m kn n 0k − ∑ =

More documents

Recommendations

Info

Atak Bleichenbachera, polegający na wielokrotnym wysyłaniu odbiorcy „spreparowanych” fałszywych kryptogramów, nie ma praktycznego znaczenia przy atakach na klasyczną pocztę elektroniczną, gdyŜ odbiorca nie będzie wielokrotnie podejmował prób odszyfrowania „niewłaściwie” sformatowanych kryptogramów, lecz jest istotny i groźny w środowisku, w którym jednocześnie przetwarza się wiele informacji (np. w SSL, gdzie szyfrowanie RSA stosowane jest w celu bezpiecznego uzgadniania kluczy sesyjnych – „digital envelopes”/„key wrapping”, zaś atakujący moŜe pozostać anonimowy, gdyŜ nie jest wymagane uwierzytelnianie nadawcy). Przebieg ataku na schemat szyfrowania RSA zgodny z PKCS#1 v.1.5 jest następujący: 1. Atakujący przechwycił kryptogram C, ma dostęp do klucza publicznego podmiotu atakowanego (n, e), i „pała Ŝądzą” odtworzenia wiadomości jawnej M. 2. Atakujący generuje ciąg „kryptogramów” C 1 , C 2 , ..., gdzie: C i = C(r i ) e mod n, r 1 , r 2 , ..., są losowymi liczbami z przedziału (1, n -1). Kolejne wartości r i są wybierane „adaptacyjnie”, czyli z uwzględnieniem poprzednich „dobrych kryptogramów” C(r j ) e mod n, gdzie j < i. „Dobry kryptogram” to taki „kryptogram”, dla którego atakowany odbiorca nie stwierdza błędnego formatu niezgodnego z PKCS#1. W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009 str.149
3. Atakujący wysyła atakowanemu kolejne „kryptogramy” C 1 , C 2 , ..., obserwując jego reakcję na przebieg deszyfrowania. 4. Na podstawie znajomości formatu atakujący wiedząc, które z „kryptogramów” są „dobrymi kryptogramami”, wnioskuje o pewnych bitach odpowiedniej „wiadomości jawnej”: M i = (C i ) d mod n =M r i mod n . 5. Na podstawie znajomości odpowiedniej liczby bitów M i atakujący jest w stanie „zawęzić” przedział, w którym musi się znajdować poszukiwana wartość M (kaŜdy „dobry kryptogram” zmniejsza ten przedział dwukrotnie). Zakładając, Ŝe długość modułu przekształcenia RSA jest zazwyczaj wielokrotnością 8 bitów, zaś długość odszyfrowanej wiadomości M i nie jest zazwyczaj sprawdzana po zdeszyfrowaniu, skuteczny atak na 1024-bitowe RSA wymaga około 2 20 prób (!). W wersji PKCS #1 v.2.0 z października 1998 roku zalecono odmienną formułę szyfrowania, zwaną OAEP (Optimal Asymmetric Encryption Padding), odporną na ten atak, zaś w fazach konstrukcji kryptogramu wykorzystujących funkcję skrótu zalecającą SHA-1 (Secure Hash Algorithm). W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009 str.150
Page 1 and 2:
Wstęp RACHUNEK PRAWDOPODOBIEŃSTWA
Page 3 and 4:
Gdy n = O( m ) i m → ∞, wtedy
Page 5 and 6:
W skali całego roku prawdopodobie
Page 7 and 8:
Atak na podpis cyfrowy wykorzystuj
Page 9 and 10:
Z punktu widzenia kryptologii entro
Page 11 and 12:
Wartość HY ( X ) jest miarą nieo
Page 13 and 14: Niech będą dane: • M - przestrz
Page 15 and 16: Niech dla ustalonego "języka" prze
Page 17 and 18: Przykład B: Wiadomości jawne są
Page 19 and 20: W większości przypadków nie jest
Page 21 and 22: Asymetryczny szyfr wykładniczy (mo
Page 23 and 24: a zatem wymienione na wstępie prze
Page 25 and 26: Uwaga 1: Podobnie, jak w przypadku
Page 27 and 28: Podatność algorytmu RSA na atak w
Page 29 and 30: Problem małego wykładnika-klucza
Page 31 and 32: JeŜeli jest to jednak z pewnych po
Page 33 and 34: Atak cykliczny na system RSA Niech
Page 35 and 36: Cechą przekształcenia RSA jest is
Page 37 and 38: W ten sposób pozostaje do wykorzys
Page 39 and 40: Przyjrzyjmy się tym dwóm parom kl
Page 41 and 42: Podmiot A chcący przesłać poufni
Page 43 and 44: Niech „zakłócenie” spowoduje,
Page 45 and 46: Klasyczny algorytm potęgowania met
Page 47 and 48: Sposób obrony przed tym atakiem za
Page 49 and 50: Obecnie przygotowywana jest nowa dw
Page 51 and 52: From a practical point of view, the
Page 53 and 54: This condition implies that log2(n)
Page 55 and 56: Podpisywanie wiadomości i weryfika
Page 57 and 58: Standard podpisu RSA wg. PKCS #1 (P
Page 59 and 60: W wersji 1.5 z listopada 1993 zalec
Page 61 and 62: Proponowany schemat „komponowania
Page 63: Praktyczne aspekty szyfrowania za p
Page 67 and 68: Parametry szyfrowania L (niewidoczn
Page 69 and 70: Procedura uzgadniania tajnego klucz
Page 71 and 72: • A oblicza „wspólny tajny klu
Page 73 and 74: Modyfikacja Hughes’a protokołu D
Page 75 and 76: Protokół MTI/A0 Zakłada się, Ŝ
Page 77 and 78: • A i B wybierają losowo (i niez
Page 79 and 80: Przykład: („zaraŜony” kleptog
Page 81: Podsłuchujący protokół producen
show all

m kn n 0k − ∑ =

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?