Ataque a módulo común

    Una posible implementación de RSA consiste en asignar el mismo módulo n a distintos usuarios, pero distintos valores para los exponentes e y d. Esto tiene el fallo de que si el mismo mensaje se cifra con distintos exponentes y el mismo módulo y ambos exponentes son primos entre sí (y generalmente lo serán), el texto en claro puede recuperarse sin ninguno de los exponentes privados [1].

    Sea P el texto en claro. Sean e₁ y e₂ los exponentes públicos (claves de cifrado) y n el módulo. Los textos cifrados son:

    El criptoanalista tiene acceso a C₁, C₂, e₁, e₂ y n. Así es como recupera P:

Ataque basado en un exponente público "bajo"

    Aunque un exponente bajo acelera el cifrado, también lo hace más inseguro. Si se encriptan e (e+1)/2 mensajes linealmente dependientes con diferentes claves públicas y el mismo valor de e hay un ataque contra el sistema [2]. Si los mensajes son idénticos entonces es suficiente con e mensajes. La solución más sencilla a este problema es añadir a los mensajes valores aleatorios independientes, PGP por ejemplo hace esto de modo que un mismo mensaje no se cifrará dos veces de la misma manera.

Ataque basado en un exponente privado "bajo"

    Otro ataque [3], permite recuperar d cuando éste no supera un cuarto de n y e es menor que n. Esto ocurre raramente si e se elige al azar. El fundamento matemático del ataque es la representación de los números racionales como fracciones continuas finitas.

Ataque por iteración

    Conocidos n, e y C un enemigo puede producir una sucesión de mensajes C₁=C^{e mod n}, C₂=C₁^{e mod n} ... C_k=C_k-1^{e mod n}. Si existe un C_j tal que C=C_j se deduce que M=C_j-1 ya que C_j-1^e=C_j=C.

    Este ataque se vuelve impracticable si p-1 y q-1 contienen factores primos grandes.

Referencias

Fuentes