RSA随机数后门原理
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第1页
3)
因为T2 s * Q s * d * P ,两边同时乘以 e ,得到: s * P e * T2 。 因此,攻击者就可以预测后面的随机数( 217 种可能情况) 。
棱镜曝光的“RSA”随机发生器后门,就是这个。 TLS 协议几次交互的过程, 要几次用到随机数发生器, 如果拦截到第一次的, 后面几次就知道了,因此可以知道密钥。
2 后门原理
如果存在大整数 d ,使得 P d * Q ,则 d 就是后门。原理如下:
1 1) 由 d 很容易计算 d 的逆元 e d (这里及下面的运算都指在 p 大素数
源自文库
域上的模算术)
2)
由 out 可以知道T 2 x ( 216 种可能性) ,因此可以知道T 2 (2 种可能,一个 在 x 轴上面,一个下面) ,因此由 out 可以推出T 2 ,即 s * Q (有 217 ,即 131072 种可能性,显然对计算机而言,尝试这些可能性很容易) 。
第2页
RSA 随机数后门原理
2013 年底,斯诺登爆料了美国国家安全局(NSA)在 RSA 公司的密码开发 包里内置了随机数发生器的后门,并将该随机数发生器作为默认。 该随机数发生器是一种叫双椭圆曲线的产生算法,叫 Dual-EC,利用此可以 很容易监听 SSL 的连接,计算量很小。下面是详细分析。 有兴趣了解更多的,可以联系 Q:1124991580
1 Dual EC 随机数产生原理
EC 系统参数: p ,G ,P ,Q ;其中, p 是大素数, G 是基点, P ,Q 是随机选定 的点,以下的描述, “*”指的是点乘。工作过程: 1) 产生秘密的随机种子, s seed (32Byte,相当于随机源) ; 2) 计算:T1 s * P (T1x ,T1y ); 3) 更新 s : s T1x ; 4) 计算:T2 s * Q (T2x ,T2y ); 5) 输出:取T 2 x 的前 30 字节或后 30 字节作为输出 out 重复 2)-4)的步骤,就可以不断产生随机字节序列。
3)
因为T2 s * Q s * d * P ,两边同时乘以 e ,得到: s * P e * T2 。 因此,攻击者就可以预测后面的随机数( 217 种可能情况) 。
棱镜曝光的“RSA”随机发生器后门,就是这个。 TLS 协议几次交互的过程, 要几次用到随机数发生器, 如果拦截到第一次的, 后面几次就知道了,因此可以知道密钥。
2 后门原理
如果存在大整数 d ,使得 P d * Q ,则 d 就是后门。原理如下:
1 1) 由 d 很容易计算 d 的逆元 e d (这里及下面的运算都指在 p 大素数
源自文库
域上的模算术)
2)
由 out 可以知道T 2 x ( 216 种可能性) ,因此可以知道T 2 (2 种可能,一个 在 x 轴上面,一个下面) ,因此由 out 可以推出T 2 ,即 s * Q (有 217 ,即 131072 种可能性,显然对计算机而言,尝试这些可能性很容易) 。
第2页
RSA 随机数后门原理
2013 年底,斯诺登爆料了美国国家安全局(NSA)在 RSA 公司的密码开发 包里内置了随机数发生器的后门,并将该随机数发生器作为默认。 该随机数发生器是一种叫双椭圆曲线的产生算法,叫 Dual-EC,利用此可以 很容易监听 SSL 的连接,计算量很小。下面是详细分析。 有兴趣了解更多的,可以联系 Q:1124991580
1 Dual EC 随机数产生原理
EC 系统参数: p ,G ,P ,Q ;其中, p 是大素数, G 是基点, P ,Q 是随机选定 的点,以下的描述, “*”指的是点乘。工作过程: 1) 产生秘密的随机种子, s seed (32Byte,相当于随机源) ; 2) 计算:T1 s * P (T1x ,T1y ); 3) 更新 s : s T1x ; 4) 计算:T2 s * Q (T2x ,T2y ); 5) 输出:取T 2 x 的前 30 字节或后 30 字节作为输出 out 重复 2)-4)的步骤,就可以不断产生随机字节序列。