Атака Копперсмита

Атака Копперсмита описывает класс криптографических атак на открытый ключ криптосистемы RSA, основанный на методе Копперсмита. Особенность применения этого метода для атак RSA включает случаи, когда открытая экспонента мала или когда частично известен секретный ключ.

Открытый ключ криптосистемы RSA это пара натуральных чисел ${\displaystyle \left\langle N,e\right\rangle }$, где ${\displaystyle N}$ это произведение двух простых чисел ${\displaystyle p}$ и ${\displaystyle q}$, а число ${\displaystyle e}$ — открытая экспонента. Целое число ${\displaystyle e}$ (${\displaystyle 1<e<\phi (N)}$, где ${\displaystyle \phi (N)=(p-1)(q-1)}$ — функция Эйлера от числа ${\displaystyle N}$) взаимно простое со значением ${\displaystyle \phi (N)}$. Обычно в качество ${\displaystyle e}$ берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма 17, 257 или 65537.

Секретный ключ определяется через закрытую экспоненту ${\displaystyle d}$. Число ${\displaystyle d}$ является мультипликативно обратным к числу ${\displaystyle e}$ по модулю ${\displaystyle \phi (N)}$, то есть число, удовлетворяет соотношению:

${\displaystyle d\cdot e\equiv 1{\bmod {\phi }}(N)}$.

Пара ${\displaystyle \left\langle N,e\right\rangle }$ публикуется в качестве открытого ключа RSA (англ. RSA public key), а пара ${\displaystyle \left\langle N,d\right\rangle }$ играет роль закрытого ключа RSA (англ. RSA private key) и держится в секрете.

Пусть ${\displaystyle N\in \mathbb {Z} }$ и ${\displaystyle f(x)\in \mathbb {Z[x]} -}$ нормированный многочлен степени ${\displaystyle d}$. Пусть ${\displaystyle X=N^{{\tfrac {1}{d}}-\varepsilon }}$, ${\displaystyle \varepsilon \geqslant 0}$. Тогда по паре ${\displaystyle \left\langle N,f\right\rangle }$ атакующий эффективно найдет все целые числа ${\displaystyle \left\vert x_{0}\right\vert <\left\vert X\right\vert }$, удовлетворяющие ${\displaystyle f(x_{0})\equiv 0{\bmod {N}}}$. Время выполнения определяется выполнением LLL-алгоритма на решетке размерности ${\displaystyle O(\omega )}$, где ${\displaystyle \omega =\min \left\{{\tfrac {1}{\varepsilon }},\log _{2}{N}\right\}}$.^[2]

${\displaystyle \Box }$ Пусть ${\displaystyle m>1}$ натуральное число, которое мы определим позже. Определим

${\displaystyle g_{i,k}(x)=x^{i}(f(x)/M)^{k}}$

Мы используем в качестве основы для нашей решетки ${\displaystyle L}$ полиномы ${\displaystyle g_{i,k}(xX)}$ для ${\displaystyle i=0,...,d-1}$ и ${\displaystyle k=0,...,m-1}$. Например, когда ${\displaystyle d=3}$ и ${\displaystyle m=3}$ мы получаем матрицу решетки, натянутую на строки:

${\displaystyle {\begin{bmatrix}1\\&X\\&&X^{2}\\-&-&-&X^{3}M^{-1}\\&-&-&-&X^{4}M^{-1}\\&&-&-&-&X^{5}M^{-1}\\-&-&-&-&-&-&X^{6}M^{-2}\\&-&-&-&-&-&-&X^{7}M^{-2}\\&&-&-&-&-&-&-&X^{8}M^{-2}\end{bmatrix}}}$,

где «—» обозначает ненулевые недиагональные элементы, значение которых не влияет на определитель. Размер этой решетки равен ${\displaystyle \omega =md}$, а её определитель считается так:

${\displaystyle \det(L)=X^{\omega (\omega -1)/2}M^{-\omega (m-1)/2}}$

Потребуем, чтобы ${\displaystyle \det(L)<2^{-\omega (\omega -1)/4}\omega ^{-\omega /2}}$. Отсюда следует

${\displaystyle X<M^{(m-1)/(\omega -1)}2^{-1/2}\omega ^{-1/(\omega -1)}}$

что можно упростить до

${\displaystyle X<\gamma _{\omega }\centerdot M^{{\tfrac {1}{d}}-\varepsilon }}$,

где ${\displaystyle \varepsilon ={\tfrac {d-1}{d(\omega -1)}}}$ и ${\displaystyle {\tfrac {1}{2{\sqrt {2}}}}\leqslant \gamma _{\omega }<{\tfrac {1}{\sqrt {2}}}}$ для всех ${\displaystyle \omega }$. Если мы возьмем ${\displaystyle m\rightarrow \infty }$, то получим ${\displaystyle \omega \rightarrow \infty }$ а, следовательно, и ${\displaystyle \varepsilon \rightarrow 0}$. В частности, если мы хотим решить ${\displaystyle X<M^{{\tfrac {1}{d}}-\varepsilon _{0}}}$ для произвольного ${\displaystyle \varepsilon _{0}}$, достаточно взять ${\displaystyle m=O(k/d)}$, где ${\displaystyle k=\min \left\{{\tfrac {1}{\varepsilon }},\log _{2}{N}\right\}}$. ${\displaystyle \blacksquare }$^[3]

Предположим один отправитель отправляет одно и то же сообщение ${\displaystyle M}$ в зашифрованном виде определённому количеству людей ${\displaystyle P_{1};P_{2};...;P_{k}}$, каждый из которых использует одну и ту же маленькую экспоненту кодирования ${\textstyle e}$, скажем ${\displaystyle e=3}$, и различные пары ${\displaystyle \left\langle N_{i},e\right\rangle }$, причем ${\displaystyle M<N_{i},\forall i}$. Отправитель зашифровывает сообщение, используя поочередно открытый ключ каждого пользователя, и отсылает его соответствующему адресату. Тогда, если противник прослушает канал передачи и соберет ${\displaystyle k\geqslant 3}$ переданных шифротекстов, то он сможет восстановить сообщение ${\displaystyle M}$.

${\displaystyle \Box }$ Предположим противник перехватил ${\displaystyle C_{1},C_{2}}$ и ${\displaystyle C_{3}}$, где ${\displaystyle C_{i}=M^{3}{\bmod {N}}_{i}}$. Мы предполагаем, что ${\displaystyle N_{1},N_{2},N_{3}}$ взаимно просты, иначе наибольший общий делитель отличный от единицы означал нахождение делителя одного из ${\displaystyle n}$. Применяя китайскую теорему об остатках к ${\displaystyle C_{1},C_{2}}$ и ${\displaystyle C_{3}}$ получим ${\displaystyle C\in \mathbb {Z} _{N_{1},N_{2},N_{3}}}$, такое что ${\displaystyle C_{i}\equiv C{\bmod {N}}_{i}}$, которое имеет значение ${\displaystyle C=M^{3}{\bmod {N}}_{1}N_{2}N_{3}}$. Однако, зная что ${\displaystyle M<N_{i},\forall i}$, получаем ${\displaystyle M^{3}<N_{1}N_{2}N_{3}}$. Поэтому ${\displaystyle C=M^{3}}$, то есть противник может расшифровать сообщение ${\displaystyle M}$ взяв корень кубический от ${\displaystyle C}$.

Для восстановления сообщения ${\displaystyle M}$ с любым значением открытой экспоненты кодирования ${\textstyle e}$, необходимо противнику перехватить ${\displaystyle k\geqslant e}$ шифротекстов. ${\displaystyle \blacksquare }$

Предположим ${\displaystyle \left\langle N,e\right\rangle }$ открытый ключ RSA, где ${\displaystyle N}$ длины ${\displaystyle n}$-бит. Возьмем множество ${\displaystyle m=\lfloor n/e^{2}\rfloor }$. Пусть ${\displaystyle M\in \mathbb {Z} _{N}}$ сообщение длины не более ${\displaystyle n-m}$ бит. Определим ${\displaystyle M_{1}=2^{m}M+r_{1}}$ и ${\displaystyle M_{2}=2^{m}M+r_{2}}$, где ${\displaystyle r_{1}}$ и ${\displaystyle r_{2}}$ различные целые числа, причем ${\displaystyle 0\leqslant r_{1}}$ и ${\displaystyle r_{2}\leqslant 2^{m}}$.Если противник получит ${\displaystyle \left\langle N,e\right\rangle }$ и шифры ${\displaystyle C_{1},C_{2}}$ от ${\displaystyle M_{1},M_{2}}$(но не получит ${\displaystyle r_{1}}$ или ${\displaystyle r_{2}}$), то он сможет эффективно восстановить сообщение ${\displaystyle M}$.

${\displaystyle \Box }$ Определим ${\displaystyle g_{1}(x,y)=x^{e}-C_{1}}$ и ${\displaystyle g_{1}(x,y)=(x+y)^{e}-C_{2}}$. Мы знаем, что когда ${\displaystyle y=r_{2}-r_{1}}$, эти полиномы имеют ${\displaystyle M_{1}}$ в качестве общего корня. Другими словами ${\displaystyle \Delta =r_{2}-r_{1}}$ это корень «результирующей» ${\displaystyle h(y)=\mathrm {res} _{x}(g_{1},g_{2})\in \mathbb {Z} _{N}[y]}$. Степень ${\displaystyle h}$ чаще всего ${\displaystyle e^{2}}$. Более того, ${\displaystyle |\Delta |<2^{m}<N^{1/e^{2}}}$. Следовательно, ${\displaystyle \Delta }$ это малый корень ${\displaystyle h}$ по модулю ${\displaystyle N}$, и противник может эффективно найти его, используя теорему Копперсмита. Как только ${\displaystyle \Delta }$ известна, может быть использована атака Франклина-Рейтера, чтобы покрыть ${\displaystyle M_{2}}$, следовательно, и ${\displaystyle M}$. ${\displaystyle \blacksquare }$