首页
社区
课程
招聘
[转帖]知识点 10:RSA 问题和 Strong-RSA 问题的区别是什么
发表于: 2019-10-22 16:46 10179

[转帖]知识点 10:RSA 问题和 Strong-RSA 问题的区别是什么

2019-10-22 16:46
10179

52 Things: Number 10: What is the difference between the RSA and strong-RSA problem?


原文链接: http://bristolcrypto.blogspot.com/2014/12/52-things-number-10-what-is-difference.html 

原文就偷懒了,直接贴图片了,希望能看清楚。


[1] - http://people.csail.mit.edu/rivest/RivestKaliski-RSAProblem.pdf 

密码学大量的依赖这样的假设:某些的数学问题在实际可行的时间内难以解决(困难问题,一般指很难找到多项式时间的算法,或着不存在多项式时间算法) 。在本博文讨论公钥(非对称性)密码时,假设单向函数存在(目前还没有人证证明单向函数存在。计算复杂性理论认为:单向函数存在意味着 P ≠ NP)。

因式分解

数论中第一个讨论的困难问题是因式分解。给定一个合整数 N,因式分解问题是找到正整数 p, q,使得 N = pq。虽然表面上看上去是个简单的问题,但实际上研究表明这是一个棘手的问题。通过检查所有的数 p = 2, .. sqrt(N) (根号N),因式分解问题能在指数时间内解决。目前还没有多项式时间算法解决这个问题。显然,有一些 N 的因式分解例子容易解决,例如 N 是偶数时。因此,在密码学构造中使用因式分解时,我们考虑 N 是一个很大的,由两个大素数 p,q 构成。

RSA 问题

在 RSA 公钥加密 [1] 中,Alice 使用 Bob 的公钥 (n, e) 将明文 M 加密成密文 C。 C = M^e (mod n),n 是两个大素数的乘积,e >= 3 的奇数(群的这些就不翻译了,符号太难打了,不明白的去看看:信息安全数学基础)。Bob 知道私钥 (n, d),de = 1 (mod (p - 1)(q - 1)),意味着他能计算 M = C^d (mod n)。敌手可以窃听到密文 C,并且知道公钥 (n, e),然而计算明文 M, 敌手必须找到 n 的因子。这意味着 RSA 问题不会比因式分解问题更困难,但是选择一个合适的 n, RSA 仍然是一个难解决的问题。

Strong RSA 假设

Strong RSA 假设与 RSA 假设不同的地方是:敌手能选择公共指数 e。敌手的任务是从密文 C 计算明文 M, C = M^e (mod n)。这意味着 Strong RSA 假设是一个更强的假设,至少和 RSA 一样简单(这里的简单不是说 RSA 问题简单,Strong RSA 假设 >= RSA 假设,Strong RSA 假设是很多密码学构造的基础)。RSA 问题至少有 25 年以上历史了。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2019-10-23 09:57 被tilamisu编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 10845
活跃值: (1054)
能力值: (RANK:190 )
在线值:
发帖
回帖
粉丝
2
在strongRSA假设下,攻击者可以任意操控‘拥有明文的加密者’所使用的公钥e
攻击者可以随机产生两个值:e1,e2 满足(e1,e2)=1   (这是容易的)
然后寻找A和B 满足A*e1-B*e2=1   (这是容易的)
然后操控加密者对明文m用e1加密得到c1=m^e1
再操控加密者对明文m用e2加密得到c2=m^e2
最后攻击者计算c1^A / c2^B,即可破解出明文m

上述描述,对吗?
最后于 2019-10-24 12:19 被看场雪编辑 ,原因:
2019-10-24 12:18
0
雪    币: 184
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
看场雪 在strongRSA假设下,攻击者可以任意操控‘拥有明文的加密者’所使用的公钥e攻击者可以随机产生两个值:e1,e2 满足(e1,e2)=1  & ...
这样就是 (n, e1) 和 (n, e2),有点像 RSA 的共模攻击了

在提出 strong RSA 假设在论文里,只选择一个 e,
https://link.springer.com/content/pdf/10.1007/3-540-69053-0_33.pdf 
在 wikipedia 中的描述也是 Incryptography, thestrongRSAassumptionstates that the RSA problem is intractable even when the solver is allowed to choose the public exponente(for e ≥ 3). More specifically, given a modulusNof unknown factorization, and a ciphertext C, it is infeasible to find any pair (M, e) such that C ≡ M^e mod N.
https://en.wikipedia.org/wiki/Strong_RSA_assumption 
这些攻击模式看起来头疼。。。
https://wenku.baidu.com/view/654c4b5b58fb770bf78a5587.html?pn=50
2019-10-25 18:01
0
雪    币: 10845
活跃值: (1054)
能力值: (RANK:190 )
在线值:
发帖
回帖
粉丝
4
rsa问题:
给定N,c和e,求m,满足c=m^e (N)

strong rsa问题:
给定N和c,求e和m,满足c=m^e (N)

它们的区别类似于:
rsa问题/strong rsa 问题
hash弱碰撞/hash强碰撞

上述描述,对吗?
2019-10-26 11:23
0
雪    币: 184
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
看场雪 rsa问题: 给定N,c和e,求m,满足c=m^e (N) strong rsa问题: 给定N和c,求e和m,满足c=m^e (N) 它们的区别类似于: rsa问题/strong r ...
弱抗碰撞:给定消息 M1, 发现另一个消息 M2,满足 H(M1) = H(M2) 在 计算上 是不可行的。
强抗碰撞:找到任意一对不同的消息 M1,M2,使 H(M1) = H(M2) 在计算上是不可行的。

从定义上看,是类似的,我也不知道也不能这样比较。
2019-10-26 18:18
0
游客
登录 | 注册 方可回帖
返回
//