Атака Винера

Прежде чем начать описание того, как работает атака Винера, стоит ввести некоторые понятия, которые используются в RSA^[1]. Более подробную информацию см. в основной статье о RSA.

Для шифрования сообщений по схеме RSA используется открытый ключ - пара чисел ${\displaystyle (e,N)}$ , для расшифрования - закрытый ключ ${\displaystyle (d,N)}$ . Числа ${\displaystyle e,d}$  называются открытой и закрытой экспонентой соответственно, число ${\displaystyle N}$  - модулем. Mодуль ${\displaystyle N=pq}$ , где ${\displaystyle p}$  и ${\displaystyle q}$  - два простых числа. Связь между закрытой, открытой экспонентой и модулем задаётся, как ${\displaystyle ed=1mod\mathrm{\phi <!--\; \phi \; -->}(N)}$ , где ${\displaystyle \mathrm{\phi <!--\; \phi \; -->}(N)=(p-<!--\; -\; -->1)(q-<!--\; -\; -->1)}$  функция Эйлера.

Если по открытому ключу ${\displaystyle (e,N)}$  за короткое время можно восстановить ${\displaystyle d}$ , то ключ уязвим: получив информацию о закрытом ключе ${\displaystyle (d,N)}$ , у злоумышленников появляется возможность расшифровать сообщение.

Криптосистема RSA был изобретена Рональдом Ривестом, Ади Шамир и Леонардом Адлеманом и впервые опубликован в 1977 году^[1]. С момента публикации статьи криптосистема RSA была исследована на уязвимости многими исследователями.^[2] Большая часть таких атак используют потенциально опасные реализации алгоритма и пользуются явными условиями на какой-либо недочёт в алгоритме: общий модуль, малый открытый ключ, малый закрытый ключ^[3]. Так алгоритм атаки крипотографической атаки на алгоритм RSA с малым закрытым ключом был предложен криптологом Майклом Дж. Винером в статье, впервые опубликованной в 1990 году.^[4] Теорема Винера утверждает о том, что если выполняется условие малости ключа, то закрытый ключ может быть найден за линейное время.

В криптосистеме RSA Боб может использовать меньшее значение ${\displaystyle d}$ , а не большое случайное число, чтобы улучшить производительность расшифровки RSA. Однако атака Винера показывает, что выбор небольшого значения для ${\displaystyle d}$  приведет к небезопасному шифрованию, в котором злоумышленник может восстановить всю секретную информацию, то есть взломать систему RSA. Этот взлом основан на теореме Винера, которая справедлива при малых значениях ${\displaystyle d}$ . Винер доказал, что злоумышленник может эффективно найти ${\displaystyle d}$ , когда  .

Винер также представил некоторые контрмеры против его атаки. Два метода описаны ниже:^[5]

1. Выбор большого открытого ключа :

Заменить ${\displaystyle e}$  на ${\displaystyle e^{\prime }}$ , где ${\displaystyle e^{\prime }=e+k\cdot <!--\; \cdot \; -->\mathrm{\phi <!--\; \phi \; -->}(N)}$  для некоторого большого ${\displaystyle k}$ . Когда ${\displaystyle e^{\prime }}$  достаточно велик, то есть ${\displaystyle e^{\prime }>N^{\frac{3}{2}}}$ , то атака Винера неприменима независимо от того, насколько мал ${\displaystyle d}$ .

2. Используя китайскую теорему об остатках:

Выбрать ${\displaystyle d}$  так, чтобы и ${\displaystyle d_p=dmod(p-<!--\; -\; -->1)}$ , и ${\displaystyle d_q=dmod(q-<!--\; -\; -->1)}$  были малы, но сам ${\displaystyle d}$  нет, то быстрое дешифрование сообщения ${\displaystyle C}$  может быть выполнено следующим образом:

1. Сначала вычисляется ${\displaystyle M_p=C^{d_p}modp}$  и ${\displaystyle M_q=C^{d_q}modq}$ 
2. Используя китайскую теорему об остатках, чтобы вычислить уникальное значение ${\displaystyle M\in <!--\; \in \; -->{\mathbb{Z}}_{\mathbb{N}}}$ , которое удовлетворяет ${\displaystyle M=M_{p}modp}$  и ${\displaystyle M=M_{q}modq}$ . Результат ${\displaystyle M}$ удовлетворяет ${\displaystyle M=C^{d}modN}$  как и требовалось. Дело в том, что атака Винера здесь неприменима, потому что значение ${\displaystyle dmod\mathrm{\phi <!--\; \phi \; -->}(N)}$  может быть большим.

Поскольку

${\displaystyle ed=1(\mathrm{mod}\mathrm{lcm}<!--\; \; -->(p-<!--\; -\; -->1,q-<!--\; -\; -->1)))}$ ,

то существует целое ${\displaystyle K}$  такое, что:

${\displaystyle ed=K\times <!--\; \times \; -->\mathrm{lcm}<!--\; \; -->(p-<!--\; -\; -->1,q-<!--\; -\; -->1)+1}$ .

Стоит определить ${\displaystyle G=gcd(p-<!--\; -\; -->1,q-<!--\; -\; -->1)}$  и подставить в предыдущее уравнение:

${\displaystyle ed=\frac{K}{G}(p-<!--\; -\; -->1)(q-<!--\; -\; -->1)+1}$ .

Если обозначить ${\displaystyle k=\frac{K}{gcd(K,G)}}$  и ${\displaystyle g=\frac{G}{gcd(K,G)}}$ , то подстановка в предыдущее уравнение даст:

${\displaystyle ed=\frac{k}{g}(p-<!--\; -\; -->1)(q-<!--\; -\; -->1)+1}$ .

Разделив обе части уравнения на ${\displaystyle dpq}$ , выходит что:

${\displaystyle \frac{e}{pq}=\frac{k}{dg}(1-<!--\; -\; -->\mathrm{\delta <!--\; \delta \; -->})}$ , где ${\displaystyle \mathrm{\delta <!--\; \delta \; -->}=\frac{p+q-<!--\; -\; -->1-<!--\; -\; -->\frac{g}{k}}{pq}}$ .

В итоге, ${\displaystyle \frac{e}{pq}}$  немного меньше, чем ${\displaystyle \frac{k}{dg}}$ , причём первая дробь состоит целиком из публичной информации. Тем не менее, метод проверки такого предположения всё ещё необходим. Принимая во внимание, что ${\displaystyle ed>pq}$  последнее уравнение может быть записано как:

${\displaystyle edg=k(p-<!--\; -\; -->1)(q-<!--\; -\; -->1)+g}$ .

Используя простые алгебраические операции и тождества, можно установить точность такого предположения.^[6]

Пусть ${\displaystyle N=pq}$ , где  . Пусть  .

Имея ${\displaystyle ⟨N,e⟩}$ , где ${\displaystyle ed=1mod\mathrm{\phi <!--\; \phi \; -->}(N)}$ , взломщик может восстановить ${\displaystyle d}$ .^[7]

Доказательство построено на приближениях с использованием непрерывных дробей.^[8]

Поскольку ${\displaystyle ed=1mod\mathrm{\phi <!--\; \phi \; -->}(N)}$ , то существует ${\displaystyle \mathit{k}}$  при котором ${\displaystyle ed-<!--\; -\; -->k\mathrm{\phi <!--\; \phi \; -->}(N)=1}$ . Следовательно:

${\displaystyle \left|\frac{e}{\mathrm{\phi <!--\; \phi \; -->}(N)}-<!--\; -\; -->\frac{k}{d}\right|=\frac{1}{d\mathrm{\phi <!--\; \phi \; -->}(N)}}$ .

Значит, ${\displaystyle \frac{k}{d}}$  - это приближение ${\displaystyle \frac{e}{\mathrm{\phi <!--\; \phi \; -->}(N)}}$ . Несмотря на то что взломщик не знает ${\displaystyle \mathrm{\phi <!--\; \phi \; -->}(N)}$ , он может использовать ${\displaystyle N}$  чтобы его приблизить. Действительно, поскольку:

${\displaystyle \mathrm{\phi <!--\; \phi \; -->}(N)=N-<!--\; -\; -->p-<!--\; -\; -->q+1}$  and  , мы имеем:   и  

Используя ${\displaystyle N}$  вместо ${\displaystyle \mathrm{\phi <!--\; \phi \; -->}(N)}$ , получим:

${\displaystyle \left|\frac{e}{N}-<!--\; -\; -->\frac{k}{d}\right|=\left|\frac{ed-<!--\; -\; -->kn}{Nd}\right|=\left|\frac{ed-<!--\; -\; -->k\mathrm{\phi <!--\; \phi \; -->}(N)-<!--\; -\; -->kN+k\mathrm{\phi <!--\; \phi \; -->}(N)}{Nd}\right|}$ 

${\displaystyle =\left|\frac{1-<!--\; -\; -->k(N-<!--\; -\; -->\mathrm{\phi <!--\; \phi \; -->}(N))}{Nd}\right|\le <!--\; \le \; -->\left|\frac{3k\sqrt{N}}{Nd}\right|=\frac{3k\sqrt{N}}{\sqrt{N}\sqrt{N}d}=\frac{3k}{d\sqrt{N}}}$ 

Теперь,  , значит  . Поскольку  , значит  , и в итоге получается:

 

где  

Так как   и  , следовательно:

 

Поскольку  , то  , и исходя из этого  , значит:

${\displaystyle (2)\frac{1}{2d}>\frac{1}{N^{\frac{1}{4}}}}$ 

Из (1) и (2), можно заключить, что:

 

Смысл теоремы заключается в том, что если условие выше удовлетворено, то ${\displaystyle \frac{k}{d}}$  появляется среди подходящих дробей для непрерывной дроби числа ${\displaystyle \frac{e}{N}}$ .

Следовательно, алгоритм в итоге найдёт такое ${\displaystyle \frac{k}{d}}$ ^[9].

Рассматривается открытый RSA ключ ${\displaystyle (e,N)}$ , по которому необходимо определить закрытую экспоненту ${\displaystyle d}$ . Если известно, что  , то это возможно сделать по следующему алгоритму ^[10]:

1. Разложить дробь ${\displaystyle \frac{e}{N}}$  в непрерывную дробь ${\displaystyle [a_1,a_2...]}$ .

2. Для непрерывной дроби ${\displaystyle [a_1,a_2...]}$  найти множество всех возможных подходящих дробей ${\displaystyle \frac{k_n}{d_n}}$ .

3. Исследовать подходящую дробь ${\displaystyle \frac{k_n}{d_n}}$ :

3.1. Определить возможное значение ${\displaystyle \mathrm{\phi <!--\; \phi \; -->}(N)}$ , вычислив ${\displaystyle f_n=\frac{e{d}_n-<!--\; -\; -->1}{k_n}}$ .

3.2. Решив уравнение ${\displaystyle x^2-<!--\; -\; -->((N-<!--\; -\; -->f_n)+1)x+N=0}$ , получить пару корней ${\displaystyle (p_n,q_n)}$ .

4. Если для пары корней ${\displaystyle (p_n,q_n)}$  выполняется равенство ${\displaystyle N=p_n\cdot <!--\; \cdot \; -->q_n}$ , то закрытая экспонента найдена ${\displaystyle d=d_n}$ .

Если условие не выполняется или не удалось найти пару корней ${\displaystyle (p_n,q_n)}$ , то необходимо исследовать следующую подходящую дробь ${\displaystyle \frac{k_{n+1}}{d_{n+1}}}$ , вернувшись к шагу 3.

Два данных примера ^[10] наглядно демонстрируют нахождение закрытой экспоненты ${\displaystyle d}$ , если известен открытый ключ RSA ${\displaystyle (e,N)}$ .

Для открытого ключа RSA ${\displaystyle (e,N)=(1073780833,1220275921)}$ :

Получается, что ${\displaystyle d=25}$ . В этом примере можно заметить, что условие малости выполняется  .

Для открытого ключа RSA ${\displaystyle (e,N)=(1779399043,2796304957)}$ :

Получается, что ${\displaystyle d=11}$ . В этом примере так же можно заметить, что условие малости выполняется  .

Сложность алгоритма определяется количеством подходящих дробей для непрерывной дроби числа ${\displaystyle \frac{e}{N}}$ , что есть величина порядка ${\displaystyle O(log(n))}$ . То есть число ${\displaystyle d}$  восстанавливается за линейное время^[11] от длины ключа.

• Rivest R., Shamir A., Adleman L. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems (англ.) // Communications of the ACM. — 1978. — P. 120–126.
• Wiener M. Cryptanalysis of short RSA secret exponents (англ.) // IEEE Transactions on Information Theory. — 1990. — P. 553–558.
• Coppersmith D., Franklin M., Patarin J., Reiter M. Low-Exponent RSA with Related Messages (англ.) // Proceedings of the 15th annual international conference on Theory and application of cryptographic techniques. — 1996. — P. 1-9.
• Boneh D. Twenty Years of attacks on the RSA Cryptosystem (англ.) // Notices of the American Mathematical Society (AMS). — 1999.
• Dujella A. Continued Fractions and RSA with Small Secret Exponent (англ.) // CoRR. — 2004. — P. 1-11.
• Khaled S. Mathematical Attacks on RSA Cryptosystem (англ.) // Journal of Computer Science. — 2006. — P. 665-671.
• Render E. Wiener's Attack on Short Secret Exponents // IEEE Proceedings. — 2007. (недоступная ссылка)
• Sarkar S., Maitra S. Revisiting Wiener’s Attack - New Weak Keys in RSA (англ.) // Indian Statistical Institute. — 2008.
• Justin J., Siddhart R., Sushant P., Shriket P. Study of RSA and Proposed Variant Against Wiener's Attack (англ.) // International Journal of Computer Applications. — 2010. — P. 15-20.
• Kedmi S. Python Implementation of Wiener's Attack (англ.). — 2016.
• Stinson D. Cryptography Theory and Practice (англ.). — 2e. — A CRC Press Company, 2002. — ISBN 1-58488-206-9.
• Герман О.Н, Нестеренко Ю.В. Теоретико-числовые методы в криптографии (рус.). — 1. — ACADEMA, 2012. — ISBN 978-5-7695-6786-5.