CRT-RSA 算法的选择明文攻击

由于同等密钥长度的CRT-RSA算法比普通RSA算法的运算速度快4倍左右,因此得到广泛的应用,其算法实现的安全性也就尤为重要.该文针对用于数字签名的CRT-RSA算法,提出基于选择明文的两类攻击方法:一类是通过特殊的选择明文的方法,从而操控S_(q)的值,然后利用S_(q)的相关性分析得到p(q)或mmod p(q),进而破解CRT-RSA算法;一类是针对采用蒙哥马利模乘实现的CRT-RSA算法,利用蒙哥马利参数的特殊性,提出一种选择明文的攻击方法.第一类攻击方法又分为两种实现方式,对第二种实现方式进行了实验验证,实验中通过对p从低到高逐16bit进行相关性攻击,实验发现正确的密钥的相关性系数大部分排在第一位,并且与第二名有着0.01到0.03的差距,每16比特密钥的攻击时间约为20分钟,完整的1024位的p耗时约10小时.第二类攻击方法的仿真实验表明,密钥最高字段的值越大,越有利于攻击.第二类攻击方法实验结果表明,在20000多条有效曲线的情况下,正确密钥的相关性系数达到了0.15,比错误密钥的相关性系数高50%实验证明,该方法可以成功得到密钥.最后针对本文的攻击方法,提出了两种防御方案.

CRT-RSA算法安全性分析

论文研究了引入中国剩余定理(CRT)的RSA算法,分析了其面临的主要安全威胁情形。针对具体的实现算法,分别给出了瞬时出错攻击、长期出错攻击和随机出错攻击方法与过程,发现大合数N会被分解。并提出了提高CRT-RSA算法安全性的思路与对策。

一种关于CRT-RSA算法的差分错误注入攻击

自从针对嵌入式设备上的CRT-RSA算法的Bellcore攻击提出以后,CRT-RSA算法的错误注入攻击一直是学术界研究的热点.研究人员针对CRT-RSA算法提出了很多防御方案,并针对这些防御方案提出了不同的攻击方法,但是,后续提出的攻击方法都是基于Bellcore攻击思想,通过错误的结果数据或者验签的数据和正确结果数据的差和模数求公约数的方法进行攻击.该文针对CRT-RSA算法提出了一种新的攻击方法,该攻击方法需要针对同一明文运算两次不同错误的结果即可实现.该方法只是利用了整数分解定理和求最大公约数运算,计算过程和复杂度都比较简单.考虑到实际中攻击复杂度,该文提出了针对该方法的优化方案,使用了选择明文方式进行错误攻击攻击实验,并通过仿真方式证明本方法的可行性.仿真表明,该方法具有较低的复杂度,不到1秒钟即可实现1024位CRT-RSA算法密钥的破解.该方法同样适用于密钥长度更长的CRT-RSA的破解.由于只需要两次独立错误很大概率上即可恢复密钥,因此,本攻击方法具有很强的可行性,本文针对这种攻击方法提出两种防御方案,以抵御这种错误注入攻击手段.

基于DPA对Gauss形式CRT-RSA的选择明文攻击

采用中国剩余定理(CRT)对RSA算法进行加速,可将其计算速度提高约四倍,因此CRT-RSA被广泛使用.CRT-RSA算法按结合部分的实现方式可以分为Gauss和Garner两种.本文提出一种针对Gauss形式CRT-RSA算法的选择明文攻击方法,攻击的目标操作为模乘运算.本方法通过选择明文来操纵目标中间值,然后采用分而治之的方式,对密钥相关数据分段进行DPA攻击,从而破解密钥.文中提出的针对模乘运算带来问题的分而治之解决方案具有一般性,对所有大数模乘的DPA攻击均有效.文中分析指出,为了降低攻击难度并提高攻击的成功率,需要综合考虑DPA攻击样本空间大小和模乘运算分解的复杂度来决定最佳的选择明文参数的取值范围.本文对智能IC上运行的1024bit的CRT-RSA运算进行了攻击实验,在选择明文范围为0-5000的条件下,使用5000条智能IC卡执行CRT-RSA运算的功耗曲线,对p×p_(inv)从最高字节开始进行多次分段DPA攻击,首先对最高3个字节进行攻击,之后以2字节为一段进行逐段攻击,最终耗时4个小时攻击得到p×p_(inv)的完整值,从而完成CRT-RSA算法的破解.最后本文给出了三种针对本攻击方法的防御方案.

一种改进的CRT-RSA防御侧信道攻击算法

针对Ha等人提出的CRT-RSA防御算法进行了分析,指出其算法在使用中国剩余定理(CRT)的过程中仍然存在着降低计算效率的模逆运算。为了提高计算性能消除模逆运算,基于明文掩盖方法,提出了一种改进的安全CRT-RSA防御算法,并通过对改进算法的理论分析,证明该算法可抵抗现有已知的功耗攻击(SPA、DPA、RDA和(N-1)攻击)和故障攻击(FA)且不存在模逆运算,从而更加高效与实用。

CRT-RSA的连分数算法攻击的分析

Wiener于1989年提出对小解密指数RSA的连分数攻击,并留下一个开放性问题,即是否存在对小解密指数CRT-RSA(中国剩余定理RSA)的攻击。本文分析了连分数攻击对CRT-RSA的安全性影响,结果表明Wiener提出的连分数攻击算法对CRT-RSA是无效的。

部分私钥泄露下的CRT-RSA分析

2003年,Bl?mer和May在研究针对RSA密码的部分私钥泄露攻击的同时,也研究了针对CRT-RSA的部分私钥泄露攻击.此后,大量关于CRT-RSA部分私钥泄露攻击的研究是针对泄露的比特为MSBs (最高数位比特)或者LSBs (最低数位比特).2014年,Sarkar与Venkateswarlu首次考虑了关于CRT-RSA部分私钥泄露攻击中未泄露比特块数超过1个的情况,其格构造的方法借鉴了2008年Herrmann和May在解决线性模方程求小值解问题中的想法.文章在Sarkar等研究基础上通过使用有益多项式及连续有益多项式的定义对构造的多项式集合进行筛选,这种方法来源于Takayasu等对Herrmann和May求解模多项式小值解的改进工作.因此所构造的格维数比Sarkar等构造的更低且缩短了LLL算法的运行时间,改进了Sarkar等的结果.

一种基于模板的RSA-CRT模约减攻击方法

目前针对RSA-CRT的建模类攻击研究较少,本文以模约减操作为研究对象,提出了一种针对RSA-CRT实现的模板攻击方法.该方法的核心是解决了如何由模约减后中间值的汉明重量恢复RSA-CRT私钥的难题.该方法的特点是基于模约减后中间值的汉明重量模型建模,通过采集选择密文模约减的能量迹进行模板匹配获取模约减后中间值的汉明重量,由汉明重量变化值恢复中间值,进一步恢复RSA-CRT算法的私钥.另外,该方法的优点在于理想情况下,基于中间值汉明重量模型建立的模板之间可以共用,且对中间值以多少位大小建模没有限制,可以选择字节大小,64位大小,甚至私钥p相同大小,实际环境中可根据泄露信息情况进行选取.最后,本文选择对中间值的最低字节进行建模,验证了该方法的可行性,并给出了防护建议.

基于RSA算法的快递信息隐私保护应用

快递如今是人们生活中不可或缺的一种递送方式,如何保护快递员在递送包裹阶段用户的信息隐私安全是本文讨论的主要内容。在RSA算法加密解密的原理上,提出一种变型的重新平衡-RSA算法对个人信息加密。实践证明,与传统的重新平衡-RSA算法相比,改进后的算法加密速度至少提高2.6倍,变型算法比较适合于需要降低加密解密成本的应用。

中国剩余定理在RSA解密中的应用

在分析RSA密码算法实现原理的基础上,着重论述了利用单基数转换法(SRC)和混合基数转换法(MRC)计算中国剩余定理惟一解的方法以及利用这两种方法快速实现RSA的解密算法。

针对RSA-CRT数字签名的光故障攻击研究

通过研究密码芯片SRAM存储单元构造,利用激光改变进行运算的SRAM存储单元的逻辑状态,分析光注入对SRAM存储单元的影响。以Montgomery乘的RSA-CRT数字签名算法为攻击对象,分析其算法的实现过程和故障注入机理。针对密码芯片实现的8位RSA-CRT签名算法,使用半导体激光作为注入光源,搭建光注入实验平台,在计算Sq时刻进行故障注入,从而得到故障签名,通过分析故障签名与N的关系,成功的获得了大素数q,验证了光故障攻击的有效性。

AES与RSA算法优化及其混合加密体制

针对AES密钥扩展过程存在的安全隐患,提出一种改进的密钥扩展方法。针对轮函数中列混合和逆列混合运算耗时相差较大的问题,找出有限域GF(28)上最简形式的列混合和逆列混合运算,使其在加解密过程中消耗同样的运算资源;RSA方面,针对其运算效率的缺陷,将传统双素数变为四素数,在签名(解密)过程中,采用中国剩余定理结合蒙哥马利模乘来优化大数的模幂运算。在此基础上,结合两种算法的优点,并采用消息摘要、数字签名、数字信封等技术构建了一个既方便密钥管理又确保加密解密效率的混合加密体制。实验结果表明优化后的算法在运算速度上有一定优势并且有较高的可行性。

针对RSA算法软件应用的故障攻击研究

原有的RSA故障攻击针对的都是运行在智能卡等硬件上的算法,为研究针对RSA软件实现方式的故障攻击,剖析中国剩余定理软件实现算法,提出针对OpenSSL密码库的RSA算法软件实现的故障攻击算法,给出一种只需要一次错误签名的改进攻击方案。通过仿真实验验证算法的可行性,并给出抵御此类攻击的有效措施。

针对OpenSSL的RSA实现算法的计时攻击

通过对OpenSSL中的RSA算法的研究，发现RSA算法在解密过程中会发生Montgomery约简，从而导致对于不同的密文产生不同的解密时间差异，由该时间差异信息能够提取密钥的信息，进行密钥破解。为了能够产生更加明显的时间差异，提高攻击执行效率，提出了添加临近值的改进方法，并设计了计时攻击的流程。实验结果表明，改进的方法能够提高计时攻击的效率和准确性。

一种高效率的RSA模幂算法的研究

RSA硬件的执行效率主要取决于模幂运算的实现效率。该文旨在介绍一种引入中国剩余定理加速私钥操作,并采用Barret模缩减方法,避开除法运算,将模幂运算转换成三个乘法运算和一个加法运算的快速模幂算法及其硬件实现方法。在乘法运算的实现中,采用Booth乘法器,可以大大缩短电路的关键路径,显著地提高硬件的执行效率。

一种新的基于多素数RSA认证加密方案

根据RSA加密系统和中国剩余定理,提出了一种新的基于多密钥的RSA认证加密方案。该方案与通常的RSA加密系统不同,每个用户只有一个加密密钥,但解密密钥由两个以上的短密钥组成,大大地加快了解密的速度。在解密过程中,巧妙地运用了中国剩余定理,减少了求逆元的个数,提高了效率。特别地,根据该方案可得到改进的Paixao方案和Boneh方案,计算速度更快,效果更好。分析表明,此方案可以有效地减少计算复杂度,并且不会降低其安全性,十分适合智能卡之间、智能卡和终端之间的认证和信息交换。

基于CRT的低成本RSA芯片设计

提出了一种基于改进的Montgomery算法和中国剩余定理(CRT)的RSA签名芯片的VLSI实现.由于采用了新颖的调度算法,实现了用576b的模乘单元来完成1152b的RSA模幂运算,从而大大降低了芯片面积;此外,CRT的引入使得整个系统的数据吞吐率与传统的1024bRSA系统相当.实验结果显示:芯片完成一次1024b的模幂运算需要约1.2M个时钟周期,而芯片规模在54K个等效门以下;如果系统时钟频率选取40MHz,系统签名速率可以达到30Kbps.

一种基于AES和三素数RPrime RSA认证加密方案

运用中国剩余定理加快处理三素数RPrime RSA解密算法,提出了一种全新的基于AES算法和三素数RPrime RSA算法的认证加密方案,具有高效、安全等特点,非常适合在智能卡之间、智能卡和终端之间的认证和信息交换。

基于多素数和参数替换的改进RSA算法研究

为了提高RSA公钥算法在消息加密过程中的安全性,在深入分析传统RSA算法的基础上,对其进行了一些改进性研究,提出了一种比传统RSA算法更加有效的方法来优化其安全性。在将传统RSA改进为四素数RSA的基础上,再运用数学变换进行参数替换,消除了在公钥中对传输两个随机素数的乘积n的需要,引入了一个新的参数x代替原参数n。针对改进后的算法在运算效率方面的不足,采用中国剩余定理CRT优化大数模幂运算。实验结果证实了改进算法的可行性,为通过公钥加密消息发送和接收提供了更安全的路径;同时,对改进算法与传统RSA和四素数RSA算法的解密(签名)时间进行比较分析。实验结果表明改进后的算法对消息发送方和接收方之间签名效率也有一定程度的优化。

慎用中国剩余定理提高RSA算法效率

模幂运算的效率决定了RSA密码系统的执行速度。由于中国剩余定理对于提高RSA算法的模幂运算效率有显著作用,因而被广泛使用。但直接使用中国剩余定理是不安全的,容易受到出错攻击。文章就介绍了一种出错攻击方法,并给出了一些对抗这一攻击的具体措施。