一種對RSA-CRT的錯(cuò)誤模攻擊.pdf

1、RSA算法于1977年由Ron Rivest，Adi Shamir和Len Adleman提出，并被廣泛應(yīng)用于加密和數(shù)字簽名等公鑰密碼算法中。RSA的安全性依賴于大數(shù)的因子分解，分解N是最直接的攻擊方法。為了改善RSA的解密速度，一般采用RSA算法的變形RSA-CRT，其解密速度是經(jīng)典RSA的4倍。
　　 1997年，Boneeh，Demillo和Lipton指出RSA-CRT容易受到錯(cuò)誤攻擊的威脅，即假設(shè)攻擊者通過植入錯(cuò)誤簽名

2、，可以利用錯(cuò)誤簽名和正確簽名的關(guān)系將N進(jìn)行分解。這種攻擊適用于將消息m經(jīng)過編碼處理的RSA加密算法，比如RSA PKCS＃1 v1.5或者Full-Domain Hash。Seifert于2005年利用RSA公開的模N對RSA進(jìn)行錯(cuò)誤攻擊。此攻擊適用于RSA的數(shù)字簽名，隨后Brier et al提出了密鑰恢復(fù)攻擊，并在文獻(xiàn)[6，7，8，9]中做出改進(jìn)。但后來改進(jìn)的密鑰恢復(fù)攻擊僅適用于不含CRT的RSA加密算法，而且比Brier etal

3、攻擊需要更多的錯(cuò)誤簽名。
　　 2012年(E)ric Brier,David Naccache,Phong Q.Nguyen和Mehdi Tibouchi[10]利用正交格原理提出了一種新的RSA錯(cuò)誤模攻擊。他們利用恢復(fù)密鑰的方法來對RSA-CRT簽名進(jìn)行攻擊，其中攻擊是需要注入的激光技術(shù)來實(shí)現(xiàn)錯(cuò)誤模的生成。這種攻擊靈活使用了RSA-CRT簽名中的各項(xiàng)參數(shù)，即:σp=μ(m)d mod p,σq=μ(m)d mod q,然后生

4、成RSA-CRT簽名:σ=σp·α+σq·β mod N.利用錯(cuò)誤模注入技術(shù)得到錯(cuò)誤簽名σ'，即:σ'=σp·α+σq·βmod N'.對生成的兩種簽名σ和σ'使用中國剩余定理可計(jì)算出:v=σp·α+σq·β mod N· N',通過簽名對(σ，σ'）可以構(gòu)造出帶有未知整參數(shù)α，β的多組線性組合。最后利用格的約化算法來恢復(fù)參數(shù)σp和σq，最終達(dá)到分解N的目的。實(shí)踐證明他們的方法是高效的，假設(shè)敵手能夠獲得5對正確的簽名與錯(cuò)誤的簽名，利用一

5、臺(tái)標(biāo)準(zhǔn)的計(jì)算機(jī)就可以在幾秒鐘內(nèi)將N進(jìn)行分解。
　　 本文根據(jù)上述的錯(cuò)誤模攻擊提出了新的攻擊RSA-CRT的方法，計(jì)算效率更高，通過轉(zhuǎn)換上述攻擊中生成的v=σp·α+σq·β∈Z，將v進(jìn)一步變形: v=（σmod p）·α+（σmod q）·β=（σ-p「σ/p」）·α+（σ-q「σ/q」）·β，觀察可知α+β=N+1，因此可得:v=σ·(N+1)-pα「σ/p」-qβ「σ/q」，并引入?yún)?shù)ω=(σ·(N+1)-v）/N，通過變形

6、可以得到:ω=σ·(N+1)-v/N=pα「σ/p」+qβ「σ/q」.
　　 通過證明可以得出ω是一個(gè)整數(shù)。最后通過敵手的假設(shè)對ω進(jìn)行討論和精確求解，利用二分法求解N的最小素因子min(p，q)，實(shí)現(xiàn)對大整數(shù)N的分解，最終達(dá)到攻擊RSA-CRT的目的。
　　 本文的攻擊需要對ω進(jìn)行討論，根據(jù)ω所定義的形式可以獲知，如果σ＜ min(p，q)，那么ω=0;如果σ＞min(p，q)，那么ω＞0。文章針對ω這一特性可以確定最小

7、素因子的上下限，最多經(jīng)過log N次嘗試后可以確定出最小素因子。
　　 錯(cuò)誤模N'的有兩種不同的情況，不同的錯(cuò)誤模N'所需要的錯(cuò)誤實(shí)例也是不同的，即一種是錯(cuò)誤N'與初始的N相差一個(gè)未知比特;另一種是錯(cuò)誤N'與初始N的不同要少于最低有效位比特的一半:最低有效位比特的錯(cuò)誤數(shù)量最多不能超過N長度的一半。此外，我們假設(shè)攻擊者可以根據(jù)自己的需要向模擬器請求簽名，模擬器亦必須無條件的回復(fù)攻擊者的簽名請求，這樣，攻擊者可以從回復(fù)的簽名中尋找適