m kn n 0k − ∑ =

More documents

Recommendations

Info

Atak na RSA metodą „indukowania błędów” w ICC (Integrated Circuit(s) Card) W kartach elektronicznych w celu przyspieszenia szyfrowania RSA wykorzystuje się CRT - chińskie twierdzenie o resztach, a właściwie algorytmy pokrewne do algorytmu Garnera wyznaczającego rozwiązanie odpowiedniego układu równań, z którego wynika następująca toŜsamość: s = x d mod n = [ c 1 ( x d1 mod p ) + c 2 ( x d2 mod q )] mod n gdzie: c 1 = q ( q -1 mod p ) c 2 = p ( p -1 mod q ) d 1 = d mod( p - 1 ) d 2 = d mod( q - 1 ) W przypadku, gdy d jest kluczem prywatnym przechowywanym w obszarze kryptograficznym karty, wówczas powyŜsza operacja bezpiecznie realizuje podpisywanie wiadomości x bez ujawniania klucza szyfrującego. JeŜeli jednak istnieje moŜliwość wielokrotnego podpisania tej samej wiadomości x, to wówczas wprowadzając podczas kolejnych realizacji podpisu „zakłócenia” (np. wyginając kartę) moŜna spowodować, Ŝe jedno z powyŜszych obliczeń cząstkowych będzie „przypadkowym śmieciem” (random garbage). W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009 str.127
Niech „zakłócenie” spowoduje, Ŝe zamiast ( x d2 mod q ) do obliczenia „uszkodzonego podpisu” s* wzięta zostanie losowa wartość r. Wtedy: σ = s - s* = [ c 1 ( x d1 mod p ) + c 2 ( x d2 mod q ) ] mod n + - [ c 1 ( x d1 mod p ) + c 2 r ] mod n = = [ c 2 ( x d2 mod q ) - c 2 r ] mod n = = c 2 k’ mod n = p k” mod n Przy „łucie szczęścia” (np. gdy k” jest niewielkie) moŜna łatwo sfaktoryzować wartość σ i wyznaczyć p (!!!). W tym celu wystarczy wyznaczyć gcd(σ, n ) = p (np. przy pomocy algorytmu Euklidesa). „Poprawka” A.Lenstry : W rzeczywistości wystarczy x i s* (jedna próba !!!), gdyŜ: „Panaceum”: gcd[x - (s*) e mod n , n ] = p (!!!) Jednym ze środków uniemoŜliwiających przeprowadzenie tego rodzaju ataku jest kontrola poprawności wyniku przed jego udostępnieniem na zewnątrz i nie udostępnianie jakichkolwiek zakłóconych rezultatów (a jedynie informacji o błędnym przetwarzaniu). W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009 str.128
Page 1 and 2: Wstęp RACHUNEK PRAWDOPODOBIEŃSTWA
Page 3 and 4: Gdy n = O( m ) i m → ∞, wtedy
Page 5 and 6: W skali całego roku prawdopodobie
Page 7 and 8: Atak na podpis cyfrowy wykorzystuj
Page 9 and 10: Z punktu widzenia kryptologii entro
Page 11 and 12: Wartość HY ( X ) jest miarą nieo
Page 13 and 14: Niech będą dane: • M - przestrz
Page 15 and 16: Niech dla ustalonego "języka" prze
Page 17 and 18: Przykład B: Wiadomości jawne są
Page 19 and 20: W większości przypadków nie jest
Page 21 and 22: Asymetryczny szyfr wykładniczy (mo
Page 23 and 24: a zatem wymienione na wstępie prze
Page 25 and 26: Uwaga 1: Podobnie, jak w przypadku
Page 27 and 28: Podatność algorytmu RSA na atak w
Page 29 and 30: Problem małego wykładnika-klucza
Page 31 and 32: JeŜeli jest to jednak z pewnych po
Page 33 and 34: Atak cykliczny na system RSA Niech
Page 35 and 36: Cechą przekształcenia RSA jest is
Page 37 and 38: W ten sposób pozostaje do wykorzys
Page 39 and 40: Przyjrzyjmy się tym dwóm parom kl
Page 41: Podmiot A chcący przesłać poufni
Page 45 and 46: Klasyczny algorytm potęgowania met
Page 47 and 48: Sposób obrony przed tym atakiem za
Page 49 and 50: Obecnie przygotowywana jest nowa dw
Page 51 and 52: From a practical point of view, the
Page 53 and 54: This condition implies that log2(n)
Page 55 and 56: Podpisywanie wiadomości i weryfika
Page 57 and 58: Standard podpisu RSA wg. PKCS #1 (P
Page 59 and 60: W wersji 1.5 z listopada 1993 zalec
Page 61 and 62: Proponowany schemat „komponowania
Page 63 and 64: Praktyczne aspekty szyfrowania za p
Page 65 and 66: 3. Atakujący wysyła atakowanemu k
Page 67 and 68: Parametry szyfrowania L (niewidoczn
Page 69 and 70: Procedura uzgadniania tajnego klucz
Page 71 and 72: • A oblicza „wspólny tajny klu
Page 73 and 74: Modyfikacja Hughes’a protokołu D
Page 75 and 76: Protokół MTI/A0 Zakłada się, Ŝ
Page 77 and 78: • A i B wybierają losowo (i niez
Page 79 and 80: Przykład: („zaraŜony” kleptog
Page 81: Podsłuchujący protokół producen

m kn n 0k − ∑ =

Create successful ePaper yourself

Delete template?

Save as template?