m kn n 0k − ∑ =
m kn n 0k − ∑ =
m kn n 0k − ∑ =
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Niech „zakłócenie” spowoduje, Ŝe zamiast ( x d2 mod q ) do obliczenia „uszkodzonego<br />
podpisu” s* wzięta zostanie losowa wartość r.<br />
Wtedy:<br />
σ = s - s* = [ c 1 ( x d1 mod p ) + c 2 ( x d2 mod q ) ] mod n +<br />
- [ c 1 ( x d1 mod p ) + c 2 r ] mod n =<br />
= [ c 2 ( x d2 mod q ) - c 2 r ] mod n =<br />
= c 2 k’ mod n = p k” mod n<br />
Przy „łucie szczęścia” (np. gdy k” jest niewielkie) moŜna łatwo sfaktoryzować wartość σ<br />
i wyznaczyć p (!!!). W tym celu wystarczy wyznaczyć gcd(σ,<br />
n ) = p (np. przy pomocy<br />
algorytmu Euklidesa).<br />
„Poprawka” A.Lenstry :<br />
W rzeczywistości wystarczy x i s* (jedna próba !!!), gdyŜ:<br />
„Panaceum”:<br />
gcd[x - (s*) e mod n , n ] = p (!!!)<br />
Jednym ze środków uniemoŜliwiających przeprowadzenie tego rodzaju ataku jest kontrola<br />
poprawności wyniku przed jego udostępnieniem na zewnątrz i nie udostępnianie<br />
jakichkolwiek zakłóconych rezultatów (a jedynie informacji o błędnym przetwarzaniu).<br />
W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009<br />
str.128