m kn n 0k − ∑ =

More documents

Recommendations

Info

Zalecana wielkość modułu przekształcenia RSA Znane obecnie najskuteczniejsze metody faktoryzacji iloczynu dwóch duŜych liczb pierwszych powodują, Ŝe zalecane długości reprezentacji binarnych modułów przekształcenia RSA wynoszą: • wg. RSA Data Security – długość minimalna to 1024 bity, co powinno „wystarczyć” do 2010 roku; od 2010 roku do 2030 roku „zalecana” długość minimalna – 2048 bitów (ale trudno wróŜyć „z fusów” i przewidywać co się w tym czasie wydarzy w dziedzinie kryptoanalizy. • wg. NESSIE (New European Schemes for Signatures, Integrity and Encryption) co najmniej 1536 bitów dla kluczy, które powinny być niezagroŜone przez dłuŜszy okres czasu; W przypadku kluczy RSA stosowanych w realizacji usługi autentyczności (podpis cyfrowy, i to zarówno w wersji „z załącznikiem”, jak i w wersji „z odtwarzaniem wiadomości”) powszechnie akceptuje się w Europie zalecenia sformułowane w dokumencie przygotowanym pierwotnie przez ekspertów w ramach inicjatywy EESSI (European Electronic Signature Standardization Initiative), znanym powszechnie pod nazwą ALGO (ETSI SR 002 176: „Electronic Signatures and Infrastructures (ESI); Algorithms and Parameters for Secure Electronic Signatures” z marca 2003). W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009 str.133
Obecnie przygotowywana jest nowa dwuczęściowa wersja tego dokumentu (draft) ETSI TR 102 176. Zawarte w nim wskazówki dotyczą nie tylko wielkości modułu RSA, ale takŜe sposobu generowania liczb pierwszych tworzących ten moduł oraz takiego wyboru wartości wykładników prywatnych i publicznych (dla schematów podpisów cyfrowych, nie zaś schematów szyfrowania, czyli realizacji usługi poufności !!!), by uczynić schemat podpisu RSA „rozsądnie” bezpiecznym. PoniŜej przedstawiono wyciąg najistotniejszych zaleceń z tego dokumentu. Annex C (informative): Generation of RSA keys for signatures C.1 Generation of random prime numbers C.1.1 Probabilistic primality test The generation of large prime numbers for cryptographic applications is usually done using probabilistic primality tests. These algorithms are very efficient but may declare that a composite number is prime with some (small) probability. The Miller-Rabin test is one such algorithm. It is <strong>kn</strong>own that the probability of declaring a composite number as prime is at most (1/4)k after k iterations of the elementary algorithm. W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009 str.134
Page 1 and 2: Wstęp RACHUNEK PRAWDOPODOBIEŃSTWA
Page 3 and 4: Gdy n = O( m ) i m → ∞, wtedy
Page 5 and 6: W skali całego roku prawdopodobie
Page 7 and 8: Atak na podpis cyfrowy wykorzystuj
Page 9 and 10: Z punktu widzenia kryptologii entro
Page 11 and 12: Wartość HY ( X ) jest miarą nieo
Page 13 and 14: Niech będą dane: • M - przestrz
Page 15 and 16: Niech dla ustalonego "języka" prze
Page 17 and 18: Przykład B: Wiadomości jawne są
Page 19 and 20: W większości przypadków nie jest
Page 21 and 22: Asymetryczny szyfr wykładniczy (mo
Page 23 and 24: a zatem wymienione na wstępie prze
Page 25 and 26: Uwaga 1: Podobnie, jak w przypadku
Page 27 and 28: Podatność algorytmu RSA na atak w
Page 29 and 30: Problem małego wykładnika-klucza
Page 31 and 32: JeŜeli jest to jednak z pewnych po
Page 33 and 34: Atak cykliczny na system RSA Niech
Page 35 and 36: Cechą przekształcenia RSA jest is
Page 37 and 38: W ten sposób pozostaje do wykorzys
Page 39 and 40: Przyjrzyjmy się tym dwóm parom kl
Page 41 and 42: Podmiot A chcący przesłać poufni
Page 43 and 44: Niech „zakłócenie” spowoduje,
Page 45 and 46: Klasyczny algorytm potęgowania met
Page 47: Sposób obrony przed tym atakiem za
Page 51 and 52: From a practical point of view, the
Page 53 and 54: This condition implies that log2(n)
Page 55 and 56: Podpisywanie wiadomości i weryfika
Page 57 and 58: Standard podpisu RSA wg. PKCS #1 (P
Page 59 and 60: W wersji 1.5 z listopada 1993 zalec
Page 61 and 62: Proponowany schemat „komponowania
Page 63 and 64: Praktyczne aspekty szyfrowania za p
Page 65 and 66: 3. Atakujący wysyła atakowanemu k
Page 67 and 68: Parametry szyfrowania L (niewidoczn
Page 69 and 70: Procedura uzgadniania tajnego klucz
Page 71 and 72: • A oblicza „wspólny tajny klu
Page 73 and 74: Modyfikacja Hughes’a protokołu D
Page 75 and 76: Protokół MTI/A0 Zakłada się, Ŝ
Page 77 and 78: • A i B wybierają losowo (i niez
Page 79 and 80: Przykład: („zaraŜony” kleptog
Page 81: Podsłuchujący protokół producen

m kn n 0k − ∑ =

Create successful ePaper yourself

Delete template?

Save as template?