Теорема Копперсмита

Теорема Копперсмита (метод Копперсмита) — теорема, позволяющая эффективно найти все нули нормированных многочленов по определённому модулю.^[1]

Теорема используется в основном для атак на криптосистему RSA. Этот метод является эффективным, если экспонента кодирования имеет достаточно малое значение, либо когда известна часть секретного ключа. Теорема также связана с LLL-алгоритмом.

ОписаниеПравить

ВведениеПравить

Теорема предлагает алгоритм эффективного нахождения корней нормированного многочлена $\text{[math]}$ $\text{[math]}$ $f$ по модулю $\text{[math]}$ $\text{[math]}$ $N$ , которые меньше чем $\text{[math]}$ $\text{[math]}$ $X=N^{1/d}$ . Если $\text{[math]}$ $\text{[math]}$ $X$ будет малым, то алгоритм будет работать быстрее. Преимущество теоремы это возможность находить малые корни многочлена по составному модулю $\text{[math]}$ $\text{[math]}$ $N$ . Если же модуль — простое число, то нет смысла использовать теорему Копперсмита. Намного эффективнее будет использовать другие способы нахождения корней многочлена.^[1]

Маленькая экспонента кодированияПравить

Чтобы уменьшить время шифрования или проверки подписи, желательно использовать маленькое $\text{[math]}$ $\text{[math]}$ ${\textstyle e}$ (экспонента кодирования). Наименьшее возможное значение — $\text{[math]}$ $\text{[math]}$ $3$ , однако рекомендуется использовать $\text{[math]}$ $\text{[math]}$ $e=2^{16}+1=65537$ (для защиты от некоторых атак). При использовании значения $\text{[math]}$ $\text{[math]}$ $2^{16}+1$ на проверку подписи требуется 17 умножений ( $\text{[math]}$ $\text{[math]}$ $\forall e\leqslant \phi (N)$ , где $\text{[math]}$ $\text{[math]}$ $\phi (N)$ — порядок мультипликативной группы $\text{[math]}$ $\text{[math]}$ $\mathbb {Z} _{N}$ , возможно около 1000). Атаки ориентированные на использование маленького $\text{[math]}$ $\text{[math]}$ ${\textstyle e}$ не всегда действенны.

Самые мощные атаки на маленькую экспоненту кодирования основываются на теореме Копперсмита, которая имеет много приложений, одно из которых атака Хастеда (Hasted).^[2]

Атака ХастедаПравить

Предположим один отправитель отправляет одно и то же сообщение $\text{[math]}$ $\text{[math]}$ $M$ в зашифрованном виде определённому количеству людей $\text{[math]}$ $\text{[math]}$ $P_{1};P_{2};...;P_{k}$ , каждый из которых использует одну и ту же маленькую экспоненту кодирования $\text{[math]}$ $\text{[math]}$ ${\textstyle e}$ , скажем $\text{[math]}$ $\text{[math]}$ $e=3$ , и различные пары $\text{[math]}$ $\text{[math]}$ $\left\langle N_{i},e\right\rangle$ , причем $\text{[math]}$ $\text{[math]}$ $M<N_{i},\forall i$ . Отправитель зашифровывает сообщение, используя поочередно открытый ключ каждого пользователя, и отсылает его соответствующему адресату. Тогда, если противник прослушает канал передачи и соберет $\text{[math]}$ $\text{[math]}$ $k\geqslant 3$ переданных шифротекстов, то он сможет восстановить сообщение $\text{[math]}$ $\text{[math]}$ $M$ .

ДоказательствоПравить

$\text{[math]}$ $\text{[math]}$ $\Box$ Предположим противник перехватил $\text{[math]}$ $\text{[math]}$ $C_{1},C_{2}$ и $\text{[math]}$ $\text{[math]}$ $C_{3}$ , где $\text{[math]}$ $\text{[math]}$ $C_{i}=M^{3}{\bmod {N}}_{i}$ . Мы предполагаем, что $\text{[math]}$ $\text{[math]}$ $N_{1},N_{2},N_{3}$ взаимно просты, иначе наибольший общий делитель отличный от единицы означал нахождение делителя одного из $\text{[math]}$ $\text{[math]}$ $n$ . Применяя китайскую теорему об остатках к $\text{[math]}$ $\text{[math]}$ $C_{1},C_{2}$ и $\text{[math]}$ $\text{[math]}$ $C_{3}$ получим $\text{[math]}$ $\text{[math]}$ $C\in \mathbb {Z} _{N_{1},N_{2},N_{3}}$ , такое что $\text{[math]}$ $\text{[math]}$ $C_{i}\equiv C{\bmod {N}}_{i}$ , которое имеет значение $\text{[math]}$ $\text{[math]}$ $C=M^{3}{\bmod {N}}_{1}N_{2}N_{3}$ . Однако, зная что $\text{[math]}$ $\text{[math]}$ $M<N_{i},\forall i$ , получаем $\text{[math]}$ $\text{[math]}$ $M^{3}<N_{1}N_{2}N_{3}$ . Поэтому $\text{[math]}$ $\text{[math]}$ $C=M^{3}$ , то есть противник может расшифровать сообщение $\text{[math]}$ $\text{[math]}$ $M$ взяв корень кубический от $\text{[math]}$ $\text{[math]}$ $C$ .

Для восстановления сообщения $\text{[math]}$ $\text{[math]}$ $M$ с любым значением открытой экспоненты кодирования $\text{[math]}$ $\text{[math]}$ ${\textstyle e}$ , необходимо противнику перехватить $\text{[math]}$ $\text{[math]}$ $k\geqslant e$ шифротекстов. $\text{[math]}$ $\text{[math]}$ $\blacksquare$

ФормулировкаПравить

Пусть $\text{[math]}$ $\text{[math]}$ $N\in \mathbb {Z}$ и $\text{[math]}$ $\text{[math]}$ $f(x)\in \mathbb {Z[x]} -$ нормированный многочлен степени $\text{[math]}$ $\text{[math]}$ $d$ . Пусть $\text{[math]}$ $\text{[math]}$ $X=N^{{\tfrac {1}{d}}-\varepsilon }$ , $\text{[math]}$ $\text{[math]}$ $\varepsilon \geqslant 0$ . Тогда по паре $\text{[math]}$ $\text{[math]}$ $\left\langle N,f\right\rangle$ атакующий эффективно найдет все целые числа $\text{[math]}$ $\text{[math]}$ $\left\vert x_{0}\right\vert <\left\vert X\right\vert$ , удовлетворяющие $\text{[math]}$ $\text{[math]}$ $f(x_{0})\equiv 0{\bmod {N}}$ . Время выполнения определяется выполнением LLL-алгоритма на решетке размерности $\text{[math]}$ $\text{[math]}$ $O(\omega )$ , где $\text{[math]}$ $\text{[math]}$ $\omega =\min \left\{{\tfrac {1}{\varepsilon }},\log _{2}{N}\right\}$ .^[1]

ДоказательствоПравить

$\text{[math]}$ $\text{[math]}$ $\Box$ Пусть $\text{[math]}$ $\text{[math]}$ $m>1$ натуральное число, которое мы определим позже. Определим

$\text{[math]}$ $\text{[math]}$ $g_{i,k}(x)=x^{i}(f(x)/M)^{k}$

Мы используем в качестве основы для нашей решетки $\text{[math]}$ $\text{[math]}$ $L$ полиномы $\text{[math]}$ $\text{[math]}$ $g_{i,k}(xX)$ для $\text{[math]}$ $\text{[math]}$ $i=0,...,d-1$ и $\text{[math]}$ $\text{[math]}$ $k=0,...,m-1$ . Например, когда $\text{[math]}$ $\text{[math]}$ $d=3$ и $\text{[math]}$ $\text{[math]}$ $m=3$ мы получаем матрицу решетки, натянутую на строки:

$\text{[math]}$ $\text{[math]}$ ${\begin{bmatrix}1\\&X\\&&X^{2}\\-&-&-&X^{3}M^{-1}\\&-&-&-&X^{4}M^{-1}\\&&-&-&-&X^{5}M^{-1}\\-&-&-&-&-&-&X^{6}M^{-2}\\&-&-&-&-&-&-&X^{7}M^{-2}\\&&-&-&-&-&-&-&X^{8}M^{-2}\end{bmatrix}}$ ,

где «—» обозначает ненулевые недиагональные элементы, значение которых не влияет на определитель. Размер этой решетки равен $\text{[math]}$ $\text{[math]}$ $\omega =md$ , а её определитель считается так:

$\text{[math]}$ $\text{[math]}$ $\det(L)=X^{\omega (\omega -1)/2}M^{-\omega (m-1)/2}$

Потребуем, чтобы $\text{[math]}$ $\text{[math]}$ $\det(L)<2^{-\omega (\omega -1)/4}\omega ^{-\omega /2}$ . Отсюда следует

$\text{[math]}$ $\text{[math]}$ $X<M^{(m-1)/(\omega -1)}2^{-1/2}\omega ^{-1/(\omega -1)}$

что можно упростить до

$\text{[math]}$ $\text{[math]}$ $X<\gamma _{\omega }\centerdot M^{{\tfrac {1}{d}}-\varepsilon }$ ,

где $\text{[math]}$ $\text{[math]}$ $\varepsilon ={\tfrac {d-1}{d(\omega -1)}}$ и $\text{[math]}$ $\text{[math]}$ ${\tfrac {1}{2{\sqrt {2}}}}\leqslant \gamma _{\omega }<{\tfrac {1}{\sqrt {2}}}$ для всех $\text{[math]}$ $\text{[math]}$ $\omega$ . Если мы возьмем $\text{[math]}$ $\text{[math]}$ $m\rightarrow \infty$ , то получим $\text{[math]}$ $\text{[math]}$ $\omega \rightarrow \infty$ а, следовательно, и $\text{[math]}$ $\text{[math]}$ $\varepsilon \rightarrow 0$ . В частности, если мы хотим решить $\text{[math]}$ $\text{[math]}$ $X<M^{{\tfrac {1}{d}}-\varepsilon _{0}}$ для произвольного $\text{[math]}$ $\text{[math]}$ $\varepsilon _{0}$ , достаточно взять $\text{[math]}$ $\text{[math]}$ $m=O(k/d)$ , где $\text{[math]}$ $\text{[math]}$ $k=\min \left\{{\tfrac {1}{\varepsilon }},\log _{2}{N}\right\}$ . $\text{[math]}$ $\text{[math]}$ $\blacksquare$ ^[3]

См. такжеПравить

Атака Копперсмита

ПримечанияПравить

↑ ¹ ² ³ Dan Boneh. Twenty Years of Attacks on the RSA Cryptosystem (неопр.). Дата обращения: 25 ноября 2016. Архивировано 26 марта 2016 года.
↑ Ушаков Константин. Взлом системы RSA (неопр.). Дата обращения: 25 ноября 2016. Архивировано 1 декабря 2016 года.
↑ Glenn Durfee. CRYPTANALYSIS OF RSA USING ALGEBRAIC AND LATTICE METHODS (неопр.) (июнь 2002). Дата обращения: 30 ноября 2016. Архивировано 4 марта 2016 года.

[:0-1] ¹ ² ³ Dan Boneh. Twenty Years of Attacks on the RSA Cryptosystem (неопр.). Дата обращения: 25 ноября 2016. Архивировано 26 марта 2016 года.

[2] Ушаков Константин. Взлом системы RSA (неопр.). Дата обращения: 25 ноября 2016. Архивировано 1 декабря 2016 года.

[3] Glenn Durfee. CRYPTANALYSIS OF RSA USING ALGEBRAIC AND LATTICE METHODS (неопр.) (июнь 2002). Дата обращения: 30 ноября 2016. Архивировано 4 марта 2016 года.

[1]

[2]

[3]