ช่องโหว่ RSA เมื่อ M ที่เข้ารหัสไม่ได้อยู่ร่วมกับ N

เมื่อ $(N,e)$ เป็นคีย์สาธารณะ RSA ที่ถูกต้อง โดยที่ $N$ เป็นผลคูณของจำนวนเฉพาะลับที่แตกต่างกันสองตัว $p$ และ $q$ มีความน่าจะเป็นประมาณ $1/p+1/q$ ที่ข้อความสุ่ม $M $ นั้น $M^e$ ไม่เหมือนกับ $N$ เนื่องจากทั้ง $p$ และ $q$ ต้องมีค่ามาก (ทศนิยมหลายร้อยหลัก) เพื่อให้ RSA ปลอดภัย ความน่าจะเป็นดังกล่าวจึงไม่มีนัยสำคัญเลยในการใช้งานจริงของ RSA คำถามกำลังพิจารณาบางสิ่งที่ใช้งานจริงจะไม่เกิดขึ้นสำหรับการสุ่มหรือการสุ่ม $M$ หรือสำหรับ $M\in[1,N)$ ที่เลือกโดยผู้ที่ไม่รู้ (หรือไม่สามารถหา) การแยกตัวประกอบของ $N$ .

RSA เป็นการเปลี่ยนแปลงประตูกล นี่หมายความว่าคุณมีอะไร?

ตกลงฉันไม่ได้คิดเรื่องนี้ในกรณีดังกล่าว เป็นช่องโหว่ด้านความปลอดภัยที่รุนแรง เนื่องจากการใช้ GCD ของ ciphertext(C) และการรั่วไหลของ N p หรือ q?

การใช้ OAEP กับ C ที่ไม่ใช่ coprime กับ N จะยุติปัญหาหรือไม่

@Chen: ฉันไม่เข้าใจสิ่งที่คุณหมายถึงโดย "ใช้ OAEP บน C"; แต่การใช้ OAEP เพื่อสร้างอินพุต $M$ สำหรับการเข้ารหัส RSA แบบดิบ $M\mapsto C=M^e\bmod N$ สำหรับการรักษาความปลอดภัย $N$ เป็นอย่างอื่นนั้นแน่นอนว่าจะ "แก้ไขปัญหา" หากมี ตอนนี้เราสามารถเข้ารหัสผลคูณของ $p$ หรือ $q$ ได้อย่างปลอดภัย อีกครั้ง แม้จะไม่ได้ใช้ OAEP ก็ไม่มีปัญหาในทางปฏิบัติ เพราะการเลือก $M$ หรือ $C$ ใน $[1,n)$ กับ $\gcd(C,N)\ne1$ เป็นไปไม่ได้สำหรับคนที่ไม่รู้ ( ไม่สามารถหาได้) การแยกตัวประกอบของ $N$

ขออภัย ฉันตั้งใจจะใช้ OAEP กับ M คุณหมายความว่าการเลือก M ที่ให้ $gcd(C,N)â 1$ โดยตั้งใจนั้นเป็นไปไม่ได้หากไม่รู้ p และ q

และทำไมจะเป็นไปไม่ได้? จะเป็นไปได้ไหมที่มีโอกาสสำเร็จ 1/p + 1/q

@Chen ก็คงไม่ต่างอะไรจากผู้โจมตีเพียงแค่คาดเดาปัจจัยสุ่มของ $N$ :)

@Chen: สำหรับขนาดจริง $p, q$ นั่นคือ $2^{-1024}$ หรือเล็กกว่า $1/p + 1/q$ นั้น "เป็นไปไม่ได้"

คำถามนี้เป็นภาษาอื่นๆ: