 |
|
|
| .: Criptotaller
:. |
|
| |
|
| Ataques
contra RSA |
Ataque a módulo común
Una posible implementación de
RSA consiste en asignar el mismo módulo n a distintos usuarios,
pero distintos valores para los exponentes e y d. Esto tiene el
fallo de que si el mismo mensaje se cifra con distintos exponentes
y el mismo módulo y ambos exponentes son primos entre sí
(y generalmente lo serán), el texto en claro puede recuperarse
sin ninguno de los exponentes privados [1].
Sea P el texto en claro. Sean e1
y e2 los exponentes públicos (claves de cifrado)
y n el módulo. Los textos cifrados son:
C1=Pe1
mod n
C2=Pe2 mod n
El criptoanalista tiene acceso a C1,
C2, e1, e2 y n. Así es
como recupera P:
Al ser e1 y e2
primos entre si, existen enteros r y s tales que r.e1+
s.e2 = 1. Supongamos sin pérdida de generalidad
que r es negativo (alguno de los dos ha de serlo) entonces puede
calcularse el inverso de C1 y se tendrá que:
Ataque basado en un exponente público "bajo"
Aunque un exponente bajo acelera el cifrado,
también lo hace más inseguro. Si se encriptan e
(e+1)/2 mensajes linealmente dependientes con diferentes claves
públicas y el mismo valor de e hay un ataque contra el
sistema [2]. Si los mensajes son idénticos
entonces es suficiente con e mensajes. La solución más
sencilla a este problema es añadir a los mensajes valores
aleatorios independientes, PGP por ejemplo hace esto de modo que
un mismo mensaje no se cifrará dos veces de la misma manera.
Ataque basado en un exponente privado "bajo"
Otro ataque [3],
permite recuperar d cuando éste no supera un cuarto de
n y e es menor que n. Esto ocurre raramente si e se elige al azar.
El fundamento matemático del ataque es la representación
de los números racionales como fracciones continuas finitas.
Ataque por iteración
Conocidos n, e y C un enemigo puede producir
una sucesión de mensajes C1=Ce mod n,
C2=C1e mod n ... Ck=Ck-1e
mod n. Si existe un Cj tal que C=Cj
se deduce que M=Cj-1 ya que Cj-1e=Cj=C.
Este ataque se vuelve impracticable si
p-1 y q-1 contienen factores primos grandes.
Referencias
[1] - G.J. Simmons,
"A 'Weak' Privacy Protocol Using the RSA Cryptosystem.",
Cryptologia, v.7, n.2, Abr 1983. [2] - J. Hastad,
"On using RSA with Low Exponents in a Public Key Network",
Advances in Cryptology, CRYPTO '85 Proceedings, Springer Verlag
1986. [3] - M.J. Wiener,
"Cryptanalysis of Short RSA Secret Exponents", IEEE
Transactions on Information Theory, v.36, n.3, May 1990.
-
Applied Cryptography, B.Schneier.
-
Introducción a la Criptografía,
Pino Caballero.
|
|
|
|
|
|
| 
|
| Area
On-Line
|
| Todo
tipo de material, para disfrutar de él completamente On-Line, sin
necesidad de descargar archivos ni tener que andar descomprimiendo estos.
No te olvides de pasar por el Diccionario, y las secciones Origami y Geointeractiva.
Son de lo más interesante. |
|
