1

Practical Padding Oracle Attacks on RSA

2

Повторение: RSA

RSA

3

• RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел

​

​

RSA

4

• RSA (аббревиатура от фамилий Rivest, Shamir и Adleman) — криптографический алгоритм с открытым ключом, основывающийся на вычислительной сложности задачи факторизации больших целых чисел

​

• Криптосистема RSA пригодна как для шифрования, так и для цифровой подписи

​

5

В чём отличия между шифрованием и цифровой подписью?

6

RSA: алгоритм создания открытого и секретного ключей�

7

• Выбираются два различных случайных простых числа p и q заданного размера (например, 2048 бит каждое)

​

RSA: алгоритм создания открытого и секретного ключей�

8

• Выбираются два различных случайных простых числа p и q заданного размера (например, 2048 бит каждое)

​

• Вычисляется их произведение n = p ⋅ q, которое называется модулем

​

​

RSA: алгоритм создания открытого и секретного ключей�

9

• Выбираются два различных случайных простых числа p и q заданного размера (например, 2048 бит каждое)
• Вычисляется их произведение n = p ⋅ q, которое называется модулем

​

• Вычисляется значение функции Эйлера от числа n: 
• φ(n) = (p − 1) ⋅ (q − 1) 

RSA: алгоритм создания открытого и секретного ключей�

10

• Выбираются два различных случайных простых числа p и q заданного размера (например, 2048 бит каждое)
• Вычисляется их произведение n = p ⋅ q, которое называется модулем
• Вычисляется значение функции Эйлера от числа n: 
• φ(n) = (p − 1) ⋅ (q − 1) 

​

• Выбирается целое число e ( 1 < e < φ(n) ), взаимно простое со значением функции φ(n) 

​

​

​

RSA: алгоритм создания открытого и секретного ключей�

11

• Вычисляется значение функции Эйлера от числа n: 
• φ(n) = (p − 1) ⋅ (q − 1) 
• Выбирается целое число e ( 1 < e < φ(n) ), взаимно простое со значением функции φ(n) 
• число e называется открытой экспонентой
• слишком малые значения e потенциально могут ослабить безопасность схемы RSA
• обычно в качестве e берут простые числа, содержащие небольшое количество единичных бит в двоичной записи, так как это ускоряет шифрование

​

​

RSA: алгоритм создания открытого и секретного ключей�

12

• Выбирается целое число e ( 1 < e < φ(n) ), взаимно простое со значением функции φ(n) (открытая экспонента)

​

• Вычисляется число d, мультипликативно обратное к числу e по модулю φ ( n ) 
• число d называется секретной экспонентой
• d ⋅ e ≡ 1 ( mod φ ( n ) )
• вычисляется при помощи расширенного алгоритма Евклида

​

​

RSA: алгоритм создания открытого и секретного ключей�

13

• Выбирается целое число e ( 1 < e < φ(n) ), взаимно простое со значением функции φ(n) (открытая экспонента)
• Вычисляется число d, мультипликативно обратное к числу e по модулю φ ( n )  (секретная экспонента)

​

• Пара ( e , n ) публикуется в качестве открытого ключа RSA

​

​

RSA: алгоритм создания открытого и секретного ключей�

14

• Выбирается целое число e ( 1 < e < φ(n) ), взаимно простое со значением функции φ(n) (открытая экспонента)
• Вычисляется число d, мультипликативно обратное к числу e по модулю φ ( n )  (секретная экспонента)
• пара ( e , n ) публикуется в качестве открытого ключа RSA

​

• Пара ( d , n ) играет роль закрытого ключа RSA и держится в секрете

​

RSA: алгоритм создания открытого и секретного ключей�

15

• n = p ⋅ q
• φ(n) = (p − 1) ⋅ (q − 1) 
• ( e , n ) - открытый ключ, где 1 < e < φ(n)
• ( d , n ) - закрытый ключ, где d ⋅ e ≡ 1 ( mod φ ( n ) )

RSA: алгоритм шифрования�

16

RSA: алгоритм расшифрования ��

17

RSA

18

RSA: обоснование��

19

RSA: обоснование���

20

RSA: обоснование���

21

RSA: обоснование���

22

RSA: обоснование���

23

(Малая теорема Ферма)

RSA: обоснование���

24

RSA: обоснование���

25

RSA: обоснование���

26

RSA: обоснование���

27

Китайская теорема об остатках

The multiplicative property of RSA

The multiplicative property of RSA 

29

    E(m)E(s) mod n = E(ms mod n)

​

​

    E(m)E(s) = m^es^e mod n = (ms)^e mod n = (ms mod n)^e mod n

Pairing Oracle

31

Pairing Oracle�

32

• Ферма принимает заказы только в шифрованном виде
• Можно заказать только четное число яиц
• Надо восстановить заказ конкурентов

Pairing Oracle�

33

Pairing Oracle�

34

Pairing Oracle�

35

Pairing Oracle�

36

• Похоже на Binary Search
• На каждой итерации делим отрезок пополам
• Последовательно восстанавливаем M

Pairing Oracle�

37

PKCS#1 v1.5

PKCS#1 v1.5 

39

• 00023572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45004c65616b696e672070617269747920616c6c6f777320666f722064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

​

• Первые два байта 0x00, 0x02 определяют тип падинга

​

​

PKCS#1 v1.5 

40

• 00023572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45004c65616b696e672070617269747920616c6c6f777320666f722064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

​

• Ненулевой случайный падинг

​

​

PKCS#1 v1.5 

41

• 00023572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45004c65616b696e672070617269747920616c6c6f777320666f722064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

​

• Сепаратор

​

​

PKCS#1 v1.5 

42

• 00023572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45004c65616b696e672070617269747920616c6c6f777320666f722064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

​

• Открытый текст

​

​

PKCS#1 v1.5 

43

• 00023572e4bcc8df4c7e53f931c1d79addcc3d0412db8723e28c84a5f6340d0f95f9836b07907669f2527eda22e1f80e6e2e4dac062326f5716fca45004c65616b696e672070617269747920616c6c6f777320666f722064656372797074696e6720612077686f6c652052534120656e63727970746564206d6573736167650a

​

​

​

​

PKCS#1 v1.5 

44

The Bleichenbacher attack

Вопросы?