Score:3

RSA: มีความเสี่ยงด้านความปลอดภัยหรือไม่หากผู้โจมตีทราบความยาวของค่า P และ Q

ธง in

มีความเสี่ยงด้านความปลอดภัยหรือไม่ หรือบางทีอาจมีความเสี่ยงด้านความปลอดภัยมากเพียงใด หากผู้โจมตีทราบความยาวของค่า P และ Q ที่ใช้เมื่อได้รับค่าสำหรับพารามิเตอร์ N ในอัลกอริทึมการเข้ารหัส RSA

ฉันได้ทำการอ่านเกี่ยวกับการปรับใช้ RSA และฉันเห็นว่าบางอันกำหนดให้ P และ Q มีความยาวเท่ากัน ในขณะที่บางอันมีความยาวขั้นต่ำสำหรับ P หรือ Q ดังนั้นเมื่อคำนึงถึงสิ่งนี้แล้ว ก็น่าจะคุ้มค่าที่จะถามว่ามี ความยาวขั้นต่ำที่ P หรือ Q ต้องเป็นเมื่อใช้ RSA (ในทางปฏิบัติ) หรือไม่

kelalaka avatar
in flag
ไม่ ความเสี่ยงที่ใหญ่ที่สุดคือการสุ่มที่ไม่ดี [GCD กลับมาใช้ RSA ในปี 2019 - การสุ่มที่ดีเป็นทางออกเดียวหรือไม่](https://crypto.stackexchange.com/q/76757/18298) และแฟร์มาต์แฟคตอริ่งหากจำนวนเฉพาะ อยู่ใกล้ความยาวขั้นต่ำนั้นเกี่ยวกับการรับประกันว่าคุณมีจำนวนเฉพาะที่มากกว่า min ดังนั้นคุณจึงมี RSA 2048 บิต และง่ายต่อการสร้างไพรม์แบบสุ่มในทุกช่วงเวลา
Score:14

มันไม่เสี่ยงต่อความปลอดภัยเลยสำหรับความยาวของ $พี$ และ $คิว$ ที่จะเป็นที่รู้จัก ในความเป็นจริงความยาวของ $พี$ และ $คิว$ มักจะทราบกันดีเพราะมาตรฐานส่วนใหญ่กำหนด $พี$ และ $คิว$ ให้มีความยาวเท่ากันและสำหรับโมดูลัสสาธารณะ $N = P \cdot Q$ ให้มีความยาวเป็นสองเท่า (ซึ่งไม่รวมค่าของ $พี$ และ $คิว$ ซึ่งเป็นทั้งสองอย่าง $n$หมายเลขบิตที่มีผลิตภัณฑ์อยู่ระหว่าง $2^{2n-2}$ และ $2^{2น-1}$).

ดังนั้นหากคุณรู้ว่า $2^{2n-1} < N < 2^{2n}$ และคีย์ถูกสร้างขึ้นโดยการใช้งานทั่วไป $2^{n-1} < P < 2^n$ และ $2^{n-1} < Q < 2^n$. ในความเป็นจริง การใช้งานบางอย่างบังคับให้บิตนำหน้าทั้งสองของจำนวนเฉพาะเป็น 1 เช่น $3 \cdot 2^{n-2} < P,Q < 2^n$ซึ่งรับประกันได้ว่า $N \ge 2^{2n-1}$ และไม่ลดพื้นที่คีย์ส่วนตัวลงอย่างมาก

คีย์ RSA สามารถแข็งแกร่งได้เท่ากับจำนวนเฉพาะที่เล็กที่สุดเท่านั้น ดังนั้นจึงไม่สมเหตุสมผลเลยที่จำนวนเฉพาะจะมีขนาดต่างกัน การมีไพรม์ที่ใหญ่กว่าไพรม์อื่นทำให้การคำนวณช้าลงโดยไม่ปรับปรุงความปลอดภัย

คุณสามารถดูความยาวคีย์ขั้นต่ำสำหรับ RSA (âfactoring modulusâ) ที่แนะนำโดยหน่วยงานบางแห่งบน คีย์ความยาวดอทคอม. หารด้วยสองเพื่อให้ได้ขนาดของจำนวนเฉพาะสองตัว.

Chrᴉz remembers Monica avatar
_...การใช้งานโดยทั่วไป จากนั้น 2nâ1
Steve Cox avatar
ro flag
_การมีไพรม์ที่ใหญ่กว่าอีกอันหนึ่งทำให้การคำนวณช้าลงโดยไม่ปรับปรุงความปลอดภัย_ ถ้าอย่างนั้นหนึ่งในไพรม์ที่เล็กกว่าอีกอันหนึ่งจะดีกว่า และถ้าพวกมันอยู่ใกล้กันเกินไป ก็จะมี [การโจมตีธรรมดา](https://math.stackexchange.com/ questions/3754984/explain-why-we-ไม่ควรเลือก-prime-p-และ-q-ที่-ใกล้กัน-กับ-f มากเกินไป) ที่บั่นทอนระบบ อาจช่วยชี้แจงว่าคุณกำลังพูดถึงความยาวบิต จำนวนเฉพาะควรแยกออกจากกัน
Score:7
ธง my

Gilles ตอบคำถามแรกของคุณ ดังนั้นฉันจะตอบคำถามที่สองของคุณ:

มันอาจจะคุ้มค่าที่จะถามว่ามีความยาวขั้นต่ำที่ P หรือ Q ต้องเป็นเมื่อใช้ RSA (ในทางปฏิบัติ) หรือไม่

ใช่; มีอัลกอริธึมการแยกตัวประกอบที่ใช้เวลาตามตัวประกอบที่สั้นที่สุด และทำงานได้เร็วกว่าการแยกตัวประกอบแบบทดลองมาก สิ่งที่ดีที่สุดคือ วิธี Elliptic Curve (อีซีเอ็ม); มีคนพบปัจจัย 276 บิตของคอมโพสิตขนาดใหญ่ ($7^{337}+1$); ดังนั้นจึงควรพิจารณาให้แน่ใจว่าปัจจัยที่เล็กกว่านั้นมีขนาดใหญ่กว่านั้นมาก

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา