CRT-RSA的小d_(p),d_(q)实际攻击研究

1

作者 李强 郑群雄 戚文峰 《密码学报(中英文)》 北大核心 2025年第3期604-626,共23页

CRT-RSA是由Quisquater和Couvreur于1982年提出的RSA变种,广泛应用于数据加密、数字签名、协议、身份认证等领域.小d_(p),d_(q)攻击是分析CRT-RSA应用安全性的一种重要方法,其目前最好的理论攻击结果是2019年由Takayasu、Lu和Peng给出的... CRT-RSA是由Quisquater和Couvreur于1982年提出的RSA变种,广泛应用于数据加密、数字签名、协议、身份认证等领域.小d_(p),d_(q)攻击是分析CRT-RSA应用安全性的一种重要方法,其目前最好的理论攻击结果是2019年由Takayasu、Lu和Peng给出的d_(p),d_(q)<N^(0.122),其中N为模数.然而,由于格基约化算法在高维格中约化效率和输出格基质量的下降,实际攻击很难达到该理论界.目前已知最好的实际攻击结果为d_(p),d_(q)≤N^(0.062)(N为1000 bits)和d_(p),d_(q)≤N^(0.0645)(N为2000 bits),与理论界尚有不小的差距.本文在Takayasu等人攻击的基础上,探索CRT-RSA小dp,dq攻击的实际可攻击上界以及如何在实际攻击中进一步提升该攻击上界.第一,对2019年Takayasu等人的格(简记为TLP2019格)进行优化,在确保TLP2019格仍为方阵的条件下去掉了两个unhelpful多项式,使得TLP2019格降低了两维.第二,针对当前缺乏CRT-RSA小d_(p),d_(q)实际可攻击上界的有效估计方法这一现状,结合实验中发现的TLP2019格约化输出的前三向量长度远远小于随机格中最短向量长度这一事实,给出了一种基于参数拟合的可攻击上界的估计方法,其估计结果与实验结果很好地吻合.第三,根据实验中与RSA小解密指数实际攻击类似的“多值现象”,提出了基于二分搜索的小d_(p),d_(q)实际攻击方法,提升了实际可攻击的上界.具体而言,对于模数1000 bits和2000 bits的CRT-RSA,在两周内分别实现了d_(p),d_(q)≤N^(0.067)和d_(p),d_(q)≤N^(0.0665)的实际攻击;对于某些特殊情形,甚至能够能将实际可攻击上界提升至N^(0.07)以上.相信本文的实际攻击探索能为后续CRT-RSA的小d_(p),d_(q)攻击研究带来启发和帮助. 展开更多

关键词 crt-rsa 小d_(p) d_(q)攻击 实际攻击 高比特猜测 多值现象 二分搜索

在线阅读 下载PDF 职称材料

CRT-RSA 算法的选择明文攻击 被引量：4

2

作者 李增局 彭乾 +3 位作者 史汝辉 李超 马志鹏 李海滨 《密码学报》 CSCD 2016年第5期-,共15页

由于同等密钥长度的CRT-RSA算法比普通RSA算法的运算速度快4倍左右,因此得到广泛的应用,其算法实现的安全性也就尤为重要.该文针对用于数字签名的CRT-RSA算法,提出基于选择明文的两类攻击方法:一类是通过特殊的选择明文的方法,从而操控S... 由于同等密钥长度的CRT-RSA算法比普通RSA算法的运算速度快4倍左右,因此得到广泛的应用,其算法实现的安全性也就尤为重要.该文针对用于数字签名的CRT-RSA算法,提出基于选择明文的两类攻击方法:一类是通过特殊的选择明文的方法,从而操控S_(q)的值,然后利用S_(q)的相关性分析得到p(q)或mmod p(q),进而破解CRT-RSA算法;一类是针对采用蒙哥马利模乘实现的CRT-RSA算法,利用蒙哥马利参数的特殊性,提出一种选择明文的攻击方法.第一类攻击方法又分为两种实现方式,对第二种实现方式进行了实验验证,实验中通过对p从低到高逐16bit进行相关性攻击,实验发现正确的密钥的相关性系数大部分排在第一位,并且与第二名有着0.01到0.03的差距,每16比特密钥的攻击时间约为20分钟,完整的1024位的p耗时约10小时.第二类攻击方法的仿真实验表明,密钥最高字段的值越大,越有利于攻击.第二类攻击方法实验结果表明,在20000多条有效曲线的情况下,正确密钥的相关性系数达到了0.15,比错误密钥的相关性系数高50%实验证明,该方法可以成功得到密钥.最后针对本文的攻击方法,提出了两种防御方案. 展开更多

关键词 crt-rsa 选择明文 蒙哥马利域 相关性分析

在线阅读 下载PDF 职称材料

一种关于CRT-RSA算法的差分错误注入攻击 被引量：1

3

作者 李增局 《密码学报》 CSCD 2016年第6期546-554,共9页

自从针对嵌入式设备上的CRT-RSA算法的Bellcore攻击提出以后,CRT-RSA算法的错误注入攻击一直是学术界研究的热点.研究人员针对CRT-RSA算法提出了很多防御方案,并针对这些防御方案提出了不同的攻击方法,但是,后续提出的攻击方法都是基于B... 自从针对嵌入式设备上的CRT-RSA算法的Bellcore攻击提出以后,CRT-RSA算法的错误注入攻击一直是学术界研究的热点.研究人员针对CRT-RSA算法提出了很多防御方案,并针对这些防御方案提出了不同的攻击方法,但是,后续提出的攻击方法都是基于Bellcore攻击思想,通过错误的结果数据或者验签的数据和正确结果数据的差和模数求公约数的方法进行攻击.该文针对CRT-RSA算法提出了一种新的攻击方法,该攻击方法需要针对同一明文运算两次不同错误的结果即可实现.该方法只是利用了整数分解定理和求最大公约数运算,计算过程和复杂度都比较简单.考虑到实际中攻击复杂度,该文提出了针对该方法的优化方案,使用了选择明文方式进行错误攻击攻击实验,并通过仿真方式证明本方法的可行性.仿真表明,该方法具有较低的复杂度,不到1秒钟即可实现1024位CRT-RSA算法密钥的破解.该方法同样适用于密钥长度更长的CRT-RSA的破解.由于只需要两次独立错误很大概率上即可恢复密钥,因此,本攻击方法具有很强的可行性,本文针对这种攻击方法提出两种防御方案,以抵御这种错误注入攻击手段. 展开更多

关键词 crt-rsa Garner形式 差分错误注入 最大公约数 整数唯一分解定理

在线阅读 下载PDF 职称材料

基于DPA对Gauss形式CRT-RSA的选择明文攻击 被引量：1

4

作者 李增局 史汝辉 +3 位作者 王建新 李超 李海滨 石新凌 《密码学报》 CSCD 2016年第2期202-210,共9页

采用中国剩余定理(CRT)对RSA算法进行加速,可将其计算速度提高约四倍,因此CRT-RSA被广泛使用.CRT-RSA算法按结合部分的实现方式可以分为Gauss和Garner两种.本文提出一种针对Gauss形式CRT-RSA算法的选择明文攻击方法,攻击的目标操作为模... 采用中国剩余定理(CRT)对RSA算法进行加速,可将其计算速度提高约四倍,因此CRT-RSA被广泛使用.CRT-RSA算法按结合部分的实现方式可以分为Gauss和Garner两种.本文提出一种针对Gauss形式CRT-RSA算法的选择明文攻击方法,攻击的目标操作为模乘运算.本方法通过选择明文来操纵目标中间值,然后采用分而治之的方式,对密钥相关数据分段进行DPA攻击,从而破解密钥.文中提出的针对模乘运算带来问题的分而治之解决方案具有一般性,对所有大数模乘的DPA攻击均有效.文中分析指出,为了降低攻击难度并提高攻击的成功率,需要综合考虑DPA攻击样本空间大小和模乘运算分解的复杂度来决定最佳的选择明文参数的取值范围.本文对智能IC上运行的1024bit的CRT-RSA运算进行了攻击实验,在选择明文范围为0-5000的条件下,使用5000条智能IC卡执行CRT-RSA运算的功耗曲线,对p×p_(inv)从最高字节开始进行多次分段DPA攻击,首先对最高3个字节进行攻击,之后以2字节为一段进行逐段攻击,最终耗时4个小时攻击得到p×p_(inv)的完整值,从而完成CRT-RSA算法的破解.最后本文给出了三种针对本攻击方法的防御方案. 展开更多

关键词 crt-rsa算法 Gauss形式 选择明文 差分能量攻击

在线阅读 下载PDF 职称材料

一种改进的CRT-RSA防御侧信道攻击算法 被引量：1

5

作者 李子木 《无线电通信技术》 2013年第6期60-63,共4页

针对Ha等人提出的CRT-RSA防御算法进行了分析,指出其算法在使用中国剩余定理(CRT)的过程中仍然存在着降低计算效率的模逆运算。为了提高计算性能消除模逆运算,基于明文掩盖方法,提出了一种改进的安全CRT-RSA防御算法,并通过对改进算法... 针对Ha等人提出的CRT-RSA防御算法进行了分析,指出其算法在使用中国剩余定理(CRT)的过程中仍然存在着降低计算效率的模逆运算。为了提高计算性能消除模逆运算,基于明文掩盖方法,提出了一种改进的安全CRT-RSA防御算法,并通过对改进算法的理论分析,证明该算法可抵抗现有已知的功耗攻击(SPA、DPA、RDA和(N-1)攻击)和故障攻击(FA)且不存在模逆运算,从而更加高效与实用。 展开更多

关键词 侧信道攻击 中国剩余定理 RSA DPA FA 防御方法

在线阅读 下载PDF 职称材料

一种基于模板的RSA-CRT模约减攻击方法

6

作者 马向亮 乌力吉 +3 位作者 王宏 张向民 黄克振 刘玉岭 《电子学报》 EI CAS CSCD 北大核心 2024年第3期689-695,共7页

目前针对RSA-CRT的建模类攻击研究较少,本文以模约减操作为研究对象,提出了一种针对RSA-CRT实现的模板攻击方法.该方法的核心是解决了如何由模约减后中间值的汉明重量恢复RSA-CRT私钥的难题.该方法的特点是基于模约减后中间值的汉明重... 目前针对RSA-CRT的建模类攻击研究较少,本文以模约减操作为研究对象,提出了一种针对RSA-CRT实现的模板攻击方法.该方法的核心是解决了如何由模约减后中间值的汉明重量恢复RSA-CRT私钥的难题.该方法的特点是基于模约减后中间值的汉明重量模型建模,通过采集选择密文模约减的能量迹进行模板匹配获取模约减后中间值的汉明重量,由汉明重量变化值恢复中间值,进一步恢复RSA-CRT算法的私钥.另外,该方法的优点在于理想情况下,基于中间值汉明重量模型建立的模板之间可以共用,且对中间值以多少位大小建模没有限制,可以选择字节大小,64位大小,甚至私钥p相同大小,实际环境中可根据泄露信息情况进行选取.最后,本文选择对中间值的最低字节进行建模,验证了该方法的可行性,并给出了防护建议. 展开更多

关键词 模板攻击 RSA-CRT 选择密文 模约减 侧信道攻击

在线阅读 下载PDF 职称材料

AES与RSA算法优化及其混合加密体制 被引量：36

7

作者 肖振久 胡驰 +1 位作者 姜正涛 陈虹 《计算机应用研究》 CSCD 北大核心 2014年第4期1189-1194,1198,共7页

针对AES密钥扩展过程存在的安全隐患,提出一种改进的密钥扩展方法。针对轮函数中列混合和逆列混合运算耗时相差较大的问题,找出有限域GF(28)上最简形式的列混合和逆列混合运算,使其在加解密过程中消耗同样的运算资源;RSA方面,针对其运... 针对AES密钥扩展过程存在的安全隐患,提出一种改进的密钥扩展方法。针对轮函数中列混合和逆列混合运算耗时相差较大的问题,找出有限域GF(28)上最简形式的列混合和逆列混合运算,使其在加解密过程中消耗同样的运算资源;RSA方面,针对其运算效率的缺陷,将传统双素数变为四素数,在签名(解密)过程中,采用中国剩余定理结合蒙哥马利模乘来优化大数的模幂运算。在此基础上,结合两种算法的优点,并采用消息摘要、数字签名、数字信封等技术构建了一个既方便密钥管理又确保加密解密效率的混合加密体制。实验结果表明优化后的算法在运算速度上有一定优势并且有较高的可行性。 展开更多

关键词 AES密码算法 RSA密码算法 中国剩余定理 消息摘要 数字签名 数字信封

在线阅读 下载PDF 职称材料

针对RSA算法软件应用的故障攻击研究 被引量：1

8

作者 陈财森 王韬 +1 位作者 邓绍怡 方育奇 《计算机工程》 CAS CSCD 北大核心 2011年第3期25-26,29,共3页

原有的RSA故障攻击针对的都是运行在智能卡等硬件上的算法,为研究针对RSA软件实现方式的故障攻击,剖析中国剩余定理软件实现算法,提出针对OpenSSL密码库的RSA算法软件实现的故障攻击算法,给出一种只需要一次错误签名的改进攻击方案。通... 原有的RSA故障攻击针对的都是运行在智能卡等硬件上的算法,为研究针对RSA软件实现方式的故障攻击,剖析中国剩余定理软件实现算法,提出针对OpenSSL密码库的RSA算法软件实现的故障攻击算法,给出一种只需要一次错误签名的改进攻击方案。通过仿真实验验证算法的可行性,并给出抵御此类攻击的有效措施。 展开更多

关键词 故障攻击 RSA算法 中国剩余定理 数字签名

在线阅读 下载PDF 职称材料

一种新的基于多素数RSA认证加密方案 被引量：2

9

作者 章磊 卢建朱 +1 位作者 凌捷 李家兰 《计算机应用研究》 CSCD 北大核心 2005年第5期105-107,共3页

根据RSA加密系统和中国剩余定理,提出了一种新的基于多密钥的RSA认证加密方案。该方案与通常的RSA加密系统不同,每个用户只有一个加密密钥,但解密密钥由两个以上的短密钥组成,大大地加快了解密的速度。在解密过程中,巧妙地运用了中国剩... 根据RSA加密系统和中国剩余定理,提出了一种新的基于多密钥的RSA认证加密方案。该方案与通常的RSA加密系统不同,每个用户只有一个加密密钥,但解密密钥由两个以上的短密钥组成,大大地加快了解密的速度。在解密过程中,巧妙地运用了中国剩余定理,减少了求逆元的个数,提高了效率。特别地,根据该方案可得到改进的Paixao方案和Boneh方案,计算速度更快,效果更好。分析表明,此方案可以有效地减少计算复杂度,并且不会降低其安全性,十分适合智能卡之间、智能卡和终端之间的认证和信息交换。 展开更多

关键词 多密钥RSA 中国剩余定理 认证加密 智能卡

在线阅读 下载PDF 职称材料

一种高效率的RSA模幂算法的研究 被引量：9

10

作者 饶进平 冯登国 《计算机工程与应用》 CSCD 北大核心 2003年第9期76-77,121,共3页

RSA硬件的执行效率主要取决于模幂运算的实现效率。该文旨在介绍一种引入中国剩余定理加速私钥操作,并采用Barret模缩减方法,避开除法运算,将模幂运算转换成三个乘法运算和一个加法运算的快速模幂算法及其硬件实现方法。在乘法运算的实... RSA硬件的执行效率主要取决于模幂运算的实现效率。该文旨在介绍一种引入中国剩余定理加速私钥操作,并采用Barret模缩减方法,避开除法运算,将模幂运算转换成三个乘法运算和一个加法运算的快速模幂算法及其硬件实现方法。在乘法运算的实现中,采用Booth乘法器,可以大大缩短电路的关键路径,显著地提高硬件的执行效率。 展开更多

关键词 RSA算法 模幂运算 中国剩余定理 CRT Booth乘法器

在线阅读 下载PDF 职称材料

基于CRT的低成本RSA芯片设计

11

作者 吴敏 曾晓洋 +3 位作者 韩军 麻永新 吴永一 张国权 《计算机研究与发展》 EI CSCD 北大核心 2006年第4期639-645,共7页

提出了一种基于改进的Montgomery算法和中国剩余定理(CRT)的RSA签名芯片的VLSI实现.由于采用了新颖的调度算法,实现了用576b的模乘单元来完成1152b的RSA模幂运算,从而大大降低了芯片面积;此外,CRT的引入使得整个系统的数据吞吐率与传统... 提出了一种基于改进的Montgomery算法和中国剩余定理(CRT)的RSA签名芯片的VLSI实现.由于采用了新颖的调度算法,实现了用576b的模乘单元来完成1152b的RSA模幂运算,从而大大降低了芯片面积;此外,CRT的引入使得整个系统的数据吞吐率与传统的1024bRSA系统相当.实验结果显示:芯片完成一次1024b的模幂运算需要约1.2M个时钟周期,而芯片规模在54K个等效门以下;如果系统时钟频率选取40MHz,系统签名速率可以达到30Kbps. 展开更多

关键词 改进的Montgomery算法 RSA 中国剩余定理 VLSI 数字签名

在线阅读 下载PDF 职称材料

基于多素数和参数替换的改进RSA算法研究 被引量：19

12

作者 周金治 高磊 《计算机应用研究》 CSCD 北大核心 2019年第2期495-498,共4页

为了提高RSA公钥算法在消息加密过程中的安全性,在深入分析传统RSA算法的基础上,对其进行了一些改进性研究,提出了一种比传统RSA算法更加有效的方法来优化其安全性。在将传统RSA改进为四素数RSA的基础上,再运用数学变换进行参数替换,消... 为了提高RSA公钥算法在消息加密过程中的安全性,在深入分析传统RSA算法的基础上,对其进行了一些改进性研究,提出了一种比传统RSA算法更加有效的方法来优化其安全性。在将传统RSA改进为四素数RSA的基础上,再运用数学变换进行参数替换,消除了在公钥中对传输两个随机素数的乘积n的需要,引入了一个新的参数x代替原参数n。针对改进后的算法在运算效率方面的不足,采用中国剩余定理CRT优化大数模幂运算。实验结果证实了改进算法的可行性,为通过公钥加密消息发送和接收提供了更安全的路径;同时,对改进算法与传统RSA和四素数RSA算法的解密(签名)时间进行比较分析。实验结果表明改进后的算法对消息发送方和接收方之间签名效率也有一定程度的优化。 展开更多

关键词 RSA算法 数据加密 参数替换 中国剩余定理 公钥 签名效率

在线阅读 下载PDF 职称材料

一种基于AES和三素数RPrime RSA认证加密方案 被引量：2

13

作者 陈作新 《计算机应用》 CSCD 北大核心 2008年第12期3199-3201,共3页

运用中国剩余定理加快处理三素数RPrime RSA解密算法,提出了一种全新的基于AES算法和三素数RPrime RSA算法的认证加密方案,具有高效、安全等特点,非常适合在智能卡之间、智能卡和终端之间的认证和信息交换。

关键词 RPrime RSA算法 AES算法 中国剩余定理 智能卡 加密

在线阅读 下载PDF 职称材料

慎用中国剩余定理提高RSA算法效率

14

作者 孙宇 《计算机工程与应用》 CSCD 北大核心 2004年第28期156-157,共2页

模幂运算的效率决定了RSA密码系统的执行速度。由于中国剩余定理对于提高RSA算法的模幂运算效率有显著作用,因而被广泛使用。但直接使用中国剩余定理是不安全的,容易受到出错攻击。文章就介绍了一种出错攻击方法,并给出了一些对抗这一... 模幂运算的效率决定了RSA密码系统的执行速度。由于中国剩余定理对于提高RSA算法的模幂运算效率有显著作用,因而被广泛使用。但直接使用中国剩余定理是不安全的,容易受到出错攻击。文章就介绍了一种出错攻击方法,并给出了一些对抗这一攻击的具体措施。 展开更多

关键词 模幂 中国剩余定理 RSA算法 出错攻击

在线阅读 下载PDF 职称材料

分布式信息管理系统混合加密优化研究

15

作者 陈永锋 宋楠 《西安建筑科技大学学报（自然科学版）》 CSCD 北大核心 2015年第2期293-296,共4页

基于分布式信息管理系统大量高效安全的数据传输要求,针对密钥管理和认证安全的问题提出混合加密算法进行数据加密.混合加密算法使用基于RSA算法的密钥管理方式和身份认证体系,并使用二进制编码、CRT定理、费马定理和小数筛选等方法进... 基于分布式信息管理系统大量高效安全的数据传输要求,针对密钥管理和认证安全的问题提出混合加密算法进行数据加密.混合加密算法使用基于RSA算法的密钥管理方式和身份认证体系,并使用二进制编码、CRT定理、费马定理和小数筛选等方法进行优化.最终构造一个既满足密钥管理与消息认证,又有较高的运算效率的混合加密体系.实验结果表明优化后RSA算法效率明显提升,混合加密体系具有可靠地安全性与可行性. 展开更多

关键词 分布式信息管理系统 混合加密 RSA优化 中国剩余定理

在线阅读 下载PDF 职称材料

一种RSA算法之数字签名系统的快速实现方案 被引量：8

16

作者 张花 崔慧娟 唐昆 《计算机工程》 CAS CSCD 北大核心 2006年第3期156-157,160,共3页

不同于常规的二进制幂模算法,该文采用一种更快速有效的滑动窗口法来实现幂模运算,同时结合Montgomery算法和中国剩余定理相结合来实现RSA签名,并给出了签名和验证的流程图。实验结果表明,以1024bit签名为例,采用滑动窗口算法比采用二... 不同于常规的二进制幂模算法,该文采用一种更快速有效的滑动窗口法来实现幂模运算,同时结合Montgomery算法和中国剩余定理相结合来实现RSA签名,并给出了签名和验证的流程图。实验结果表明,以1024bit签名为例,采用滑动窗口算法比采用二进制算法要快22.3%;而综合采用滑动窗口和montgomery算法结合中国剩余定理,一次1024bit签名仅需28ms。 展开更多

关键词 RSA算法 MONTGOMERY算法 中国剩余定理 幂模

在线阅读 下载PDF 职称材料