (przebieg czasowy poboru mocy z obwodu zasilającego, itp.). 

Pomiar tego „widma” (np. przez pomiar prądu pobieranego podczas operacji podnoszenia 

do potęgi równej wykładnikowi prywatnemu RSA) oraz jego analiza statystyczna 

umoŜliwia wnioskowanie o kolejnych bitach pozornie bezpiecznego klucza prywatnego (na 

podobnej zasadzie oparta jest kryptoanaliza czasowa). 


str.131

Sposób obrony przed tym atakiem zaleŜy od właściwości sprzętu kryptograficznego. JeŜeli 

nie ma moŜliwości modyfikacji hardware’u, to wówczas, kosztem wydłuŜenia operacji 

szyfrowania, moŜna wprowadzić czynnik losowy do obliczeń: 

Klasyczny podpis RSA: 

S = M d mod N 

„Maskowanie” R.Rivesta: 

S = [(MX) d mod N][(X -1 ) d mod N] mod N = 

= [(M) d mod N][(XX -1 ) d mod N] mod N = 

= M d mod N 

X jest losowe i róŜne dla kaŜdego M; 

Radykalny i skuteczny środek: 

Projektowanie układu scalonego tak, by „hardware” miał pozory elementu zachowującego się 

losowo, tzn.: 

- to samo polecenie; 

- te same argumenty; 

- inna chwila czasowa; 

- inny czas i „obwiednia” instrukcji procesora !!! 


str.132

Zalecana wielkość modułu przekształcenia RSA 

Znane obecnie najskuteczniejsze metody faktoryzacji iloczynu dwóch duŜych liczb 

pierwszych powodują, Ŝe zalecane długości reprezentacji binarnych modułów 

przekształcenia RSA wynoszą: 

• wg. RSA Data Security – długość minimalna to 1024 bity, co powinno „wystarczyć” do 

2010 roku; od 2010 roku do 2030 roku „zalecana” długość minimalna – 2048 bitów (ale 

trudno wróŜyć „z fusów” i przewidywać co się w tym czasie wydarzy w dziedzinie 

kryptoanalizy. 

• wg. NESSIE (New European Schemes for Signatures, Integrity and Encryption) co 

najmniej 1536 bitów dla kluczy, które powinny być niezagroŜone przez dłuŜszy okres 

czasu; 

W przypadku kluczy RSA stosowanych w realizacji usługi autentyczności (podpis cyfrowy, 

i to zarówno w wersji „z załącznikiem”, jak i w wersji „z odtwarzaniem wiadomości”) 

powszechnie akceptuje się w Europie zalecenia sformułowane w dokumencie 

przygotowanym pierwotnie przez ekspertów w ramach inicjatywy EESSI (European 

Electronic Signature Standardization Initiative), znanym powszechnie pod nazwą ALGO 

(ETSI SR 002 176: „Electronic Signatures and Infrastructures (ESI); Algorithms and 

Parameters for Secure Electronic Signatures” z marca 2003). 


str.133

Obecnie przygotowywana jest nowa dwuczęściowa wersja tego dokumentu (draft) ETSI 

TR 102 176. 

Zawarte w nim wskazówki dotyczą nie tylko wielkości modułu RSA, ale takŜe sposobu 

generowania liczb pierwszych tworzących ten moduł oraz takiego wyboru wartości 

wykładników prywatnych i publicznych (dla schematów podpisów cyfrowych, nie zaś 

schematów szyfrowania, czyli realizacji usługi poufności !!!), by uczynić schemat podpisu 

RSA „rozsądnie” bezpiecznym. 

PoniŜej przedstawiono wyciąg najistotniejszych zaleceń z tego dokumentu. 

Annex C (informative): Generation of RSA keys for signatures 

C.1 Generation of random prime numbers 

C.1.1 

Probabilistic primality test 

The generation of large prime numbers for cryptographic applications is usually done 

using probabilistic primality tests. These algorithms are very efficient but may declare that 

a composite number is prime with some (small) probability. The Miller-Rabin test is one 

such algorithm. It is known that the probability of declaring a composite number as prime 

is at most (1/4)k after k iterations of the elementary algorithm. 


str.134

It is known (see Menezes, van Oorschot and Vanstone) that for example, when generating 

1000-bit probable primes, Miller-Rabin test with 3 repetitions is sufficient. 

The generation of random prime numbers in the range [a,b] can be done using the 

following algorithm: 

• randomly choose an odd integer x in the range [a,b]; 

• try to divide x by all the prime numbers smaller than a (small) bound B; if x is 

divisible, go back to the first step; 

• using the Miller-Rabin probabilistic primality algorithm, test if x is probably prime; if 

this is not the case, go back to the first step. 

Note that the second step just makes the generation faster since the small prime numbers 

are the most probable prime factors. Furthermore, this test can be done in a single 

operation by just testing if x is relatively prime with the precomputed product of all the 

prime numbers smaller than B. 

The probability for an odd integer randomly chosen in the range [a,b] to be prime is about 

2/ln(b) so the number of repetitions of the algorithm will be about ln(b)/2. Furthermore, the 

entropy of k-bit primes generated with this method is about k-ln(k). 


str.135

From a practical point of view, the time needed to generate a prime number can be 

reduced if, instead of choosing a new random integer x for each test, we look for the 

smallest prime number larger than a random integer x. This can be done by sieving, 

efficiently testing all the numbers in the range x to x+d (for some suitable d) for divisibility 

by all small primes less than B, before doing any probabilistic primality tests. From a 

theoretical point of view this makes the distribution of the primes produced less uniform, 

but in practice the effect is insignificant. 

C.1.2 

Strong prime numbers 

For some cryptographic applications, it is sometimes advised to use so-called strong prime 

numbers. A prime p is said to be strong if: 

• p-1 has a large prime factor r; 

• p+1 has a large prime factor; 

• r-1 has a large prime factor. 

Those additional requirements are made to avoid certain factoring algorithms (Pollard p-1 

algorithm and its generalizations). 


str.136

If such verifications can be easily done and if the efficiency of prime number generation is 

not a critical issue, they can be added to the prime number generation procedure. 

However, it has been proved that the probability for a randomly chosen prime number to 

fulfil those requirements is overwhelming for the current parameter sizes. Furthermore, 

the Pollard method is generalized by the elliptic curve factoring method so it is not possible 

to make an exhaustive list of weak forms of prime numbers. 

In conclusion, the prime numbers must be randomly chosen and must not have any kind of 

special form; if this is done, additional tests can be added. 

C.2 Generation of RSA modulus 

An RSA modulus is obtained by multiplying two prime numbers of roughly the same size. 

Furthermore, the two factors must not be too close in order to be far enough from the 

square root of the modulus. 

If we let p and q be the two prime factors of the modulus n, we can require that, for 

example, 

0,1 < |log2(p) - log2(q)| < 30 

which means that none of the factors is small or close to the square root of the modulus. 


str.137

This condition implies that 

log2(n)/2 - 15 < log2(p), log2(q) < log2(n) / 2 + 15 

The generation of an RSA modulus of exactly k bits could be done with the following 

algorithm: 

• Choose a random prime number p in the range ]2k/2-15, 2k/2+15[; 

• Choose a random prime number q in the range [2k-1/p, 2k/p[; 

• If the condition 0.1 < |log2(p)-log2(q)| < 30 is not satisfied, go back to the first step; 

• Let n be the product of p and q. 

A more complicated method that avoids the third step altogether but produces differently 

distributed primes is: 

• Choose a random prime number p in the range [2k/2-9/20, 2k/2+15[; 

• Choose a random prime number q in the range]a,b[ where a=max(ceil(2k-1/p)-1, p.2- 

30) and b=min(2k/p, p.2-1/10); 

• Let n be the product of p and q. 


str.138

C.3 Generation of RSA keys 

An RSA public key is made of an RSA modulus n=p.q generated as explained in the 

previous section and of a public exponent e. The only requirement for e is to be relatively 

prime to lcm(p-1,q-1). This public exponent may be chosen as small as e=3. 

The related RSA secret key d (or signature generation key) is computed using the extended 

Euclidean algorithm: 

e.d ≡ 1 mod lcm(p-1,q-1) 

The optimization that consists of first choosing the secret exponent d and then computing 

the public exponent e can be used but in this case d must be randomly chosen. The value of 

d should not be too small otherwise there are attacks which can factor the modulus 

(Wiener 1990, Boneh and Durfee 1999, Durfee and Nguyen 1999, see bibliography). A 

conservative method would be to choose d randomly in a range at least √n from its 

minimum and maximum values. In practice choosing d uniformly in the range [3,n] has 

negligible probability of producing an exploitable value. 

Let us also remember that a new modulus n must be used for each user of the signature 

scheme. A modulus must not be shared by some users, even if different public exponents 

are used. Furthermore, notice that if the RSA keys are generated as explained above, the 

probability of generating two keys with the same modulus or the same secret exponent is 

totally negligible, even if many keys are computed. 


str.139

Podpisywanie wiadomości i weryfikacja podpisu RSA raz jeszcze 

Dane: 

• klucz publiczny - (n, e); 

• klucz prywatny – d; 

• funkcja redundancji – R (publicznie znana i odwracalna, tzn. łatwo jest obliczyć 

zarówno m* = R(m), jak i m = R -1 (m*)). 

Komentarz: 

Z reguły „wiadomością” podpisywaną m nie jest sama wiadomość jako taka, lecz wartość 

odpowiedniej funkcji skrótu h(.), której reprezentacja binarna jest krótsza od 

reprezentacji modułu n. Istnieje zatem (wynikająca z wymagań bezpieczeństwa) potrzeba 

odpowiedniego „wydłuŜenia” podpisywanej wiadomości. Wybór funkcji R jest o tyle 

istotny, Ŝe „słaba” funkcja redundancji czyni podpis podatnym na atak. 


str.140

Tworzenie podpisu RSA 

Podmiot podpisujący: 

• oblicza m* = R(m); 

• oblicza podpis s = (m*) d mod n. 

Podmiot weryfikujący po uzyskaniu klucza publicznego (n, e) : 

• oblicza m* = s e mod n; 

• sprawdza, czy m* naleŜy do przeciwdziedziny funkcji R ; jeŜeli nie – odrzuca podpis 

jako „nieprawdziwy”; 

• odtwarza m = R -1 (m*). 

Uwaga: 

W przypadku tzw. podpisu z załącznikiem sprawdzanie przynaleŜności do 

przeciwdziedziny funkcji R obejmuje takŜe sprawdzenie zgodności odzyskanej powyŜej 

wartości m z wartością funkcji skrótu h(.) dla „wiadomości oryginalnej”. 


str.141

Standard podpisu RSA wg. PKCS #1 (Public Key Cryptography Standards) 

Klucz publiczny algorytmu RSA składa się z dwóch składników: modułu n i 

wykładnika publicznego e. W przypadku klucza prywatnego wykorzystywanego do 

podpisywania wiadomości istnieją jego dwie alternatywne reprezentacje. 

Pierwsza z nich, najbardziej „naturalna”, wymaga zdefiniowania modułu n i 

wykładnika prywatnego d. 

Druga, umoŜliwiająca realizację „efektywniejszej” obliczeniowo procedury 

szyfrowania kluczem prywatnym, obejmuje pięć parametrów: oba pierwsze czynniki 

modułu p i q, dwa wykładniki dP i dQ, spełniające zaleŜności: 

e dP mod (p – 1) = 1 

e dQ mod (q – 1) = 1, 

oraz tzw. „współczynnik CRT” qInv wynikający z „Chińskiego Twierdzenie o Resztach” 

i spełniający zaleŜność: 

q qInv mod p = 1. 


str.142

Dla pierwszej reprezentacji klucz prywatnego proces szyfrowania jest zgodny z 

„klasycznym” potęgowaniem: 

s = m d mod n. 

W przypadku drugiej reprezentacji proces obliczania podpisu s jest bardziej 

skomplikowany, lecz ze względu na operowanie niŜszymi wykładnikami potęg szybszy w 

realizacjach programowych i sprzętowych: 

s 1 = m dP mod p 

s 2 = m dQ mod q 

h = qInv (s 1 – s 2 ) mod p 

s = s 2 + h q 

Jak wspomniano wcześniej, funkcja redundancji R moŜe mieć kluczowe znaczenie dla 

bezpieczeństwa algorytmu RSA. Potwierdzeniem tego faktu jest historia PKCS #1 (pomija 

się tu fakt odkrywania kolejnych „słabości” zalecanych we wcześniejszych wersjach tego 

standardu funkcji skrótu MD4 i MD5). 


str.143

W wersji 1.5 z listopada 1993 zalecano następującą „formułę preparowania” 

podpisywanej wiadomości przed poddaniem jej szyfrowaniu kluczem prywatnym: 

m* = 01 ciąg bitów jedynkowych (PS) 00 T , 

gdzie wartość T jest wartością funkcji skrótu „oryginalnej” podpisywanej wiadomości 

zakodowanej zgodnie z DER (Distinguished Encoding Rules), wraz z identyfikatorem 

funkcji skrótu. 

Mimo, iŜ w przypadku tego schematu przygotowania wiadomości podpisywanej zasadniczo 

nie ma podejrzeń dotyczących istnienia skutecznego ataku, to jednak pojawiła się nowa 

propozycja dla „podpisu z załącznikiem” – PSS (Probabilistic Signature Scheme) – oparta 

na pracach Bellare’go i Rogaway’a 1 . 

W opublikowanej 14 czerwca 2002 roku wersji 2.1 dokumentu PKCS#1 formatowanie 

danych zgodnie z PSS (przed ostateczną operacją potęgowania) zostało juŜ uwzględnione 

jako alternatywa dla wersji 1.5. W porównaniu z oryginalną propozycją Bellare’go i 

Rogaway’a wprowadzono pewne zmiany, ale mają one słuŜyć sprawniejszemu 

przetwarzaniu podpisu podczas weryfikacji, nie osłabiając jego bezpieczeństwa. 

1 M.Bellare, P.Rogaway „PSS: Probably Secure Encoding method for Digital Signatures”, sierpień 1998, http://grouper.ieee.org/groups/1363 


str.144

W wersji tej oprócz „nieuniknionej” funkcji skrótu (ale tym razem nie wskazywanej w 

formie bezpośredniego określenia algorytmu jej obliczania) pojawia się funkcja 

generowania maski (MGF – Mask Generation Function), oparta na jednokierunkowej 

funkcji skrótu, a takŜe pseudolosowy ciąg binarny salt. Dopełniające ciągi bitów PS są 

ciągami „zerowymi”. 


str.145

Proponowany schemat „komponowania” podpisu wg. PSS jest następujący: 


str.146

Inne propozycje uczynienia podpisu RSA bezpieczniejszym 

Poszukiwanie tzw. udowadnialnie bezpiecznych schematów podpisów zaowocowało nie tylko 

propozycją PSS, ale takŜe innymi wariantami „preparowania” podpisywanej wiadomości. 

W 1993 roku Bellare i Rogaway zaproponowali schemat tzw. Full Domain Hash (FDH), w 

którym zakłada się, Ŝe wartość funkcji skrótu ma długość binarną taką samą, jak moduł 

RSA stosowany podczas szyfrowania kluczem prywatnym (nie są potrzebne Ŝadne bajty, 

ani ciągi uzupełniające): 

s = H(m) d mod n. 

Pewnym krokiem zgodnym z tą propozycją jest opublikowanie przez NIST jako 

normatywnych nowych funkcji skrótu SHA-256, SHA-384 i SHA-512, dających skróty o 

długościach binarnych „ukrytych” w nazwach tych funkcji. 

Ogólny wniosek, jaki wypływa z ostatnich analiz bezpieczeństwa schematu podpisu RSA 

jest następujący: wartości funkcji skrótu powinny być dłuŜsze, niŜ dotychczas zalecane w 

standardach „de facto” i „de jure”. 

Ostatnio pojawiają się takŜe propozycje, by w schemacie podpisu RSA z odtwarzaniem 

wiadomości wykorzystywać do szyfrowania i podpisywania ten sam moduł, lecz ze względu 

na „świeŜość” pomysłu wypada nieco poczekać na jego pełną i obiektywną ocenę. 


str.147

Praktyczne aspekty szyfrowania za pomocą algorytmu RSA 

Jak wspomniano juŜ wcześniej podczas omawiania podpisywania za pomocą 

algorytmu RSA, funkcja redundancji R moŜe mieć kluczowe znaczenie dla bezpieczeństwa 

tego algorytmu. 

W wersji 1.5 dokumentu PKCS #1 z listopada 1993 zalecano następującą „formułę 

preparowania” wiadomości przed poddaniem jej szyfrowaniu: 

M* = 00 02 ciąg pseudolosowy(PS) 00 M , 

gdzie ciąg PS ma co najmniej 8 bajtów. 

W 1998 r. D. Bleichenbacher wykazał, Ŝe wysłanie do pewnego podmiotu wartości C’ = r’C, 

gdzie C jest poprzednio przechwyconym kryptogramem adresowanym do tego podmiotu, 

zaś r’ – liczbą losową, i uzyskanie odpowiedzi, iŜ deszyfrowany kryptogram ma błędną 

składnię (nie zaczyna się od 00 02), umoŜliwia odtworzenie wiadomości jawnej M. 


str.148

Atak Bleichenbachera, polegający na wielokrotnym wysyłaniu odbiorcy 

„spreparowanych” fałszywych kryptogramów, nie ma praktycznego znaczenia przy 

atakach na klasyczną pocztę elektroniczną, gdyŜ odbiorca nie będzie wielokrotnie 

podejmował prób odszyfrowania „niewłaściwie” sformatowanych kryptogramów, lecz jest 

istotny i groźny w środowisku, w którym jednocześnie przetwarza się wiele informacji (np. 

w SSL, gdzie szyfrowanie RSA stosowane jest w celu bezpiecznego uzgadniania kluczy 

sesyjnych – „digital envelopes”/„key wrapping”, zaś atakujący moŜe pozostać anonimowy, 

gdyŜ nie jest wymagane uwierzytelnianie nadawcy). 

Przebieg ataku na schemat szyfrowania RSA zgodny z PKCS#1 v.1.5 jest następujący: 

1. Atakujący przechwycił kryptogram C, ma dostęp do klucza publicznego podmiotu 

atakowanego (n, e), i „pała Ŝądzą” odtworzenia wiadomości jawnej M. 

2. Atakujący generuje ciąg „kryptogramów” C 1 , C 2 , ..., gdzie: 

C i = C(r i ) e mod n, 

r 1 , r 2 , ..., są losowymi liczbami z przedziału (1, n -1). Kolejne wartości r i są wybierane 

„adaptacyjnie”, czyli z uwzględnieniem poprzednich „dobrych kryptogramów” 

C(r j ) e mod n, gdzie j < i. „Dobry kryptogram” to taki „kryptogram”, dla którego 

atakowany odbiorca nie stwierdza błędnego formatu niezgodnego z PKCS#1. 


str.149

3. Atakujący wysyła atakowanemu kolejne „kryptogramy” C 1 , C 2 , ..., obserwując jego 

reakcję na przebieg deszyfrowania. 

4. Na podstawie znajomości formatu atakujący wiedząc, które z „kryptogramów” są 

„dobrymi kryptogramami”, wnioskuje o pewnych bitach odpowiedniej „wiadomości 

jawnej”: 

M i = (C i ) d mod n =M r i mod n . 

5. Na podstawie znajomości odpowiedniej liczby bitów M i atakujący jest w stanie 

„zawęzić” przedział, w którym musi się znajdować poszukiwana wartość M (kaŜdy 

„dobry kryptogram” zmniejsza ten przedział dwukrotnie). 

Zakładając, Ŝe długość modułu przekształcenia RSA jest zazwyczaj wielokrotnością 

8 bitów, zaś długość odszyfrowanej wiadomości M i nie jest zazwyczaj sprawdzana po 

zdeszyfrowaniu, skuteczny atak na 1024-bitowe RSA wymaga około 2 20 prób (!). 

W wersji PKCS #1 v.2.0 z października 1998 roku zalecono odmienną formułę szyfrowania, 

zwaną OAEP (Optimal Asymmetric Encryption Padding), odporną na ten atak, zaś w fazach 

konstrukcji kryptogramu wykorzystujących funkcję skrótu zalecającą SHA-1 (Secure 

Hash Algorithm). 


str.150

Diagram ilustrujący operacje wykonywane podczas szyfrowania wiadomości M zgodnie z 

OAEP przedstawiono poniŜej. 


str.151

Parametry szyfrowania L (niewidoczne explicite na diagramie) są opcjonalnym blokiem 

danych (nie muszą występować w danych słuŜących do utworzenia kryptogramu, ale jeśli 

ich brak, to w ich miejsce naleŜy podstawić łańcuch bajtów „zerowych” o odpowiedniej 

długości). 

Po poddaniu parametrów L działaniu funkcji skrótu H (zalecana funkcja to co najmniej 

SHA-1, a jeszcze lepiej SHA-256, SHA-384 lub SHA-512) uzyskuje się wartość lHash, 

„składaną” (konkatenowaną) z szyfrowaną wiadomością M, opcjonalnym ciągiem 

uzupełniającym PS (zawierającym same bajty „zerowe”) i bajtem o wartości ‘01’ hex, w 

celu utworzenia tzw. „bloku danych” DB: 

DB = lHash || PS || ‘01’ || M. 

Losowy ciąg binarny, zwany ziarnem (seed), o długości identycznej, jak długość wyniku 

zastosowanej funkcji skrótu, jest poddawany działaniu funkcji „maskującej” MGF (Mask 

Generation Function), do której konstrukcji wykorzystywane są funkcje jednokierunkowe 

„bez klucza”, po czym poddawany operacji bitowego XOR (⊕) z blokiem danych DB. W 

ten sposób tworzy się tzw. „zamaskowany” blok danych (masked DB). 


str.152

W kolejnym kroku, wykorzystując ponownie funkcję MGF, maskuje się ziarno, a 

następnie składa (przez konkatenację) ciąg binarny EM, który będzie poddawany operacji 

szyfrowania kluczem publicznym zamierzonego odbiorcy poufnego komunikatu. 

Takie przygotowanie formatu wiadomości jawnej przed poddaniem jej szyfrowaniu 

zgodnie z dzisiejszym stanem wiedzy gwarantuje odporność na znane ataki na algorytm 

RSA wykorzystywany do realizacji usługi poufności. 


str.153

Procedura uzgadniania tajnego klucza D-H (Diffie, Hellman, Ralph Merkle – 1976 r.) 

Pierwszy opublikowany algorytm z kluczem publicznym wykorzystujący złoŜoność 

obliczania logarytmu dyskretnego. Miał słuŜyć do bezpiecznego uzgadniania symetrycznego 

klucza sesyjnego, wykorzystywanego po uzgodnieniu do szyfrowania danych. 

W klasycznym protokole D-H podmioty A i B uŜywają tej samej duŜej liczby pierwszej p 

jako modułu przekształcenia oraz tego samego generatora ciała skończonego F p (grupy 

Z p *) - liczby g∈[2, p-2] (liczby p i g są ogólnie znane - publiczne). 

• A i B wybierają losowo (i niezaleŜnie) dwie tajne (prywatne) liczby losowe α i β naleŜące 

do podzbioru grupy skończonej Z p * (dokładniej: α,β∈[2, p-2], α=1 lub β=1 naleŜy 

wykluczyć, gdyŜ „podsłuchujący” moŜe wtedy jawnie obliczyć uzgodniony w protokole 

„sekret”, α=p-1 lub β=p-1 takŜe naleŜy wykluczyć, gdyŜ wtedy g α mod p lub g β mod p 

jest równe 1); 

• A wysyła do B liczbę g α mod p; 

• B wysyła do A liczbę g β mod p; 


str.154

• A i B obliczają wspólny tajny klucz: 

k = ( g α ) β mod p = ( g β ) α mod p = g αβ mod p 

Problem określenia klucza g αβ przy znajomości g α i g β 

równowaŜny problemowi wyznaczenia logarytmu dyskretnego. 

jest (najprawdopodobniej) 

Nie oznacza to jednak, iŜ protokół jest równie silny. RozwaŜmy następujący atak metodą 

„man in the middle”: 


• Intruz I przechwytuje ta informację i odsyła do B liczbę g x 

wygenerowaną przez intruza liczbą losową naleŜącą do [2, p-2]; 

mod p, gdzie x jest 

• B wysyła do A liczbę g β mod p; 

• Intruz I przechwytuje ta informację i odsyła do A liczbę g y 

wygenerowaną przez intruza liczbą losową naleŜącą do [2, p-2]. 

mod p, gdzie y jest 


str.155

• A oblicza „wspólny tajny klucz”: 

k’ = ( g α ) y mod p = g αy mod p; 

• B oblicza inny „wspólny tajny klucz”: 

k” = ( g β ) x mod p = g βx mod p, 

a w środku pozostaje intruz I i spokojnie podsłuchuje sesję komunikacyjną Ŝonglując 

kluczami. 

Inna forma ataku wykorzystuje „słabość” wybranej jako parametr publiczny liczby p, a 

opiera się na fakcie, Ŝe utworzenie przez jedną ze stron jako potęgi (g α lub g β ) elementu 

małego rzędu w grupie Z p * „zawęŜa” w istotny sposób przestrzeń moŜliwych do 

uzgodnienia kluczy (zbiór róŜnych moŜliwych wartości potęg g α lub g β jest równy rzędowi 

tej liczby w grupie). 


str.156

Aktywny atak na klasyczny protokół D-H moŜliwy jest np. wtedy, gdy liczba p jest postaci: 

p = Rq + 1. 

Wtedy liczba h = g q mod p = g (p-1)/R mod p jest rzędu R. 

Intruz, zastępując g α mod p i g β mod p wartościami (g α ) q mod p i (g β ) q mod p, powoduje Ŝe 

uzgodniony klucz przyjmuje tylko R wartości, gdyŜ w rzeczywistości: 

k = g αβq αβ 

mod p = h αβ mod p, 

czego strony mogą nie spostrzec (nawet wymieniając między sobą informacje o wartościach 

funkcji skrótu uzgodnionego klucza, gdyŜ uzgodniły taką samą wartość). 

W szczególnym przypadku, gdy R = 2, zaś q jest liczbą pierwszą; wtedy h = -1 mod p = (p-1) 

mod p , zaś uzgodniony klucz przyjmuje wartość +1 albo –1 (ale oczywiście taki przypadek 

ataku natychmiast moŜna wykryć, gdyŜ oczekujemy „losowego” wyniku uzgodnień). 


str.157

Modyfikacja Hughes’a protokołu D-H 

Przedstawioną wadę klasycznej wersji protokołu D-H (podatność na atak metodą „man in 

the middle”) próbowano wyeliminować na róŜne sposoby. Jedną z propozycji jest tzw. 

wariant Hughes’a, w którym tajny klucz jest określany przez stronę B (co, jak pamiętamy, 

jest juŜ pewną wadą) 

• A i B wybierają losowo (i niezaleŜnie) dwie tajne (prywatne) liczby losowe α i β, naleŜące 

do podzbioru ciała skończonego Z p *. 

• A wysyła do B liczbę g α mod p. 

• B oblicza liczbę g β mod p, która będzie uzgodnionym kluczem k, i odsyła do A liczbę: 

• A oblicza: 

Y = ( g α ) β mod p = ( g β ) α mod p = k α mod p 

z = α - 1 mod p 

i odtwarza klucz: 

-1 

k = Y z mod p = ( ( g α ) β ) α mod p = g β mod p = k 


str.158

Procedura uzgadniania tajnego klucza ElGamala 

Zakłada się, Ŝe klucz publiczny k B = ( g β ) mod p jest dostępny w formie certyfikatu 

wystawionego przez „Zaufaną Stronę Trzecią - TTP”. 

• A kopiuje klucz publiczny k B z certyfikatu i generuje losową liczbę α ∈[2, p-2]; 


• A i B obliczają wspólny tajny klucz: 

k = ( g α ) β β mod p = ( g ) α mod p = g αβ mod p 

Oczywiście w tym przypadku uwierzytelnianie klucza jest jednostronne (podmiot B nie ma 

Ŝadnej pewności, Ŝe α jest wiarygodnym parametrem). 


str.159

Protokół MTI/A0 

Zakłada się, Ŝe klucze publiczne k A = ( g α ) mod p i k B = ( g β ) mod p są dostępne w formie 

certyfikatów wystawionych przez „Zaufaną Stronę Trzecią - TTP”. 

• A i B wybierają losowo (i niezaleŜnie) dwie tajne (prywatne) liczby losowe γ i δ naleŜące 

do podzbioru ciała skończonego Z p *. 

• A wysyła do B liczbę g γ mod p. 

• B wysyła do A liczbę g δ mod p. 

• A oblicza wspólny tajny klucz: 

γ δ 

k = k B ( g ) α mod p = g βγ + αδ mod p 

• B wnioskuje, Ŝe tajnym kluczem powinna być liczba: 

δ 

k = k A ( g 

γ 

) β mod p = g βγ + αδ mod p 


str.160

Protokół STS (Station-to-Station) 

Trójprzebiegowy wariant protokołu D-H, w którym realizuje się: 

• uzgodnienie klucza sesyjnego; 

• wzajemne uwierzytelnienie podmiotów A i B (dotychczas omówione warianty tego nie 

gwarantowały); 

• wzajemne uwierzytelnienie klucza; 

Ponadto toŜsamości podmiotów A i B mogą być chronione przed ujawnieniem 

(anonimowość). 

Niech S A (m) = (H(m)) dA mod n A oznacza podpis RSA podmiotu A dla wiadomości m 

(H - funkcja skrótu, H(m) < n A ). 

Jak zwykle, wybiera się liczbę pierwszą p oraz generator ciała skończonego F p (grupy Z p *) - 

liczbę g∈[2, p-2] (liczby p i g są ogólnie znane - publiczne). 

KaŜdy podmiot A ustala swoją parę kluczy RSA do podpisywania (publiczny - e A , n A ; 

prywatny - d A ) i poddaje je certyfikacji u „Zaufanej Trzeciej Strony”. 


str.161

• A i B wybierają losowo (i niezaleŜnie) dwie tajne (prywatne) liczby losowe α i β 

(α,β∈[2, p-2]); 


• B oblicza współdzielony klucz k = (g α ) 

β mod p, podpisuje konkatenację (g 

β || g 

α ) 

(dokładnie w tej kolejności), szyfruje uzyskany podpis kluczem sesyjnym i wysyła do A 

następującą parę: 

g β mod p, E k (S B (g β ||g 

α )) 

• A oblicza wspólny tajny klucz: 

k = (g β ) 

α mod p = g αβ 

• A odszyfrowuje podpis i weryfikuje ten podpis (np. na podstawie certyfikatu klucza 

publicznego RSA podmiotu B), zaś jeŜeli weryfikacja jest pozytywna, to A wysyła do B 

liczbę: E k (S A (g α ||g 

β )) 

• B odszyfrowuje i weryfikuje podpis; jeŜeli weryfikacja jest pozytywna, to protokół się 

kończy. 


str.162

KLEPTOGRAFIA 

Termin kleptografia jest związany z takim preparowaniem sprzętowych (lub opartych 

tylko na oprogramowaniu) modułów kryptograficznych, by umoŜliwić przechwycenie 

przez „producenta” modułu sekretów podmiotów je wykorzystujących, które teoretycznie 

powinny pozostawać bezpieczne wewnątrz modułu podczas realizowania usług 

kryptograficznych. 

Wykrycie ataku kleptograficznego wyłącznie na podstawie obserwacji danych wejściowych 

i wyjściowych z urządzenia jest praktycznie niemoŜliwe. 

Atak polega wyłącznie na biernym podsłuchiwaniu sygnałów (parametrów) wymienianych 

między modułem a światem zewnętrznym, a do jego przeprowadzenia niezbędne jest 

„zainstalowanie” w module przed powierzeniem go właściwemu uŜytkownikowi 

dodatkowego tajnego sekretu dostawcy modułu, oraz odpowiedniego spreparowania 

oprogramowania samego modułu. 


str.163

Przykład: („zaraŜony” kleptograficznie moduł uzgadniania klucza sesyjnego 

zgodnie z protokołem Diffie’go-Hellmana) 

Producent modułu „instaluje” w nim swój „klucz”: 

Y = g X mod p, 

zachowując w swoich zasobach informację o wartości parametru X. 

Przy pierwszym „eksploatacyjnym” wywołaniu protokołu Diffie’go-Hellmana na zewnątrz 

przekazywana jest wartość: 

m1 = g c1 mod p, 

gdzie c1 jest rzeczywiście liczbą losową. Dodatkową operacją wykonywaną w 

„spreparowanym kleptograficznie” urządzeniu jest zapamiętanie wartości c1. 


str.164

Przy drugim (i następnych) wywołaniu protokołu Diffie’go-Hellmana zamiast generowania 

kolejnej liczby losowej, która ma posłuŜyć do utworzenia nowego klucza sesyjnego, 

wykonywane są w module następujące działania: 

• najpierw obliczana jest w module wartość: 

z = g c1 Y -ac1-b mod p, 

gdzie a i b są pewnymi stałymi ustalonymi przez producenta modułu; 

• następnie obliczana jest w module wartość: 

c2 = H(z), 

gdzie H(.) jest pewną funkcją jednokierunkową o jednorodnym rozkładzie 

prawdopodobieństwa dla kaŜdej z moŜliwych wartości tej funkcji („dla zmylenia 

przeciwnika”, który mógłby zastosować testy statystyczne do zbadania losowości 

generowanych w kaŜdym wykonaniu protokołu parametrów); 

• na zewnątrz przekazywana jest wartość: 

m2 = g c2 mod p. 


str.165

Podsłuchujący protokół producent modułu odtwarza „losową” wartość c2 wykonując 

następujące działania: 

• oblicza: 

r = m1 a g b mod p, 

• a następnie wyznacza wartość: 

z1 = m1(r X ) -1 mod p, 

• dzięki czemu moŜe odtworzyć wartość: 

c2 = H(z1). 

Uzasadnienie: 

z1 = m1 / r X mod p = g c1 (m1 a g b ) –X mod p = g c1 ((g c1 ) a ) –X (g b ) –X mod p = 

= g c1 ((g X ) –c1 ) a (g X ) –b mod p = g c1 (Y –c1 ) a (Y) –b mod p = z 


str.166

m kn n 0k − ∑ =

Create successful ePaper yourself

Delete template?

Save as template?