Was ist die Reduzierung der Schlüsselstärke, die nur 160 Bit Daten mithilfe von RSA1024 für Signaturen verschlüsselt?

  • Ich versuche, die Stärke eines falsch implementierten 1024-Bit-RSA-Signaturschemas zu ermitteln. Die Schwachstelle bei der Implementierung ist, dass den Auffülldaten keine Zufallszahlen fehlen. Folglich werden für jede signierte Nachricht nur 160 Bit Daten geändert (kryptografischer Hash).

    Wie bestimmt man die resultierende Reduzierung der Stärke in dem Schema und wie viele signierte Nachrichten wären notwendig, um aus einem privaten 1024-Bit-Schlüssel eine mathematisch durchführbare Operation zu machen, die wiederhergestellt werden soll?

    23 October 2013
    e-sushiMaarten Bodewes
2 answers
  • Nun, es gibt aus zwei Gründen keine notwendige "Verringerung der Stärke":

    • Sie fragen nach wie vielen Signaturen Sie müssten den privaten Schlüssel wiederherstellen. Selbst mit uneingeschränktem Oracle-Zugriff auf den privaten Betrieb gibt es keine Möglichkeit, den privaten Schlüssel wiederherzustellen (oder den Modulus gleichwertig zu machen), der effizienter ist, als nur das Oracle zu ignorieren und den Modul direkt anzugreifen. Wenn Sie dem Angreifer Zugriff auf eine begrenzte Anzahl von Signaturen gewähren, kann er den privaten Schlüssel daher nicht wiederherstellen.

    • Was der Angreifer mit einigen Auffüllmethoden tun kann, ist den Wert anderer Signaturoperationen ableiten; Dies würde eine Fälschung ohne den privaten Schlüssel erzeugen. Nun gibt es durchaus bekannte Auffüllmethoden (wie eine naive "Null-Füllmethode"), die dazu neigen. Auf der anderen Seite gibt es deterministische Padding-Methoden (wie PKCS # 1.5 RSASSA-PKCS1-v1_5 ) method), für die es keine bekannte Methode zur Erzeugung von Fälschungen gibt, die einfacher ist als das Auffinden von Kollisionen in der Hash-Funktion.

    Also, wenn das System Wenn beispielsweise die oben genannte PKCS-Methode verwendet wird, besteht keine bekannte Schwäche, selbst wenn der Angreifer Zugriff auf eine große Anzahl von Signaturen hat.

    03 February 2012
    poncho
  • Genau genommen funktionieren RSA-Signaturen normalerweise. PKCS # 1 Version 1.5 Blocktyp 1 ist das am häufigsten verwendete Signaturformat heute verwendet. Für Blocktyp 1 ist die Auffüllung eine konstante Zeichenfolge, und die Daten sind der Hash, der in einer ASN.1-Struktur verpackt ist, die auch den Signaturalgorithmus identifiziert.

    Weitere moderne Signaturschemata enthalten eine Zufallskomponente , aber sie werden bei weitem noch nicht so breit unterstützt.

    04 February 2012
    Marcel LevyPrashanth