Algorithmische Kryptographie (WS2015/16)
Kapitel 3
Sicherheitsaspekte und Hilfsfunktionen
Walter Unger
Lehrstuhl für Informatik 1
15:32 Uhr, den 12. Dezember 2015
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3 Inhaltsverzeichnis Walter Unger 12.12.2015 15:32 WS2015/16 Z
Inhalt I
1 Einleitung Einfache Angriffe
2 Hilfsfunktionen OAEP-Verfahren Hashfunktionen Definitionen Merkles-Meta-Methode
3 Weitere Angriffe Abstand der Faktoren Sicherheitsaspekte von RSA Kann man d bestimmen?
4 Bit-Sicherheit
Sind Teilinformationen sicher?
Sicherheit des LSB Überblick und Beweisidee Beweis
5 Bestimmung von Primzahlen Einleitung
Einfacher Test Soloway-Strassen Miller-Rabin
Agrawal, Kayal und Saxena
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 1/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 2/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 3/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 4/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 5/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 6/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 7/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 8/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 9/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 10/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 11/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 12/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 13/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:1 Einfache Angriffe 14/14 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff eins gegen RSA
AverwendeEeRSA1,n,B verwendeEeRSA2,n und es sei ggT(e1,e2) =1.
C:m,e1,e2,n A:e1,d1,n B:e2,d2,n mverteilen me1modn
me2modn
FallsC beiden die gleiche Nachricht sendet, dann ist ein Angriff möglich.
Da ggT(e1,e2) =1 gibt esr,s mitre1+se2=1. Sei o.E.d.A.r<0.
C hat die Nachrichtmversendet,
d.h. bestimmt:c1:=EeRSA1,n(m)undc2:=EeRSA2,n(m).
Falls nunc16∈Z∗n, so kannndurch das Bestimmen von ggT(c1,n) faktorisiert werden.
Falls aberc1∈Z∗n, so kannc1−1bestimmt werden.
Es ergibt sich:
(c1−1)−rc2s= (me1)r·(me2)s=mre1+se2≡m (modn)
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 1/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 2/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 3/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 4/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 5/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 6/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 7/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 8/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 9/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:2 Einfache Angriffe 10/10 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff zwei gegen RSA
Drei PartienAi (16i63)verwendenE3,nRSAi.
C:m,ei,ni(i∈ {1,2,3} A1:3,d1,n1 A2:3,d2,n2 A3:3,d3,n3 mverteilen m3modn1
m3modn2 m3modn3
Es kann wie im oberen Fall entschlüsselt werden, falls alle drei die gleiche Nachricht empfangen.
Seici =E3,nRSAi(m) =m3modni. Mit dem Chinesischen Restklassensatz
(ϕ:Zn1n2n3→Zn1×Zn2×Zn3 ) erhält man nunm3. Dam3<n1n2n3gilt, kannmeindeutig bestimmt werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 1/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 2/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 3/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 4/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 5/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 6/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.
Einleitung Hilfsfunktionen Weitere Angriffe Bit-Sicherheit Bestimmung von Primzahlen
3:3 Einfache Angriffe 7/19 Walter Unger 12.12.2015 15:32 WS2015/16 Z
Angriff drei gegen RSA
AverwendeEe,nRSA undDd,p,qRSA sowohl zum Verschlüsseln als auch zum Unterschreiben.
A:e,d,n B:e,n C:e,n
c=memodn
c Unterschreibe bittec
cdmodn
m
So wird dieses System unsicher,
selbst wennAalle gesendeten Nachrichten speichert.
Ein Angreifer, der eine verschlüsselte Nachrichtc=Dd,p,qRSA(m)kennt, geht dann wie folgt vor:
C wähltr∈Z∗n zufällig.
Bestimmtx :=c·re.
FragtAnach der Unterschrift zux. Dann kenntC:xd ≡Dd,p,qRSA(x) (modn).
C bestimmt:xd·r−1≡(c·re)d·r−1≡cd≡m (mod n).
Mit einem OAEP Verfahren (optimal asymmetric encription padding) können diese Angriffe verhindert werden.