m kn n 0k − ∑ =
m kn n 0k − ∑ =
m kn n 0k − ∑ =
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
3. Atakujący wysyła atakowanemu kolejne „kryptogramy” C 1 , C 2 , ..., obserwując jego<br />
reakcję na przebieg deszyfrowania.<br />
4. Na podstawie znajomości formatu atakujący wiedząc, które z „kryptogramów” są<br />
„dobrymi kryptogramami”, wnioskuje o pewnych bitach odpowiedniej „wiadomości<br />
jawnej”:<br />
M i = (C i ) d mod n =M r i mod n .<br />
5. Na podstawie znajomości odpowiedniej liczby bitów M i atakujący jest w stanie<br />
„zawęzić” przedział, w którym musi się znajdować poszukiwana wartość M (kaŜdy<br />
„dobry kryptogram” zmniejsza ten przedział dwukrotnie).<br />
Zakładając, Ŝe długość modułu przekształcenia RSA jest zazwyczaj wielokrotnością<br />
8 bitów, zaś długość odszyfrowanej wiadomości M i nie jest zazwyczaj sprawdzana po<br />
zdeszyfrowaniu, skuteczny atak na 1024-bitowe RSA wymaga około 2 20 prób (!).<br />
W wersji PKCS #1 v.2.0 z października 1998 roku zalecono odmienną formułę szyfrowania,<br />
zwaną OAEP (Optimal Asymmetric Encryption Padding), odporną na ten atak, zaś w fazach<br />
konstrukcji kryptogramu wykorzystujących funkcję skrótu zalecającą SHA-1 (Secure<br />
Hash Algorithm).<br />
W.Chocianowicz – Kryptologia – semestr zimowy 2008/2009<br />
str.150