암호 지식 강좌 2

RSA 의 선택 비밀문서 공격.  　　 RSA 는 밀 문 공격 을 선택 하 는 데 취약 하 다.일반 공격 자 는 어떤 정 보 를 위장(Blind)하여 비밀 키 를 가 진 실체 에 서명 하도록 한다.그리고 계산 을 통 해 원 하 는 정 보 를 얻 을 수 있다.실제로 공격 은 모두 같은 약점 을 이용한다.즉,이러한 사실 이 존재 한다.승멱 은 입력 의 곱셈 구 조 를 보류한다.  　　 ( XM )^d = X^d *M^d mod n  　　 앞에서 언급 한 바 와 같이 이 고유 한 문 제 는 공개 키 암호 시스템 의 가장 유용 한 특징 인 모든 사람 이 공개 키 를 사용 할 수 있다 는 것 이다.그러나 알고리즘 에서 이 문 제 를 해결 할 수 없다.주요 조 치 는 두 가지 가 있다.하 나 는 좋 은 공개 키 프로 토 콜 을 사용 하여 작업 과정 에서 실체 가 다른 실체 가 임의로 발생 하 는 정보 복호화 에 대해 자신 이 아무것도 모 르 는 정보 서명 을 하지 않도록 하 는 것 이다.다른 하 나 는 낯 선 사람 이 보 낸 무 작위 문서 에 서명 하지 않 고 서명 할 때 원 웨 이 를 먼저 사용 합 니 다. Hash Function 은 문 서 를 HASH 로 처리 하거나 서로 다른 서명 알고리즘 을 동시에 사용 합 니 다.그 중에서 몇 가지 서로 다른 유형의 공격 방법 을 언급 했다. 　　  　　 RSA 의 공공 모드 공격.  　　 만약 시스템 에 하나의 모드 가 있다 면 서로 다른 사람 이 서로 다른 e 와 d 를 가지 고 있 을 뿐 시스템 은 위험 할 것 이다.가장 보편적 인 상황 은 같은 정 보 를 서로 다른 공개 키 로 암호 화 하 는 것 이다.이런 공개 키 는 공통 적 이 고 서로 질 적 이다.그러면 이 정 보 는 비밀 키 없 이 복 구 될 수 있다.P 를 정보 명문 으로 설정 하고 두 암호 화 키 는 e1 과 e2 이 며 공공 모드 는 n 이면:  　　 C1 = P^e1 mod n  　　 C2 = P^e2 mod n  　　 암호 분석 자 는 n,e1,e2,C1,C2 를 알 면 P 를 얻 을 수 있다.  　　 e1 과 e2 의 상호 질 때문에 유클리드 알고리즘 으로 r 와 s 를 찾 을 수 있 습 니 다.만족:  　　 r * e1 + s * e2 = 1  　　 r 가 마이너스 라 고 가정 하면 유클리드 알고리즘 으로 C1^(-1)를 계산 해 야 한다.  　　 ( C1^(-1) )^(-r) * C2^s = P mod n  　　 또 공공 모드 를 이용 해 공격 하 는 방법 도 있다.한 마디 로 하면 주어진 모드 의 한 쌍 e 와 d 를 알 면 하 나 는 공격 자의 분해 모드 에 유리 하고 하 나 는 공격 자가 다른 쌍 의 e'와 d'를 계산 하 는 데 유리 하 며 분해 모드 가 필요 없다.해결 방법 은 단 하나,그것 은 모드 n 을 공유 하지 않 는 것 이다.  　　 RSA 의 소지 수 공격. RSA 속 도 를 높이 는 건 의 는 공개 키 e 를 작은 값 으로 만 드 는 것 이다.그러면 암호 화 를 쉽게 실현 하고 속 도 를 높 일 수 있다.그러나 이렇게 하 는 것 은 안전 하지 않다.대처 방법 은 e 와 d 가 모두 비교적 큰 값 을 취 하 는 것 이다.  　　 RSA 알고리즘 은 암호 화 와 디지털 서명 을 동시에 사용 할 수 있 는 첫 번 째 알고리즘 으로 이해 하고 조작 하기 쉽다.RSA 는 가장 광범 위 하 게 연 구 된 공개 키 알고리즘 으로 제 기 된 지 20 년 이 되 었 고 각종 공격 의 시련 을 겪 었 으 며 사람들 에 게 받 아들 여지 고 현재 가장 우수한 공개 키 방안 중 하나 로 보편적으로 여 겨 진다.RSA 의 안전성 은 대수 적 인자 분해 에 의존 하지만 RSA 해독 의 난이도 와 대수 분해 난이도 등 가 를 이론 적 으로 증명 하지 못 했다.즉 RSA 의 중대 한 결함 은 이론 적 으로 비밀 유지 성능 이 어떤 지 파악 할 수 없고 암호학 계 의 다수 인사 들 은 인자 분해 가 NPC 문제 가 아니 라 는 경향 이 있다.  　　 RSA 의 단점 은 주로 A)키 가 발생 하 는 것 이 번 거 롭 고 소수 발생 기술 의 제한 을 받 아 한 번 에 비밀 을 지 키 기 어렵 다 는 것 이다.B)그룹 길이 가 너무 커서 안전성 을 확보 하기 위해 n 적어도 600 bits 이상 은 연산 대가 가 매우 높 고 특히 속도 가 느 리 며 대칭 암호 알고리즘 보다 몇 개의 수량 급 이 느리다.또한 대수 분해 기술 의 발전 에 따라 이 길 이 는 증가 하고 데이터 형식의 표준화 에 불리 하 다.현재 SET(Secure Electronic Transaction)프로 토 콜 에 서 는 CA 에 2048 비트 의 특 기 를 가 진 키 를 사용 하고,다른 실 체 는 1024 비트 의 키 를 사용 하도록 요구 합 니 다.  　　 DSS/DSA 알고리즘  Digital Signature Algorithm  (DSA)는 Schnorr 와 ElGamal 서명 알고리즘 의 변종 으로 미국 NIST 에 의 해 DSS(Digital SignatureStandard)。알고리즘 에 다음 매개 변 수 를 적용 하 였 습 니 다:  p：L bits 길이 의 소수.L 은 64 의 배수 이 고 범 위 는 512 에서 1024 이다.  q：p - 1 의 160 bits 의 소인 자;  g：g = h^((p-1)/q) mod 만족 하 다 < p - 1, h^((p-1)/q) mod p > 1；  x：x < 비밀 키 ；  y：y = g^x mod p ，( p, q, g, y )공개 키;  H( x )：One-Way Hash 함수.DSS 에서 SHA( Secure Hash Algorithm )。  p, q,  g 는 한 그룹의 사용자 가 공유 할 수 있 지만 실제 응용 에서 공공 모드 를 사용 하면 어느 정도 위협 을 줄 수 있 습 니 다.서명 및 검증 프로 토 콜 은 다음 과 같 습 니 다.  1. P 난수 k,k 생 성 < q；  2. P 계산 r = ( g^k mod p ) mod q  s = ( k^(-1) (H(m) + xr)) mod q  서명 결 과 는( m, r, s )。  3. 검증 시 계산 w = s^(-1)mod q  u1 = ( H( m ) * w ) mod q  u2 = ( r * w ) mod q  v = (( g^u1 * y^u2 ) mod p ) mod q  만약 = r,서명 이 유효 하 다 고 생각 합 니 다.  　　 DSA 는 정수 유한 역 이산 대수 난 제 를 바탕 으로 하 는 것 으로 안전성 은 RSA 에 비해 많 지 않다.DSA 의 중요 한 특징 중 하 나 는 두 개의 소수 가 공개 되 는 것 이다.그러면 다른 사람의 p 와 q 를 사용 할 때 비밀 키 를 모 르 더 라 도 무 작위 로 생 긴 것 인지,아니면 손발 을 한 것 인지 확인 할 수 있다.RSA 알고리즘 은 못 해.