Score:4

RSA ส่งข้อความเดียวกันโดยมีเลขชี้กำลังต่างกัน 2 ตัว แต่เลขยกกำลังไม่ใช่จำนวนเฉพาะ

ธง cn

สวัสดี ฉันรู้ว่ามีคำถามอื่นๆ เช่นนี้ที่นี่ กล่าวคือ ที่นี่.

แต่จากวิธีแก้ปัญหาทั้งหมดที่ฉันได้เห็นของปัญหานี้ $e_1$ และ $e_2$ ค่อนข้างเป็นจำนวนเฉพาะ ซึ่งเป็นวิธีที่เราจะได้สมการสุดท้าย $m \equiv c_1^{\,a} \cdot c_2^{\,b} \pmod n $, ที่ไหน $a$ และ $ข$ มาจากสมการ $a\cdot e_1 + b\cdot e_2 =\gcd(e_1,e_2)$ จากอัลกอริทึมแบบยุคลิดแบบขยาย

อย่างไรก็ตามฉันสงสัยว่าจะทำอย่างไรที่ $\gcd(e_1, e_2) >1$. ฉันสามารถไปถึงจุดที่ฉันมี $m^{\gcd(e_1,e_2)} \equiv c_1^{\,a} \cdot c_2^{\,b}$ (เช่นเดียวกับโซลูชันอื่น ๆ ) แต่ด้วย $\gcd(e_1,e_2) \neq 1$, ฉันอยู่ที่ตารางหนึ่งกับการมี $m$ ภายใต้เลขชี้กำลัง

มีวิธีอื่นในการทำเช่นนี้หรือวิธีแก้ปัญหานี้หรือไม่?

Score:9
ธง my

มีวิธีอื่นในการทำเช่นนี้หรือวิธีแก้ปัญหานี้หรือไม่?

เราหวังว่าจะไม่ มิฉะนั้น คุณสามารถทำลาย RSA ได้

สมมติว่าคุณมีวิธีที่ได้รับ $m^{e_1} \bmod n$ และ $m^{e_2} \bmod n$ (และ $e_1$ และ $e_2$) คุณสามารถกู้คืนได้ $m$ (แม้ว่า $e_1, e_2$ ไม่เป็นจำนวนเฉพาะ)

จากนั้นให้ $m^e \bmod n$ และ $e$ (ซึ่งเป็นมาตรฐาน RSA) นี่คือสิ่งที่คุณสามารถทำได้: คุณสามารถเลือกค่าสุ่มได้ $r_1, r_2$ และคำนวณ $e_1 = e \cdot r_1$ และ $e_2 = อี \cdot r_2$. จากนั้นคุณคำนวณ $(m^e)^{r_1} = m^{e_1} \pmod{n}$ และ $(m^e)^{r_2} = m^{e_2} \pmod {n}$. จากนั้นคุณสามารถกำหนดค่าเหล่านี้ให้กับเมธอดได้ และเนื่องจากคุณปฏิบัติตามข้อกำหนดทั้งหมดแล้ว เมธอดของคุณก็จะให้คุณ $m$และการแก้ปัญหา RSA

อีกครั้ง เราหวังว่า RSA จะไม่ถูกทำลายง่ายๆ อย่างแน่นอน...

us flag
ตอนแรกฉันกังวลว่า $e$ ที่นี่อาจเป็นเลขชี้กำลังที่ไม่เหมาะสมสำหรับโมดูลัส (ดูประโยคแรก [ที่นี่](https://security.stackexchange.com/a/2339/51963)) ทำให้สิ่งนี้ไม่ปลอดภัยจริงๆ แต่หลังจากคิดถึงเรื่องนี้แล้ว นั่นจะทำให้เลขชี้กำลังที่ใหญ่กว่าสองตัวนั้นไม่ถูกต้องในท้ายที่สุด ทำให้สถานการณ์ทั้งหมดเริ่มมีปัญหา ดังนั้น สมมติว่าเลขชี้กำลังสองตัวที่พบนั้น "ถูกต้อง" ฉันเชื่อว่าเลขชี้กำลังที่ลดลงก็ควรจะเป็นเช่นนั้นเช่นกัน แม้ว่าสิ่งนี้จะไม่ชัดเจนสำหรับฉันในทันที ดังนั้นฉันจึงคิดว่าฉันจะเรียกมันออกมา
poncho avatar
my flag
@thesquaregroot: จริง ๆ แล้วไม่มีปัญหาด้านความปลอดภัยกับ $e$ ขนาดเล็ก (ตราบใดที่เป็น $> 1$ แน่นอน) หากคุณทำการเติมอย่างถูกต้อง ถ้าคุณไม่ทำ คำแนะนำของฉันคือ ... ทำช่องว่างภายในให้ถูกต้อง...
R.. GitHub STOP HELPING ICE avatar
ด้วย $e=2$ คุณไม่มี RSA แต่ Rabin cryptosystem ซึ่งทำงานแตกต่างกันเล็กน้อยอย่างน่าประหลาดใจ
us flag
@poncho ความกังวลของฉันไม่ได้เกี่ยวกับค่า $e$ ขนาดเล็ก แต่เป็นค่า $e$ ที่ ** ไม่ใช่ ** ค่อนข้างเป็นจำนวนเฉพาะสำหรับ p-1 สำหรับจำนวนเฉพาะทั้งหมด p ซึ่งแบ่งโมดูลัส โพสต์ที่ฉันเชื่อมโยงไปนั้นเกี่ยวกับความเล็กของค่า $e$ ที่ไม่เป็นปัญหาหากคุณทำการเติมอย่างถูกต้อง เดิมทีฉันแค่ต้องการให้แน่ใจว่าตรรกะของคุณเป็นจริงโดยไม่คำนึงถึงค่าของ $e$ สำหรับโมดูลัสที่กำหนด ข้อสรุปของฉันคือถ้า $e$ ไม่ปลอดภัย $e_1$ และ $e_2$ ก็จะเป็นเช่นนั้น ดังนั้นปัญหาจะเล็กน้อยกว่าด้วยเหตุผลเหล่านั้น
poncho avatar
my flag
@thesquaregroot: ไม่มีปัญหาด้านความปลอดภัยด้วยค่า $e$ ซึ่งไม่ใช่จำนวนเฉพาะสำหรับ $p-1$; แต่คุณไม่สามารถถอดรหัสได้โดยไม่ซ้ำกัน สำหรับการรักษาความปลอดภัย คุณสามารถเรียกร้องการรักษาความปลอดภัยที่ดียิ่งขึ้นสำหรับ $e$ ดังกล่าวได้ นั่นคือ ถ้าคุณมีกล่องดำที่กำหนด $m^e \bmod n$ (และระบุว่ามี $m$ ดังกล่าวอยู่ ) สำหรับ $e > 0$ ให้หาค่าที่เป็นไปได้ของ $m$ จากนั้นคุณสามารถแยกตัวประกอบ $n$ (!) ซึ่งไม่รู้จักสำหรับ RSA มาตรฐานได้อย่างมีประสิทธิภาพ
us flag
@poncho โอเค น่าสนใจ ฉันไม่แน่ใจว่าผลที่ตามมาคืออะไร ดังนั้นขอขอบคุณสำหรับการชี้แจง!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา