RSA


RSA

RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел.

Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи. Алгоритм используется в большом числе криптографических приложений, включая PGP, S/MIME, TLS/SSL, IPSEC/IKE и других.[1]

Содержание

История

Опубликованная в ноябре 1976 года статья Уитфилда Диффи и Мартина Хеллмана «Новые направления в криптографии» (англ. New Directions in Cryptography)[2] перевернула представление о криптографических системах, заложив основы криптографии с открытым ключом. Разработанный впоследствии алгоритм Диффи — Хеллмана позволял двум сторонам получить общий секретный ключ, используя незащищенный канал связи. Однако этот алгоритм не решал проблему аутентификации. Без дополнительных средств пользователи не могли быть уверены, с кем именно они сгенерировали общий секретный ключ.

Изучив эту статью, трое учёных Рональд Ривест, Ади Шамир и Леонард Адлеман из Массачусетского технологического института (MIT) приступили к поискам математической функции, которая бы позволяла реализовать сформулированную Уитфилдом Диффи и Мартином Хеллманом модель криптографической системы с открытым ключом. После работы над более чем 40 возможными вариантами, им удалось найти алгоритм, основанный на различии в том, насколько легко находить большие простые числа и насколько сложно раскладывать на множители произведение двух больших простых чисел, получивший впоследствии название RSA. Система была названа по первым буквам фамилий её создателей.

В августе 1977 года в колонке «Математические игры» Мартина Гарднера в журнале Scientific American, с разрешения Рональда Ривеста[3] появилось первое описание криптосистемы RSA.[4] Читателям также было предложено дешифровать английскую фразу, зашифрованную описанным алгоритмом:

9686
1477
8829
7431
0816
3569
8962
1829
9613
1409
0575
9874
2982
3147
8013
9451
7546
2225
9991
6951
2514
6622
3919
5781
2206
4355
1245
2093
5708
8839
9055
5154

В качестве открытых параметров системы были использованы числа n=1143816...6879541 (129 десятичных знаков, 425 бит, также известно как RSA-129 и e=9007. За расшифровку была обещана награда в 100 долларов США. По заявлению Ривеста, для факторизации числа потребовалось бы более 40 квадриллионов лет.[5][1] Однако чуть более чем через 15 лет, 3 сентября 1993 года было объявлено о старте проекта распределённых вычислений с координацией через электронную почту по нахождению сомножителей числа RSA-129 и решению головоломки. На протяжении полугода более 600 добровольцев из 20 стран жертвовали процессорное время 1600 машин (две из которых были факс-машинами). В результате были найдены простые множители и расшифровано исходное сообщение, которое представляет собой фразу «THE MAGIC WORDS ARE SQUEAMISH OSSIFRAGE (англ.)» («Волшебные слова — это брезгливый ягнятник»).[6][7] Полученную награду победители пожертвовали в фонд свободного программного обеспечения.

После публикации Мартина Гарднера полное описание новой криптосистемы любой желающий мог получить, выслав по почте запрос Рональду Ривесту, с приложенным конвертом с обратным адресом и марками на 35 центов.[4] Полное описание новой криптосистемы было опубликовано в журнале «Communications of the ACM» в феврале 1978 года.[8]

Заявка на патент была подана 14 декабря 1977 года, в качестве владельца был указан MIT. Патент 4405829 был выдан 20 сентября 1983 года, а 21 сентября 2000 года срок его действия истёк.[9] Однако за пределами США у изобретателей патента на алгоритм не было, так как в большинстве стран его необходимо было получить до первой публикации.[10]

В 1982 году Ривест, Шамир и Адлеман организовали компанию RSA Data Security (англ.) (в настоящий момент — подразделение EMC). В 1989 году RSA, вместе с симметричным шифром DES, упоминается в RFC 1115, тем самым начиная использование алгоритма в зарождающейся сети Internet[11], а в 1990 году использовать алгоритм начинает министерство обороны США.[12]

В ноябре 1993 года открыто публикуется версия 1.5 стандарта PKCS1 (англ.), описывающего применение RSA для шифрования и создания электронной подписи. Последние версии стандарта также доступны в виде RFC (RFC 2313 — 1.5, 1993 год; RFC 2437 — 2.0, 1998 год; RFC 3447 — 2.1, 2002 год).

В декабре 1997 года была обнародована информация, согласно которой британский математик Клиффорд Кокс (Clifford Cocks), работавший в центре правительственной связи (GCHQ) Великобритании, описал криптосистему аналогичную RSA в 1973 году.[13]

Описание алгоритма

Введение

Криптографические системы с открытым ключом используют так называемые односторонние функции, которые обладают следующим свойством:

  • Если известно x, то f(x) вычислить относительно просто
  • Если известно y=f(x), то для вычисления x нет простого (эффективного) пути.

Под односторонностью понимается не теоретическая однонаправленность, а практическая невозможность вычислить обратное значение, используя современные вычислительные средства, за обозримый интервал времени.

В основу криптографической системы с открытым ключом RSA положена сложность задачи факторизации произведения двух больших простых чисел. Для шифрования используется операция возведения в степень по модулю большого числа. Для дешифрования за разумное время (обратной операции) необходимо уметь вычислять функцию Эйлера от данного большого числа, для чего необходимо знать разложения числа на простые множители.

В криптографической системе с открытым ключом каждый участник располагает как открытым ключом (англ. public key), так и закрытым ключом (англ. private key). В криптографической системе RSA каждый ключ состоит из пары целых чисел. Каждый участник создаёт свой открытый и закрытый ключ самостоятельно. Закрытый ключ каждый из них держит в секрете, а открытые ключи можно сообщать кому угодно или даже публиковать их. Открытый и закрытый ключи каждого участника обмена сообщениями в криптосистеме RSA образуют «согласованную пару» в том смысле, что они являются взаимно обратными, то есть:

\forall сообщения m \in M, где M — множество допустимых сообщений
\forall допустимых открытого и закрытого ключей P и S
\exist\, соответствующие функции шифрования E_p(x) и расшифрования D_s(x), такие что
m=D_s(E_p(m))=E_p(D_s(m)).

Алгоритм создания открытого и секретного ключей

RSA-ключи генерируются следующим образом:[14]

  1. Выбираются два различных случайных простых числа p и q заданного размера (например, 1024 бита каждое).
  2. Вычисляется их произведение n=p\cdot q, которое называется модулем.
  3. Вычисляется значение функции Эйлера от числа n:
    \varphi(n) = (p-1)(q-1).
  4. Выбирается целое число e (1 < e < \varphi(n)), взаимно простое со значением функции \varphi(n). Обычно в качестве e берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, например, простые числа Ферма 17, 257 или 65537.
    • Число e называется открытой экспонентой (англ. public exponent)
    • Время, необходимое для шифрования с использованием быстрого возведения в степень, пропорционально числу единичных бит в e.
    • Слишком малые значения e, например 3, потенциально могут ослабить безопасность схемы RSA.[15]
  5. Вычисляется число d, мультипликативно обратное к числу e по модулю \varphi(n), то есть число, удовлетворяющее условию:
    d\cdot e \equiv 1 \mod {\varphi(n)}.
  6. Пара \left\{ e, n \right\} публикуется в качестве открытого ключа RSA (англ. RSA public key).
  7. Пара \left\{ d, n \right\} играет роль закрытого ключа RSA (англ. RSA private key) и держится в секрете.

Шифрование и расшифрование

Предположим, Боб хочет послать Алисе сообщение m.

Сообщениями являются целые числа в интервале от 0 до n - 1, т.е m \in \mathbb{Z}_{n}\,.

Public key encryption, transmission and decryption light-ru-rendered.svg

Алгоритм:[14]

  • Взять открытый ключ (e,n) Алисы
  • Взять открытый текст m
  • Зашифровать сообщение с использованием открытого ключа Алисы:
    c = E(m) = m^e \mod n ~~~~ (1)

Алгоритм:

  • Принять зашифрованное сообщение C \,
  • Взять свой закрытый ключ (d,n)
  • Применить закрытый ключ для расшифрования сообщения:
    m = D(c) = c^d \mod n ~~~~(2)

Корректность схемы RSA

Уравнения (1) и (2), на которых основана схема RSA, определяют взаимно обратные преобразования множества \mathbb{Z}_n

Пример

Этап Описание операции Результат операции
Генерация ключей Выбрать два простых числа
p=3557,
q=2579
Вычислить модуль
 n = p \cdot q = 3557 \cdot 2579 = 9173503
Вычислить функцию Эйлера
\varphi(n) = (p-1) (q-1) = 9167368
Выбрать открытую экспоненту
 e = 3
Вычислить секретную экспоненту
 d = e^{-1} \mod \varphi(n)
 d = 6111579
Опубликовать открытый ключ
\{e, n\} = \{3,9173503 \}
Сохранить закрытый ключ
\{d, n\} = \{6111579, 9173503 \}
Шифрование Выбрать текст для зашифровки
m = 111111
Вычислить шифротекст
\begin{align}
c &= E(m) \\
 &= m^e \mod n \\
 &= 111111^3   \mod 9173503 \\
 &= 4051753
\end{align}
Расшифрование Вычислить исходное сообщение
\begin{align}
m &= D(c) = \\
  &= c^d \mod n \\
  &= 4051753^{6111579} \mod 9173503 \\
  &= 111111
\end{align}

Цифровая подпись

Система RSA может использоваться не только для шифрования, но и для цифровой подписи.

Предположим, что Алисе (стороне A) нужно отправить Бобу (стороне B) сообщение m, подтверждённое электронной цифровой подписью.

Public key signature with transmission and check light-ru-render.svg

Алгоритм:

  • Взять открытый текст m
  • Создать цифровую подпись s с помощью своего секретного ключа \left\{ d, n \right\}:
s = S_A \left( m \right) = m^d \mod n
  • Передать пару \left\{ m, s \right\}, состоящую из сообщения и подписи.

Алгоритм:

  • Принять пару \left\{ m, s \right\}
  • Взять открытый ключ \left\{ e, n \right\} Алисы
  • Вычислить прообраз сообщения из подписи:
m' = P_A \left( s \right) = s^e \mod n
  • Проверить подлинность подписи (и неизменность сообщения), сравнив m и m'

Поскольку цифровая подпись обеспечивает как аутентификацию автора сообщения, так и подтверждение целостности содержимого подписанного сообщения, она служит аналогом подписи, сделанной от руки в конце рукописного документа.

Важное свойство цифровой подписи заключается в том, что её может проверить каждый, кто имеет доступ к открытому ключу её автора. Один из участников обмена сообщениями после проверки подлинности цифровой подписи может передать подписанное сообщение ещё кому-то, кто тоже в состоянии проверить эту подпись. Например, сторона A\, может переслать стороне B\, электронный чек. После того как сторона B\, проверит подпись стороны A\, на чеке, она может передать его в свой банк, служащие которого также имеют возможность проверить подпись и осуществить соответствующую денежную операцию.

Заметим, что подписанное сообщение m не зашифровано. Оно пересылается в исходном виде и его содержимое не защищено от нарушения конфиденциальности. Путём совместного применения представленных выше схем шифрования и цифровой подписи в системе RSA можно создавать сообщения, которые будут и зашифрованы, и содержать цифровую подпись. Для этого автор сначала должен добавить к сообщению свою цифровую подпись, а затем — зашифровать получившуюся в результате пару (состоящую из самого сообщения и подписи к нему) с помощью открытого ключа принадлежащего получателю. Получатель расшифровывает полученное сообщение с помощью своего секретного ключа[16]. Если проводить аналогию с пересылкой обычных бумажных документов, то этот процесс похож на то, как если бы автор документа поставил под ним свою печать, а затем положил его в бумажный конверт и запечатал, с тем чтобы конверт был распечатан только тем человеком, кому адресовано сообщение.

Скорость работы алгоритма RSA

Поскольку генерация ключей происходит значительно реже операций, реализующих шифрование, расшифрование, а также создание и проверку цифровой подписи, задача вычисления a=b^c \mod n представляет основную вычислительную сложность. Эта задача может быть разрешена с помощью алгоритма быстрого возведения в степень. С использованием этого алгоритма для вычисления m^e \mod n требуется O\left( \ln e \right) операций умножения по модулю[17].

Чтобы проанализировать время выполнения операций с открытым и закрытым ключами, предположим, что открытый ключ \left\{ e, n \right\} и закрытый ключ \left\{ d, n \right\} удовлетворяют соотношениям  \log_2 e =O(1), \log_2 d \le \beta. Тогда в процессах их применения выполняется соответственно O \left( 1 \right) и O \left( \beta \right) умножений по модулю.

Таким образом время выполнения операций растёт с увеличением количества ненулевых битов в двоичном представлении открытой экспоненты e. Чтобы увеличить скорость шифрования, значение e часто выбирают равным 17, 257 или 65537 — простым числам, двоичное представление которых содержит лишь две единицы: 1710=100012, 25710=1000000012, 6553710=100000000000000012 (простые числа Ферма).

По эвристическим оценкам длина секретной экспоненты d, нетривиальным образом зависящей от открытой экспоненты e и модуля n, с большой вероятностью близка к длине n. Поэтому расшифрование данных идёт медленнее чем шифрование, а проверка подписи быстрее чем её создание.

Алгоритм RSA намного медленнее чем AES и другие алгоритмы блочного шифрования.

Криптоанализ RSA[18]

Стойкость алгоритма основывается на сложности вычисления обратной функции к функции шифрования

c = E(m) = m ^ e \mod n.

Для вычисления m по известным c, e, n нужно найти такой d, чтобы

e \cdot d \equiv 1 \pmod{\varphi(n)},

то есть

d \equiv e^{-1} \pmod{\varphi(n)}.

Вычисление обратного элемента по модулю не является сложной задачей, однако злоумышленнику неизвестно значение \varphi(n). Для вычисления функции Эйлера от известного числа n необходимо знать разложение этого числа на простые множители. Нахождение таких множителей и является сложной задачей, а знание этих множителей — «потайной дверцей» (англ. backdoor), которая используется для вычисления d владельцем ключа. Существует множество алгоритмов для нахождения простых сомножителей, так называемой факторизации, самый быстрый из которых на сегодняшний день — общий метод решета числового поля, скорость которого для k-битного целого числа составляет

 \exp (( c + o(1))k^{\frac{1}{3}} \log^{\frac{2}{3}}k) для некоторого c < 2.

В 2010 году группе учёных из Швейцарии, Японии, Франции, Нидерландов, Германии и США удалось успешно вычислить данные, зашифрованные при помощи криптографического ключа стандарта RSA длиной 768 бит. Нахождение простых сомножителей осуществлялось общим методом решета числового поля.[19] По словам исследователей, после их работы в качестве надежной системы шифрования можно рассматривать только RSA-ключи длиной 1024 бита и более. Причём от шифрования ключом длиной в 1024 бит стоит отказаться в ближайшие три-четыре года.[20]

Кроме того, при неправильной или неоптимальной реализации или использовании алгоритма возможны специальные криптографические атаки, такие как атаки на схемы с малой секретной экспонентой или на схемы с общим выбранным значением модуля.

Атаки на алгоритм RSA

Атака Винера на RSA

В некоторых приложениях требуется ускорить процесс шифрования в алгоритме RSA. Поэтому выбирается небольшая шифрующая экспонента. В случае когда шифрующая экспонента d < N^{\frac{1}{4}} можно определить d за полиномиальное время с помощью атаки Винера,[21] опирающейся на непрерывные дроби.

 \left |\frac{E}{N} - \frac{k}{d} \right| < \frac{1}{2d^2}.

Поскольку НОД(k,d) = 1, то  \frac{k}{d} - подходящая дробь в разложении дроби  \frac{E}{N} в непрерывную. Таким образом, можно узнать расшифровывающую экспоненту, поочерёдно подставляя знаменатели подходящих дробей в выражение:

 (M^E)^d = M (mod N)

для некоторого случайного числа M. Получив равенство, найдём d. Общее число подходящих дробей, которое придётся проверить оценивается как O(ln N).

Обобщённая атака Винера

Атака Винера, описанная выше, возможна лишь в том случае, когда атакующему известно о неравенстве

 d \le \frac{1}{3} N^{\frac{1}{4}},

где d — секретная экспонента, а N — модуль RSA. Бонех и Дерфи, используя двумерный аналог теоремы Копперсмита, смогли обобщить атаку Винера[21] на случай, когда

 d \le N^{0,292}.

Применение RSA

Система RSA используется для защиты программного обеспечения и в схемах цифровой подписи.

Также она используется в открытой системе шифрования PGP и иных системах шифрования (к примеру, DarkCryptTC и формат xdc) в сочетании с симметричными алгоритмами.

Из-за низкой скорости шифрования (около 30 кбит/с при 512 битном ключе на процессоре 2 ГГц), сообщения обычно шифруют с помощью более производительных симметричных алгоритмов со случайным ключом (сеансовый ключ), а с помощью RSA шифруют лишь этот ключ, таким образом реализуется гибридная криптосистема. Такой механизм имеет потенциальные уязвимости ввиду необходимости использовать криптостойкий генератор случайных чисел для формирования случайного сеансового ключа симметричного шифрования и эффективно противостоящий атакам симметричный криптоалгоритм (в данное время широкое применение находят AES, IDEA, Serpent, Twofish).

Алгоритм шифрования сеансового ключа выглядит следующим образом[16]:

Алгоритм:

  • Взять открытый ключ (e,n) Алисы
  • Создать случайный сеансовый ключ m
  • Зашифровать сеансовый ключ с использованием открытого ключа Алисы:
    c = E(m) = m^e \mod n ~~~~ (1)

Алгоритм:

  • Принять зашифрованный сеансовый ключ Боба C \,
  • Взять свой закрытый ключ (d,n)
  • Применить закрытый ключ для расшифрования сеансового ключа:
    m = D(c) = c^d \mod n ~~~~(2)

Далее оба участника шифруют свои сообщения с помощью одного сеансового ключа.

Примечания

  1. 1 2 Bakhtiari M., Maarof M. A. Serious Security Weakness in RSA Cryptosystem // IJCSI International Journal of Computer Science. — January 2012. — В. 1, № 3. — Т. 9. — ISSN 1694-0814.
  2. Whitfield Diffie, Martin E. Hellman. New Directions in Cryptography (англ.) // IEEE Transactions on Information Theory. — Nov. 1976. — Т. IT-22. — С. 644–654.
  3. A Quarter Century of Recreational Mathematics, by Martin Gardner  (англ.). Scientific American. — «Ronald L. Rivest of the Massachusetts Institute of Technology allowed me to be the first to reveal—in the August 1977 column—the «publickey» cipher system that he co-invented»  Архивировано из первоисточника 23 июня 2012. Проверено 3 марта 2012.
  4. 1 2 Martin Gardner. Mathematical Games: A new kind of cipher that would take millions of years to break (англ.) // Scientific American. — 1977.
  5. Bruce Schneier. Factoring — State of the Art and Predictions  (англ.) (12 February 1995). Архивировано из первоисточника 23 июня 2012. Проверено 3 марта 2012.
  6. Donald T. Davis. A Discussion of RSA-129 Activity  (англ.) (25 November 2003). Архивировано из первоисточника 23 июня 2012. Проверено 3 марта 2012.
  7. Чмора А. Л. 4.6.4. Силовая атака на основе распределенных вычислений // Современная прикладная криптография. — 2002. — 2000 экз. — ISBN 5-85438-046-3
  8. 1 2 Rivest et al., 1978
  9. Ronald L. Rivest et al. Cryptographic Communications System and Method
  10. Adam Back. PGP Timeline  (англ.). Архивировано из первоисточника 23 июня 2012. Проверено 3 марта 2012.
  11. J. Linn. Privacy Enhancement for Internet Electronic Mail: Part III — Algorithms, Modes, and Identifiers  (англ.) (август 1989). Архивировано из первоисточника 23 июня 2012. Проверено 18 марта 2012.
  12. RSA Security Inc. Company history  (англ.). FundingUniverse. Архивировано из первоисточника 23 июня 2012. Проверено 18 марта 2012.
  13. C. C. Cocks A note on «non-secret encryption» (англ.) 20 ноября 1973
  14. 1 2 3 A. Menezes, P. van Oorschot, S. Vanstone. 8.2. RSA public-key encryption // Handbook of Applied Cryptography. — CRC-Press, 1996. — 816 p. — (Discrete Mathematics and Its Applications). — ISBN 0-8493-8523-7
  15. Boneh, Dan (1999). «Twenty Years of attacks on the RSA Cryptosystem». Notices of the American Mathematical Society (AMS) 46 (2): 203–213.
  16. 1 2 Брюс Шнайер. Прикладная криптография 2-е издание протоколы, алгоритмы и исходные тексты на языке C++
  17. Rivest R. L., Shamir A., Adleman L. A method for obtaining digital signatures and public-key cryptosystems
  18. Ян С. Й. Криптоанализ RSA. — М.—Ижевск: НИЦ «Регулярная и хаотическая динамика», Ижевский институт компьютерных исследований, 2011. — 312 с.
  19. Анонс факторизации RSA-768 (англ.)
  20. Факторизация RSA-768 (англ.)
  21. 1 2 Н. СМАРТ Мир программирования Криптография — изд. Техносфера, Москва 2006

Литература


Wikimedia Foundation. 2010.

Смотреть что такое "RSA" в других словарях:

  • RSA — steht für: Radio Session Allgäu, ein Allgäuer Lokalradiosender Radio RSA, ein ehemaliger Radiosender in Südafrika Random sequential adsorption, ein stochastischer Prozess, siehe Hard core Prozess Rational Software Architect, ein modellgetriebenes …   Deutsch Wikipedia

  • Rsa — Cette page d’homonymie répertorie les différents sujets et articles partageant un même nom. {{{image}}}   Sigles d une seule lettre   Sigles de deux lettres > Sigles de trois lettres …   Wikipédia en Français

  • RSA — sigla 1. Rappresentanza Sindacale Aziendale 2. Residenza Sanitaria Assistenziale …   Dizionario italiano

  • RSA — RSA, the the Royal Society of Arts a British organization that encourages education in ↑arts (=languages, history, literature etc) subjects and for business. It organizes examinations in many different subjects, including English as a Foreign… …   Dictionary of contemporary English

  • RSA — abbreviation Republic of South Africa …   Usage of the words and phrases in modern English

  • RSA — (Rivest Shamir Adelman) widely used encryption technology which is based on a mathematical algorithm and utilizes both public and private keys for encryption/decryption (named after its three inventors) …   English contemporary dictionary

  • RSA — ► ABBREVIATION 1) Republic of South Africa. 2) Royal Scottish Academy; Royal Scottish Academician. 3) Royal Society of Arts …   English terms dictionary

  • RSA — In cryptography, RSA is an algorithm for public key cryptography. It is the first algorithm known to be suitable for signing as well as encryption, and one of the first great advances in public key cryptography. RSA is widely used in electronic… …   Wikipedia

  • RSA — En criptografía, RSA (Rivest, Shamir y Adleman) es un sistema criptográfico de clave pública desarrollado en 1977. Es el primer y más utilizado algoritmo de este tipo y es válido tanto para cifrar como para firmar digitalmente. La seguridad de… …   Wikipedia Español

  • RSa — Ein Rückscheinbrief ist eine Zustellungsart im österreichischen Postwesen. Bild A1: Muster eines RSa mit dem Zusatz Nicht an Postbevollmächtigte Bild A2: Muster eines historischen RSa der Zusatz darf auch wegge …   Deutsch Wikipedia

Книги

Другие книги по запросу «RSA» >>


Поделиться ссылкой на выделенное

Прямая ссылка:
Нажмите правой клавишей мыши и выберите «Копировать ссылку»

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.