RSA(암호시스템)
를 사용하여 나머지는 중국 algorithmEdit
은 효율성에 대한 많은 인기있는 암호화 라이브러리(예:OpenSSL,Java.NET)사용하여 다음에 대한 최적화 및 암호 해독에 서명 기반으로 중국의 나머지를 정리했습니다. 다음과 같은 값을 미리 계산 및 저장의 일환으로 개인 키:
이러한 값을 받는 사람을 계산하는 지수 m=cd(mod pq)더 효율적으로 다음과 같다:
이 보다 더 효율적인 컴퓨팅 지수로 말다툼도 하지만 두 모듈 exponentiations 있을 계산할 수 있도록 합니다., 그 이유는이 두 모듈러 지수가 모두 더 작은 지수와 더 작은 모듈러스를 사용하기 때문입니다.
정수 분해 다음과 같은 기능을 제공 problemEdit
의 보안 RSA 암호시스템에 기반을 두 가지 수학적 문제의 문제를 고려해 큰 숫자와 RSA 문제입니다. 전체의 암호 해독하는 RSA 암호문가 생각하는 것은 불가능하다는 가정하에 이러한 문제를 모두 하드,즉,아무 효율적인 알고리즘이 존재하는 위해 설계되었습니다., 부분 암호 해독에 대한 보안을 제공하는 것은 보안 패딩 방식을 추가해야 할 수도 있습니다.
RSA 문제는 eth 루트를 모듈로 합성 n:c≡me(mod n),여기서(n,e)는 RSA 공개 키이고 c 는 RSA 암호문 인 값 m 을 복구하는 작업으로 정의됩니다. 현재 가장 유망한 접근 방식을 해결하는 RSA 문제를 요소 계수 n. 을 복구 할 수있는 능력과 주요 요소를 공격할 수 있는 계산하는 비밀로 지 d 에서 공용 키(n,전자),그 다음 해독 c 를 사용하는 표준 절차입니다., 이를 위해 공격자는 요인 n 으로 p,q,계산 lcm(p−1,q−1)할 수 있는 결정의 d e. 지 않은 다항식 시간을 위한 방법을 고려해 큰 정수적인 컴퓨터가 아직 발견되지만,그것은 입증되지 않는 아무도 존재합니다. 이 문제에 대한 논의는 정수 인수 분해를 참조하십시오.
다중 다항식 2 차 체(MPQS)를 사용하여 공개 모듈러스 n 을 계수 할 수 있습니다.,
첫 번째 RSA-512 분해 1999 년에 사용되는 수백 대의 컴퓨터 및 필요에 해당 8,400MIPS 년 이상 경과 시간의 대략 일곱 개월입니다. 2009 년까지 Benjamin Moody 는 공개 소프트웨어(GGNFS)와 데스크톱 컴퓨터(1,900MHz cpu 가있는 듀얼 코어 Athlon64)만 사용하여 73 일 만에 rsa-512 비트 키를 고려할 수 있습니다. 단지 5 기가 바이트 미만의 디스크 스토리지와 체질 과정을 위해 약 2.5 기가 바이트의 RAM 이 필요했습니다.,
Rivest,Shamir,고 있기 때문입니다 주목 밀러는 가정의 진실 연장 리만 가설을 찾는–d n e 하드로 양 n 으로 p q(까지 다항식 시간 다름). 그러나 Rivest,Shamir 및 Adleman 은 논문의 ix/D 절에서 rsa 를 반전시키는 것이 인수 분해만큼 어렵다는 증거를 찾지 못했다고 지적했습니다.
2020 년 현재 공개적으로 알려진 가장 큰 인수 분해 된 RSA 수는 829 비트(250 진수,RSA-250)입니다. 최첨단 분산 구현에 의한 인수 분해는 약 2700CPU 년이 걸렸습니다., 실제로 RSA 키는 일반적으로 1024~4096 비트 길이입니다. 2003 년 RSA Security 는 1024 비트 키가 2010 년까지 깨질 가능성이 있다고 추정했습니다. 2020 년 현재 이러한 키가 깨질 수 있는지 여부는 알 수 없지만 최소 권장 사항은 최소 2048 비트로 이동했습니다. 일반적으로 양자 컴퓨팅 외부에서 n 이 충분히 크면 RSA 가 안전하다고 추정됩니다.
경우 n300 비트 또는 짧은,그것을 반영할 수 있는 몇 시간 개인용 컴퓨터에서 소프트웨어를 사용하여 이미 자유롭게 사용할 수 있습니다., 키 512 비트 표시 되었습니다 실제로 깨지기 쉬운 1999 년 RSA-155 고려했을 사용하여 몇 백 명의 컴퓨터와 이들은 지금에 반영 몇 주를 사용하여 일반적인 하드웨어입니다. 인수 분해되었을 수있는 512 비트 코드 서명 인증서를 사용하는 익스플로잇은 2011 년에보고되었습니다. 2003 년 Shamir 와 Tromer 에 의해 설명 된 TWIRL 이라는 이론적 인 하드웨어 장치는 1024 비트 키의 보안에 의문을 제기했습니다.,
,1994 년에 베드로 Shor 보여주는 양자 컴퓨터 하나가 될 수 있는 실질적으로 만들어진 목적을 위한 것이라고 할 수 있는 요인은 다항식 시간을 깨고,RSA,참 Shor”s 알고리즘이 있습니다.
잘못된 키 생성 edit
소스를 찾을 수 있:”RSA”암호시스템–뉴스·신문·책·학자·JSTOR(월 2017 년)(는 방법을 배울 때를 제거하는 이 템플릿의 메시지가)
찾는 데 큰 소수 p q 일반적으로 수행을 테스트하여 임의의 숫자의 올바른 크기로 확률적인 최초 테스트는 신속하게 제거하는 거의 모든 nonprimes.
숫자 p 와 q 는 n 에 대한 페르마 인수 분해가 성공적이지 않도록”너무 가깝지”않아야합니다., P-q 가 2n1/4 보다 작 으면(n=p*q,n 의 작은 1024 비트 값조차도 3×1077)p 와 q 에 대한 해결은 사소한 것입니다. 또한,당 p−1 또는 q−1 는 작은 주요 요인,n 할 수 있습 고려하여 신속하게 Pollard”s p−1 알고리즘,따라서 이러한 값 p q 폐기해야 한다.
개인 지수 d 가 충분히 큰 것이 중요합니다. Michael J.Wiener 는 p 가 q 와 2q(매우 전형적 임)와 d<n1/4/3 사이라면 n 과 e 에서 d 를 효율적으로 계산할 수 있음을 보여주었습니다.,
적절한 패딩이 사용되는 경우 e=3 과 같은 작은 공개 지수에 대한 알려진 공격은 없습니다. Coppersmith”s 의 공격은 많은 응용 프로그램에서 공격하는 RSA 경우에 특히 공개 지 e 이 작은 경우에 암호화된 메시지입니다 단지 채워집니다. 65537 은 일반적으로 사용되는 값에 대한 전자;이 값으로 간주 될 수 있는 사이의 타협을 피하고 잠재적인 작은 지수를 공격하고도 효율적인 암호화(또는 서명을 확인)., NIST 특별한 간행물에 컴퓨터보안(SP800-78Rev1 월 2007)을 허용하지 않는 공개 지수는 전자보다 작은 65537 하지 않지만,국가는 이유로 이러한 제한을 받습니다.
2017 년 10 월 Masaryk University 의 연구원 팀이 RSALib 로 알려진 Infineon 의 라이브러리에 구현 된 알고리즘에 의해 생성 된 rsa 키에 영향을 미치는 ROCA 취약점을 발표했습니다. 많은 수의 스마트 카드 및 신뢰할 수있는 플랫폼 모듈(TPMs)이 영향을받는 것으로 나타났습니다. 취약한 RSA 키는 팀이 발표 한 테스트 프로그램을 사용하여 쉽게 식별됩니다.,
의 중요성이 강한 임의의 수 generationEdit
강력한 암호기는 제대로로 씨를 뿌리는 적절한 엔트로피,야를 생성하는 데 사용되는 소수 p q. 분석 비교한 수백만의 공용 키에서 수집한 인터넷에서 수행되었는 2012 년 초에 의해 아르연 K. 렌스트라,James P.Hughes,막심 Augier,Joppe W.Bos,토르스 Kleinjung 및 와쳐 크리스토프. 그들은 단지 유클리드”의 알고리즘을 사용하여 키의 0.2%를 요인 할 수 있었다.
그들은 정수 인수 분해에 기반한 암호 시스템에 고유 한 약점을 이용했습니다., 경 n=pq 은 하나의 공용 키 n’=p 또한 우리가 당신을 위해 다른’이 다른 경우 다음 기회에 의해 p=p'(하지만 q 같지 않은 q’),그리고 간단한 계산의 gcd(n,n’)=p 요인 모두 n,n’,완전 손상시키지 모두 키를 사용합니다. 렌 스트라 등. 이 문제 최소화할 수 있습을 사용하여 강력한 임의의 비트 길이의 두 배기위한 보안 수준,또는 고용하여 결정적인 기능을 선택 q 주 p,대신에 선택한 p,q 습니다.
Nadia Heninger 는 비슷한 실험을 한 그룹의 일부였습니다. 그들은 Daniel J 의 아이디어를 사용했습니다., Bernstein 계산 GCD 의 각 RSA 키 n 에 대해 제품의 모든 다른 키 n’그들이 발견했다(729 억 자리 숫자)는 대신,컴퓨팅의 각 gcd(n,n’)는 별도로,따라서 달성하는 매우 중요한 속도 후부터는 하나의 큰 부문,GCD 문제의 정상적인 크기.
Heninger 에서 말하는 그녀의 블로그는 나쁜 키가 발생한 거의 전적으로 내장된 응용프로그램”을 포함,방화벽,라우터,VPN 장치,원격 서버 관리 장치,프린터,프로젝터,및 VOIP 전화기에서”30 이상 제조 업체입니다., Heninger 설명하는 공동 주요한 문제 발견에 의해 두 개의 그룹에서 결과는 경우 의사 난수 발생기는 제대로 씨를 뿌리는 처음에,그리고 그는 다시 시드 간 세대의 첫 번째와 두 번째 소수. 를 사용하의 씨앗을 충분히 높은 엔트로피를 획득에서 중요한 치기 타이밍 다이오드 또는 전자 소음이나 대기에서 소음 라디오 수신기 조정 역 사 문제를 해결한다.
강력한 난수 생성은 공개 키 암호화의 모든 단계에서 중요합니다., 예를 들어,만약 약한 발전기 사용에 대한 대칭 키로 배포되는 RSA,다음 도청을 우회할 수 있습 RSA 및 생각은 대칭 키를 직접 있습니다.
타이밍 attacksEdit
Kocher 설명하는 새로운 공격에 RSA1995 년에면 공격자 이브가 알고있는 앨리스는”s 하드웨어에 충분 한 세부 사항을 측정할 수 있는 암호 해독 시대에 대한 알려진 여러 가지 암호문,전날 수 있습을 추론 암호 해독 키 d 다. 이 공격은 RSA 서명 체계에도 적용될 수 있습니다., 2003 년에,보네 및 Brumley 보여 더 많은 실용적인 공격을 복구 할 수 있는 RSA factorizations 네트워크 연결을 통해(예를 들어,Secure Sockets Layer(SSL)사용 웹서버)이 공격은 이용하의 정보를 유출해 중국의 나머지 정리를 최적화에 사용되는 많은 RSA 구현입니다.
한 가지 방법을 막기 위해 이러한 공격 보장하는 암호 해독 작업은 일정한 양의 시간에 대한 모든 암호. 그러나이 접근법은 성능을 크게 떨어 뜨릴 수 있습니다., 대신 대부분의 RSA 구현은 암호화 블라인딩으로 알려진 대체 기술을 사용합니다. RSA blinding 은 RSA 의 다중 속성을 사용합니다. Cd(mod n)를 계산하는 대신 Alice 는 먼저 비밀 랜덤 값 r 을 선택하고(rec)d(mod n)를 계산합니다. 오일러(Euler)의 정리를 적용한 후이 계산의 결과는 rcd(mod n)이므로 r 의 효과는 역수를 곱하여 제거 할 수 있습니다. 각 암호문에 대해 r 의 새로운 값이 선택됩니다. 으로 눈부신이 적용된 암호 해독 시간은 더 이상 상관의 값이 입력된 텍스트,그리고 타이밍을 공격에 실패합니다.,
Adaptive 선택한 암호문 attacksEdit
에서 1998 년 다니엘 Bleichenbacher 설명하는 첫 번째 실제적인 적응형 선택한 암호 공격에 대하여,RSA 암호화를 사용하여 메시지 PKCS#1v1 패딩 scheme(패딩 체계를 무작위로 추가하여 구조를는 RSA 암호화된 메시지,그래서 가능한지 여부를 결정하는 해독된 메시지 유효). PKCS#1 구성표의 결함으로 인해 Bleichenbacher 는 보안 소켓 계층 프로토콜의 RSA 구현에 대한 실질적인 공격을 탑재하고 세션 키를 복구 할 수있었습니다., 결과적으로의 이동,암호는 이제의 사용을 권장도 패딩은 보안 방식 등으로 최적의 비대칭 암호화 패딩 및 RSA 연구소가 발표는 새로운 버전의 PKCS#1 는 이러한 공격에 취약하지 않.
측 채널 분석 attacksEdit
분기 예측 분석(bpa)을 이용한 측 채널 공격이 설명되었다. 많은 프로세서를 사용하여 분기 예측하는지 여부를 결정 조건부 지점에서 교육의 교류 프로그램을 가능성이있을 수는 없습니다. 종종 이러한 프로세서는 SMT(동시 멀티 스레딩)도 구현합니다., 분기 예측 분석 공격은 스파이 프로세스를 사용하여 이러한 프로세서로 처리 할 때 개인 키를 발견(통계적으로)합니다.
Sbpa(Simple Branch Prediction Analysis)는 비 통계적 방식으로 BPA 를 개선한다고 주장합니다. 에서 자신의 종이,”에 전원의 간단한 분기 예측 분석”,저자의 SBPA(Onur Aciicmez 및 세틴 Kaya Koc)클레임을 발견했 508 의 512 의 비트는 RSA 키에 10 번 반복합니다.
rsa 구현에 대한 전원 오류 공격은 2010 년에 설명되었습니다., 저자는 한계 이상으로 CPU 전원 전압을 변화시켜 키를 복구;이 서버에 여러 전원 결함을 일으켰습니다.피>