椭圆曲线和圆椎曲线的RSA密码体制的攻击

论文摘要

96欧密会上，Coppersmith[11]提出了用求解最短格的LLL算法，来求解模多项式，并把这种方法用在求解RSA明文中的低比特部分；（M+M0）e=C mod N中的低比特部分M0．这是第一种对RSA密码体制的LLL算法的攻击方法，开创了用求最短格的方法分析RSA密码体制的先例．由于Coppersmith的开创性地工作，以及对RSA较好的分析效果，很多学者开始对他的方法进行了深入研究，并对他的方法进行了各种改进．98年，Howgrave-Graham[20]给出了一种更容易实现和高效的算法，并证明了他的方法和Coppersmith的方法等价．但是由于他的方法只是对Coppersmith求解模上的一元多项式方程进行了改进，所以他的方法也只是局限于和Coppersmith方法一样求解明文的低比特的情况．在99年美密会上，Boneh[5]等人把Howgrave-Graham的方法扩展到解两个未知数的模方程上，从而能够把这种方法应用到私钥和公钥的模多项式方程中，开创了用LLL算法分析RSA私钥的方法．在此之前，Wiener[38]曾用连分数的方法分析RSA密码体制的私钥，并得出当小私钥d≤O(N0.25)时是可以恢复私钥的．Boneh等人的格约化的LLL算法把RSA密码体制的私钥攻击范围提高到d<N0.292，证明了LLL分析RSA密码体制有很好的效果和扩展前景．在Coppersmith和Boneh等人的开创性工作后，又有好多人对这种LLL算法攻击RSA密码体制的方法进行扩展．如：May，Bl（o|¨）mer[3]和Hinek[16]等人对这种LLL算法的RSA攻击进行了扩展，使得知道私钥d的高位和地位比特时，仍可以用格约化的LLL算法来求解那些未知部分比特．Hinek,Teske[16]等人分析n是多个平衡素数因子乘积的情况等．在07年中国密码会上，孔凡玉[31]等人认为环上的圆锥曲线上RSA密码体制也可以用格约化的LLL方法进行求解．并给出了p+1和q+1最大公约数等于2的情况下，环上的圆锥曲线RSA密码体制的格约化攻击方法．本文对的环上的圆锥曲线和椭圆曲线上的RSA公钥密码体制用格约化的LLL算法进行分析，并对p+1和q+1最大公因数大于2情况下对更多未知数模上多项式方程进行求解．得出当小比特私钥d≤O(N1/4-3/2γ)时，可以用LLL算法求解模上多项式方程的方法恢复小私钥，其中公因子（?）1=O（Nγ）．这种情况其实是Boneh等人所求解的模上多项式方程的一个更为普遍地情况．本文还继续分析了即使密钥较大的情况下，暴露部分比特时，仍可以用格约化的LLL算法进行有效分析．这种分析其实是对Bl（o|¨）mer和May等人用LLL算法对RSA分析在椭圆曲线和圆锥曲线上密码体制的扩展，即如果暴露了一定量的高位比特密钥时，是能够恢复椭圆曲线和圆锥曲线上密码体制的私钥的未知低比特部分：当已知私钥的（?） = O（Nβ）高位比特时，如果β≤1/2，而未知的低位部分O(N4γ+3/4-β-δ)≤d0≤O(N5/4+β-4γ-δ)时，我们是可以恢复私钥的；当已知私钥的（?） = O（Nβ）高位比特时，如果β≥1/2，而如果未知的低位部分O(N4γ+3/4-δ-β≤d0≤O(N9/4-β-4γ-δ时，我们是可以恢复私钥的；同理，如果暴露了一定量的低位比特密钥，密钥未知高比特部分也是能够恢复的：已知私钥的（?）=O（Nβ）低比特时，如果未知的高位部分d0≤O(N5/4-2γ-1/4（?）)，是可以恢复私钥的．本文还把Hinek,Teske等人分析n是平衡素数乘积的方法扩展到椭圆曲线和圆锥曲线的RSA密码体制中．当n有r个平衡因子的情况下，短私钥d≤（?）时是可以恢复私钥的．如果私钥比较大，但是已知其高位或低位的部分比特，如果满足一定条件，也可以恢复那部分未知比特的：当已知私钥的（?） = O（Nβ）高位比特时，其中β≤1/r，如果未知的低位部分O(N4γ+3/2-3/2r+β-δ)≤d0≤O(N1/2+3/2r+β-4γ-δ)，我们是可以恢复私钥的未知比特的；当已知私钥的（?）=O（Nβ）高位比特时，其中β≥1/r，如果未知的低位部分O(N4γ+3/2-3/2r-β-δ≤d0≤O(N3/2+3/2r-β-4γ-a)，我们是可以恢复私钥的未知比特的；当已知私钥的（?）=O（Nβ）低位比特时，如果未知的高位部分d0≤（?），我们是可以恢复私钥的未知比特的．

论文目录

相关论文文献

• [1].基于随机森林的密码体制分层识别方案[J]. 计算机学报 2018(02)
• [2].一种基于身份的密码体制的保密电话方案[J]. 移动通信 2015(16)
• [3].基于不可交换的密码体制研究[J]. 重庆科技学院学报(自然科学版) 2008(01)
• [4].密码体制的密钥可信度探讨[J]. 信息网络安全 2011(06)
• [5].Blum-Goldwasser概率密码体制的一种改进方案[J]. 西南民族大学学报(自然科学版) 2012(03)
• [6].一种基于混沌变换的多变量密码体制[J]. 合肥工业大学学报(自然科学版) 2014(05)
• [7].基于身份标识的密码体制及其在安全电子邮件的应用[J]. 信息安全与技术 2014(06)
• [8].大规模监视下安全性定义再分析[J]. 密码学报 2020(03)
• [9].云环境中基于身份认证密码体制的密钥管理问题研究[J]. 计算机产品与流通 2018(12)
• [10].基于无证书密码体制的失败-停止环签名方案[J]. 计算机工程 2020(08)
• [11].密码体制无条件安全性的新改进[J]. 长江大学学报(自然科学版)理工卷 2008(03)
• [12].RSA加密算法的研究[J]. 数字通信世界 2017(10)
• [13].单钥密码体制与纠错码的构造研究[J]. 计算机工程与设计 2008(04)
• [14].基于无证书密码体制的多用户密文检索方案[J]. 计算机工程 2020(09)
• [15].CPK密码体制与应用[J]. 金融电子化 2008(11)
• [16].一种基于编码的公钥密码体制的参数选择研究[J]. 信息网络安全 2014(10)
• [17].ECC密码体制结合图像隐藏技术在商务文档中的应用[J]. 商场现代化 2008(19)
• [18].基于RSA的门限密码体制研究[J]. 河南科技 2015(06)
• [19].云计算在RSA密码体制分析中的应用[J]. 数学的实践与认识 2014(03)
• [20].基于ELGamal密码体制的安全密钥托管方案[J]. 软件 2012(06)
• [21].《RFC5091》中Tate对算法改进[J]. 福建工程学院学报 2011(01)
• [22].新的基于Niederreiter密码体制的签名方案[J]. 小型微型计算机系统 2019(08)
• [23].多变量密码体制软件水印技术[J]. 小型微型计算机系统 2016(10)
• [24].遍历矩阵密码体制的安全性[J]. 通信学报 2015(08)
• [25].Grain-128算法的密码体制识别研究[J]. 信息工程大学学报 2019(01)
• [26].RSA密码体制通信系统的设计实现[J]. 电脑知识与技术 2011(01)
• [27].RSA密码体制的安全性分析和算法实现[J]. 四川理工学院学报(自然科学版) 2009(01)
• [28].新的无证书的代理签名方案[J]. 计算机应用 2008(04)
• [29].基于非交换代数结构的改进MOR密码体制研究[J]. 软件导刊 2014(02)
• [30].RSA密码体制中几个关键问题的研究与应用[J]. 成都电子机械高等专科学校学报 2010(02)

标签：算法论文;  圆锥曲线论文;  模多项式方程求解论文;