проблема с RSA

В криптографии проблема RSA суммирует задачу выполнения RSA, операции с закрытым ключом имея только открытый ключ . Алгоритм RSA возводит сообщение в степень по модулю составного числа N , которого коэффициенты неизвестны. Таким образом, задачу можно аккуратно описать как нахождение e ^й корни произвольного числа по модулю N. Для больших размеров ключей RSA (свыше 1024 бит) эффективный метод решения этой проблемы неизвестен; если когда-либо будет разработан эффективный метод, это поставит под угрозу текущую или возможную безопасность криптосистем на основе RSA — как для шифрования с открытым ключом, так и для цифровых подписей .

Более конкретно, проблема RSA состоит в том, чтобы эффективно вычислить P с учетом открытого ключа RSA ( N , e ) и зашифрованного текста C ≡ P. ^и ( мод Н ). Структура открытого ключа RSA требует, чтобы N было большим полупростым числом (т. е. произведением двух больших простых чисел ), чтобы 2 < e < N , чтобы e было взаимно простым с φ ( N ) и чтобы 0 ≤ C < N . C выбирается случайным образом в этом диапазоне; Чтобы определить проблему с полной точностью, необходимо также указать, как генерируются N и e , что будет зависеть от точных используемых средств генерации случайной пары ключей RSA.

Наиболее эффективный известный метод решения проблемы RSA — это сначала факторизовать модуль N, задача, которая считается непрактичной, если N достаточно велико (см. Целочисленную факторизацию ). Процедура настройки ключа RSA уже превращает открытый показатель e с помощью этой простой факторизации в закрытый показатель d , и поэтому точно такой же алгоритм позволяет любому, кто факторизует N, получить закрытый ключ . Любой C затем можно расшифровать с помощью закрытого ключа.

Точно так же, как нет доказательств того, что факторизация целых чисел сложна в вычислительном отношении, нет также доказательств того, что проблема RSA столь же сложна. С помощью описанного выше метода задача RSA по крайней мере так же проста, как и факторизация, но вполне может быть и проще. Действительно, существуют убедительные доказательства, указывающие на этот вывод: метод взлома метода RSA не может быть обязательно преобразован в метод факторизации больших полупростых чисел. ^[1] Это, возможно, легче всего увидеть по явному излишеству подхода факторинга: проблема RSA требует от нас расшифровать один произвольный зашифрованный текст, тогда как метод факторинга раскрывает закрытый ключ: таким образом, расшифровывая все произвольные зашифрованные тексты, а также позволяет выполнить произвольный RSA. шифрование с закрытым ключом. В том же духе нахождение показателя дешифрования d действительно вычислительно эквивалентно факторингу N , даже несмотря на то, что проблема RSA не требует d . ^[2]

В дополнение к проблеме RSA, RSA также имеет особую математическую структуру, которую потенциально можно использовать без непосредственного решения проблемы RSA. Чтобы в полной мере решить проблему RSA, криптосистема на основе RSA должна также использовать схему заполнения, такую как OAEP , для защиты от таких структурных проблем в RSA.

См. также [ править ]

Сильное предположение RSA
Факторинговый вызов RSA
Криптосистема Рабина , эквивалентность которой факторингу известна.

Ссылки [ править ]

^ Боне, Дэн; Венкатесан, Рамаратнам (1998). «Нарушение RSA может не быть эквивалентом факторинга». Достижения криптологии – EUROCRYPT'98 . Конспекты лекций по информатике. Том. 1403. Спрингер. стр. 59–71. дои : 10.1007/BFb0054117 . ISBN 978-3-540-64518-4 .
^ Алгоритм для этого приведен, например, в Менезес; ван Оршот; Ванстон (2001). «Шифрование с открытым ключом» (PDF) . Справочник по прикладной криптографии .

Дальнейшее чтение [ править ]

Нарушение RSA может быть таким же трудным, как факторизация , Д. Браун, 2005. В этом нерецензируемом препринте утверждается, что решение проблемы RSA с использованием программы прямых линий так же сложно, как и факторизация, при условии, что e имеет небольшой коэффициент.
Нарушение RSA в общих чертах эквивалентно факторингу , Д. Аггарвал и У. Маурер, 2008. Эта статья Eurocrypt 2009 (ссылка на препринтную версию) доказывает, что решение проблемы RSA с использованием универсального кольцевого алгоритма так же сложно, как и факторизация.
When e-th Roots Become Easier Than Factoring , Антуан Жу , Дэвид Наккаш и Эммануэль Томе, 2007. Эта статья Asiacrypt 2007 (ссылка на препринтную версию) доказывает, что решение проблемы RSA с использованием оракула для некоторых других особых случаев Задача RSA проще, чем факторинг.

[1] Боне, Дэн; Венкатесан, Рамаратнам (1998). «Нарушение RSA может не быть эквивалентом факторинга». Достижения криптологии – EUROCRYPT'98 . Конспекты лекций по информатике. Том. 1403. Спрингер. стр. 59–71. дои : 10.1007/BFb0054117 . ISBN 978-3-540-64518-4 .

[2] Алгоритм для этого приведен, например, в Менезес; ван Оршот; Ванстон (2001). «Шифрование с открытым ключом» (PDF) . Справочник по прикладной криптографии .

[1]

[2]

v т и Допущения о вычислительной сложности
Number theoretic	Integer factorization Phi-hiding RSA problem Strong RSA Quadratic residuosity Decisional composite residuosity Higher residuosity
Group theoretic	Discrete logarithm Diffie-Hellman Decisional Diffie–Hellman Computational Diffie–Hellman
Pairings	External Diffie–Hellman Sub-group hiding Decision linear
Lattices	Shortest vector problem (gap) Closest vector problem (gap) Learning with errors Ring learning with errors Short integer solution
Non-cryptographic	Exponential time hypothesis Unique games conjecture Planted clique conjecture