ฉันเดาว่านี่เป็นปัญหาทางคณิตศาสตร์มากกว่าในบริบทของการเข้ารหัส ดังนั้นฉันขออภัยล่วงหน้าหากไม่ใช่สถานที่ที่เหมาะสมที่จะถามโดยทั่วไปฉันต้องตรวจสอบว่าการใช้งานการสร้างคู่คีย์ RSA เป็นไปตาม FIPS 186-4 หรือไม่ โดยเฉพาะอย่างยิ่ง ภาคผนวก B-3-1 FIPS 186-4 จำเป็นที่ $d$ (เลขชี้กำลังส่วนตัว) ถูกสร้างขึ้นดังนี้:
$d = (e^{-1})\bmod(\text{LCM}(p-1, \space q-1))$
ไลบรารีที่เป็นปัญหา (openssl v1.0.1) คำนวณ $d$ เช่นนั้น:
$d = (e^{-1})\bmod((p-1)(q-1))$
ฉันไม่สามารถพิสูจน์หรือหักล้างได้ว่าสองคนนี้สร้างชุดคำตอบเดียวกันหรือไม่ $d$.
สภาพการสร้างของ $p$ และ $คิว$ คือว่า $(p-1)$ และ $(q-1)$ ทั้งคู่ค่อนข้างสำคัญ $e$ (เลขยกกำลังสาธารณะ) ดังนั้นสูตรทั้งสองจึงมีคำตอบ
นอกจากนี้ตั้งแต่ $p$ และ $คิว$ เป็นทั้งนายก $(p-1)$ และ $(q-1)$ จะเป็นเลขคู่และจาก $a \times b=\text{GDC}(a, \space b) \times \text{LCM}(a, \space b)$ เรารู้ว่า $\text{GCD}(p-1, \space q-1) \geq 2$ ดังนั้น $\text{LCM}(p-1, \space q-1) \neq (p-1)(q-1)$.
คำถามของฉันคือพวกเขาเหมือนกันหรือแตกต่างกัน?
ฉันจะขอบคุณถ้าคุณสามารถชี้ให้ฉันเห็นทิศทางที่ถูกต้องทางคณิตศาสตร์เพื่อที่ฉันจะได้แก้ปัญหานี้ด้วยตัวเอง
ป.ล.: ฉันเข้าใจสำหรับ openssl v1 มีโมดูล FIPS และ opensl v3.0 จะพยายามสมัครขอใบรับรอง FIPS 140-2 ขออภัย ฉันติดอยู่กับเวอร์ชันที่ฉันกล่าวถึงและฉันไม่สามารถเปลี่ยนแปลงได้ (มันไม่ได้ขึ้นอยู่กับฉัน)
FIPS® 186-4's $d_1=e^{-1}\bmod m_1$ กับ $m_1=\ชื่อผู้ประกอบการ{lcm}(p-1,q-1)$และ OpenSSL $d_2=e^{-1}\bmod m_2$ กับ $m_2=(p-1)(q-1)$ต่างกันด้วยความน่าจะเป็น $>1/2$ สำหรับการสุ่มเลือกของ $p$ และ $คิว$ และแก้ไขอย่างใดอย่างหนึ่ง $e$ เพิ่มข้อ จำกัด ต่อไป $p$ และ $คิว$ (ตามธรรมดา).หรือ $e$ เลือกค่อนข้างสุ่มหลังจาก $p$ และ $คิว$.
เหตุผล: มันถือ $m_2=g\,m_1$ สำหรับจำนวนเต็ม $g=\gcd(p-1,q-1)$. ที่ $g$ เป็นจำนวนเต็มอย่างน้อย $2$ (และโดยมากมักจะเป็นจำนวนเต็มคู่ที่มากกว่า) มันเป็นไปตาม $d_2\bmod m_1=d_1$. มันได้รับการยืนยันอย่างดีว่า $d_2$ มีการกระจายอย่างสม่ำเสมอตามช่วงเวลา $[0,m_2)$ ภายใต้ข้อจำกัดของการเป็น coprime ด้วย $m_2$. ดังนั้นการลดโมดูลาร์จาก $d_2$ ถึง $d_1$ ทำให้เกิดการเปลี่ยนแปลงด้วยความน่าจะเป็นข้างๆ $1-1/กรัม$ซึ่งเป็นอย่างน้อยเสมอ $1/2$. เป็นเรื่องง่ายที่จะสร้างตัวอย่างที่เกิดขึ้น ขอบเขต $1/2$ สำหรับความน่าจะเป็นนั้น $d_1\ne d_2$ สามารถปรับปรุงได้ (เพิ่ม, เกินเล็กน้อย $2/3$ จริง) โดยพิจารณาการกระจายของ $g$.
ความคลาดเคลื่อนที่เกิดขึ้นบ่อยครั้งนั้นไม่ได้เลวร้ายอย่างที่คิดเพราะ
ตามความเข้าใจของฉัน ข้อกำหนดใน FIPS 186-4 เพื่อใช้สำหรับการคำนวณคีย์ส่วนตัว $d$ ตัวคูณร่วมน้อยของ $p-1$ และ $q-1$ แทนที่สินค้าของตนจะมีวัตถุประสงค์เพื่อป้องกันการโจมตีจากรายย่อย $d$ ชอบ การโจมตีของวีเนอร์. ความเชื่อทั่วไปในหมู่ผู้เชี่ยวชาญคือว่าปลอดภัยจากการปรับปรุงการโจมตีของ Wiener หากความยาวของ $d$ อย่างน้อยครึ่งหนึ่งของความยาวของโมดูลัส $m$.
ในรูปแบบ (ที่รู้จัก) ของการโจมตีคีย์ส่วนตัวขนาดเล็กทั้งหมด $d$ งานขึ้นอยู่กับขนาดของ เล็กที่สุด เป็นไปได้ $d$ (การคำนวณโดยใช้ตัวคูณร่วมน้อย) NIST ยืนยันที่จะใช้ตัวคูณร่วมน้อย เพื่อให้สามารถตรวจสอบได้ว่าตัวคูณร่วมน้อยที่สุด $d$ ใหญ่พอ
ตามที่ NIST ต้องการนั้น $p$ และ $คิว$ มีขนาดใกล้เคียงกัน คุณสามารถตรวจสอบความยาวที่ต้องการได้ $d$ แทนโดยเพียงแค่ตรวจสอบว่า $d_p$, $d_p+p-1$, $d_q$ และ $d_q+q-1$ แตกต่างกันเป็นรายคู่ หากการโจมตีช่องทางด้านข้างเป็นปัญหาสำหรับคุณ การทดสอบนี้สามารถป้องกันได้ง่ายกว่าการคำนวณตัวหารร่วมมากของ $p-1$ และ $q-1$ซึ่งกลายเป็นเป้าหมายของการโจมตีที่เผยแพร่หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา อย่างไหน $d$ คุณใช้ในการคำนวณของคุณไม่ควรสำคัญมากนัก เนื่องจากการเพิ่มทวีคูณของ $(p-1)(q-1)$ ที่ใช้กันทั่วไปในการตอบโต้การโจมตีช่องทางด้านข้าง
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
