テキスト
歴史

Let n be an RSA modulus, with e and

Let n be an RSA modulus, with e and d the public and private exponents
respectively. Let k = dlog256 ne be the byte length of n and let B = 28(k¡1). 2
Assume an attacker knows the public key (n; e) and has access to an oracle
that for any chosen ciphertext x indicates whether the corresponding plaintext
y ´ xd (mod n) is less than B or not | returning y < B" or y ¸ B". For
the last assumption to hold it is su±cient for the oracle to distinguish a failure
in the integer-to-octets conversion (in which case y ¸ B" is returned) from any
subsequent failure, e.g. of the integrity check.
The attacker wishes to determine the plaintext m ´ cd (mod n) corre-
sponding to a captured ciphertext c. The basic step is to choose a multiple f
and send fe ¢ c (mod n) to the oracle. This ciphertext corresponds to the plain-
text f ¢ m. 3 The oracle indicates if this is in the range [0;B) or (B; n) modulo
n, thus providing a mathematical relationship about m that reduces the range
(or ranges) in which it must lie. The aim is to reduce this range with successive
oracle queries until just one value is left | m.
The approach of the attack described in this paper is to choose values of f
such that the range where f ¢ m could lie spans exactly one boundary between
a region where f ¢ m < B (mod n) and a region where f ¢ m ¸ B (mod n).
The oracle response narrows the range to one of these regions.
Initially we know m 2 [0;B), as all valid messages are in this range by
construction. One point to note is that since m < B there is always a multiple
of m that lies in any region of width B. For instance, for any integer i there is
always some integer f such that f ¢ m 2 [in; in + B).
The following attack assumes 2B < n. This assumption will usually be sat-
is¯ed as RSA moduli are typically chosen to be exact multiples of 8 bits long
making n between 128 and 256 times larger than B. Situations where this as-
sumption does not hold are discussed toward the end of this section.
Step 1: Try multiples of 2; 4; 8; : : : 2i; : : : in turn until the oracle returns ¸ B".
For each multiple f1 the possible values of f1 ¢ m span a single boundary point
at B.
1.1 We know m 2 [0;B). Let f1 = 2.
1.2 So f1 ¢ m 2 [0; 2B). Try f1 with the oracle, i.e. send fe
1 ¢ c (mod n).
2 Any number less than B encoded into k octets will start with a `00'h octet.
3 (fe ¢ c)d ´ fed ¢ cd ´ f ¢ m (mod n)
1.3a If the oracle indicates < B":
This implies f1 ¢ m 2 [0;B), so 2f1 ¢ m 2 [0; 2B).
Set f1 Ã 2f1 and go back to step 1.2.
1.3b If the oracle indicates ¸ B:
This implies f1 2 [B; 2B) for a known (even) multiple f1. Rephrasing this
gives f1
2 ¢ m 2 [B
2 ;B) for a known multiple f1
2 . Now move to the next step.
Step 2: Start with a multiple f2 such that f2 ¢ m is just less than n + B for
the maximum possible m. Keep increasing this multiple until the oracle returns
< B". For each multiple f2 the possible values of f2 ¢m span a single boundary
point at n.
2.1 We have f1
2 ¢ m 2 [B
2 ;B). Let f2 = bn+B
B c ¢ f1
2 .
2.2 So f2 ¢ m 2 [n
2 ; n + B). Try f2 with the oracle.
2.3a If the oracle indicates ¸ B":
This implies f2 ¢ m 2 [n
2 ; n), so (f2 + f1
2 ) ¢ m 2 [n
2 ; n + B).
Set f2 Ã f2 + f1
2 and go back to step 2.2.
2.3b If the oracle indicates < B":
This implies f2 ¢ m 2 [n; n + B) for a known multiple f2. Now move to the
next step.
As f2 increases at iterations through step 2.3a the lower bound on f2 ¢ m
increases, eventually exceeding n when f2 = d 2n
B e ¢ f1
2 . Branch 2.3b must occur
at or before this multiple. That is, step 2 will always terminate | taking at most
d n
B e oracle queries.
Step 3: Try multiples f3 that give a range for f3 ¢ m about 2B integers wide
and spanning a single boundary point. Each oracle response will half the range
back to a width of about B integers, so the next multiple is approximately twice
the previous value.
3.1 We have f2 ¢ m 2 [n; n + B).
Rephrasing, we have a multiple f2 and a range [mmin;mmax) of possible m
values, where mmin = d n
f2
e , mmax = bn+B
f2
c and f2 ¢ (mmax ¡ mmin) ¼ B.
3.2 Choose a multiple ftmp such that the width of ftmp ¢m is approximately 2B.
ftmp = b 2B
mmax¡mmin
c. This value is about double the previous multiple.
3.3 Select a boundary point, in + B, near the range of ftmp ¢ m.
i = b ftmp¢mmin
n c.
3.4 Choose a multiple f3 such that f3 ¢m spans a single boundary point at in+B.
f3 = d in
mmin
e. This gives f3 ¢ m 2 [in; in + 2B) (though the upper bound is
only approximate). f3 is approximately equal to ftmp. Try f3 with the oracle.
3.5a If the oracle indicates ¸ B":
This implies f3 ¢ m 2 [in + B; in + 2B).
Set mmin Ã d in+B
f3
e and go back to step 3.2.
3.5b If the oracle indicates < B":
This implies f3 ¢ m 2 [in; in + B).
Set mmax Ã b in+B
f3
c and go back to step 3.2.
Each answer from the oracle in step 3 selects either the top or bottom half
(approximately) of the f3 ¢ m range, halving the range of possible m values.
Eventually the range in which m lies narrows to a single number, which is the
desired plaintext. At this point f3 ¼ B = 28(k¡1).
The description of step 3 above does not provide a proof that those particular
choices of multiples, boundary points and interval widths will always work for
any key or message. Minor variations on these choices can make the attack
algorithm marginally more e±cient. See [1] for a more mathematically rigorous
analysis of a closely related problem.

5000/5000

ソース言語: 言語を検出する

ターゲット言語: 日本語

結果 (日本語) 1: [コピー]

コピーしました！

N e と d の RSA 係数、公共および民間の指数であることができます
それぞれ。K を聞かせて n し B のバイトの長さである dlog256 ne = 28(k¡1) =。2
攻撃者は公開鍵 (n、e) を知っているし、oracle にアクセスできると仮定します
任意選ばれた暗号文の x が示すかどうか、対応する平文
y ´ xd (mod n) が B より小さいかどうか |y を返す < B「または y ¸ B」。ため
それを保持する最後の仮定は、障害を区別するために oracle の su±cient
いずれかから（どのケース y ¸ B"が返されます) 整数の八重奏の転用における
などの整合性チェックの後続の障害
攻撃者を希望するを決定する、プレーンテキスト m ´ cd (mod n) 対応-
キャプチャされた暗号文 c ことは容易。基本的な手順は複数の f を選択する
fe ¢ c (mod n)、oracle を送信します。この暗号文対応する平野-
テキスト f ¢ m. 3、oracle 示すこれが範囲 [0;B) または (B; n) モジュロ
n、従って減らすうそする必要があります範囲
(or ranges) m についての数学的な関係を提供します。目的この連続と範囲を削減することです
oracle クエリ値を 1 つだけが残っているまで |m.
このペーパーで説明した攻撃の方法は f の値を選択
f ¢ m がうそをつくことができる範囲の間の 1 つの境界にまたがるように
地域どこ f ¢ m < B (mod n) と地域どこ f ¢ m ¸ B (mod n).
oracle 応答これらの領域のいずれかに範囲が狭くなる
最初わかって m 2 [0;B）としてすべての有効なメッセージによってこの範囲内にある
建設。1 つのポイントに注意することであり m < b）がある常に、複数
m の幅 b. のあらゆる領域にあります。例えば、任意の整数のため私は
常にいくつかの整数 f そのようなその f ¢ m 2 [in; in B)。
次の攻撃を想定しています 2 b < n。この仮定される通常土-
is¯ed RSA 係数は通常ある選ばれる正確な 8 ビットの長さの倍数
128 間 n と b. 状況の 256 倍を作る場所としてこの-
サンプションこのセクションの終わりの方については、説明を保持していない
ステップ 1: 2; の倍数を試みる4;8;:: 2i;:: oracle ¸ B が返されるまで順番".
各複数の f1 の f1 ¢ m の可能な値 1 つの境界点にまたがる
b
1.1 m 2 [0; を知っています。B). みましょう f1 = 2.
1.2 だから f1 キー ¢ m 2 [0; 2 b）。Oracle で f1 を試して、すなわち送信 fe
1 ¢ c (mod n).
k オクテットにエンコードされた B '00' h オクテットと開始されますよりも小さい数値 2
3 (fe ¢ c) d ´ 供給 ¢ cd ´ f ¢ m (mod n)
1.3 a、oracle が示された場合 < B":
つまり f1 ¢ m 2 [0;B）は、そう 2f1 ¢ m 2 [0; 2B)。
f1 Ã 2f1 を設定し、ステップ 1.2 に戻る。
13億 oracle を示している場合 ¸ B:
つまり f1 2 [B; 2B) （も）複数の f1 知られているため。これを言い換え
f1 を与える
2 ¢ m 2 [B
2;B）の知られている複数の f1
2。今すぐ次のステップに移動
ステップ 2: 開始して複数 f2 など f2 ¢ m n B の弱
最大可能 m. は、oracle が返されるまでこの複数を増加し続ける
< B"。各複数 f2 f2 ¢ m の値単一の境界にまたがる
n. ポイント
f1 がある 2.1
2 ¢ m 2 [B
2;B). f2 を聞かせて bn B =
B c ¢ f1
2.
2.2 だから f2 ¢ m 2 [n
2; n B)。Oracle と f2 を試みる
2.3a oracle ¸ B を示している場合":
つまり f2 ¢ m 2 [n
2; n) ので、(f2 f1
2) ¢ m 2 [n
2; n B).
セット f2 Ã f2 f1
2 ステップ 2.2 へ帰っていく。
2.3 b、oracle が示された場合 < B":
つまり f2 ¢ m 2 [n; n B) 複数 f2 知られているため。今すぐに移動、
次ステップ。
f2 がステップ 2 の反復で増加。f2 ¢ m の下限 3 a
が増加し、最終的に n を超えるとき f2 = d 2 n
B e ¢ f1
2。2.3 b の分岐する必要があります発生
またはこの複数の前に。つまり、ステップ 2 は常に終了する |最も撮影
開発、n
B e oracle クエリ。
ステップ 3: 倍数 f3 f3 ¢ m 幅 2 b 整数についての範囲を与えることを試みる
1 つの境界点にまたがる。Oracle の各応答は半分の範囲
B 整数についての幅に戻るので次の倍数は約 2 倍
以前の値。
3.1 がある f2 ¢ m 2 [n; n B)
言い換え、複数 f2 そして範囲がある [mmin;mmax) 可能 m
値、どこ mmin 開発、n =
f2
e、mmax = bn B
f2
c と f2 ¢ (mmax ¡ mmin) ¼ B.
3.2 複数の ftmp を選択は、その ftmp ¢ m の幅約 2 b.
ftmp = b 2 b
mmax¡mmin
c。この値は約 2 倍、以前複数
3.3 は、ftmp ¢ m. の範囲の近くの b の境界点を選択します。
私は b ftmp ¢ mmin =
n c.
3.4 複数 f3 を選択 f3 ¢ m b で 1 つの境界点にまたがるように
f3 = d
mmin
e。これは f3 ¢ m 2 を与える [; 2 b）（上限は
のおおよそ)。f3 は、ftmp とほぼ同じです。Oracle で f3 をしてみてください
3。5a 場合、oracle は ¸ B":
つまり、f3 ¢ m 2 [B; 2B).
mmin d B で Ã を設定
f3
e と 3.2 のステップに戻る
3.5b oracle が示された場合 < B":
つまり f3 ¢ m 2 [in; in B) です。
b セット mmax Ã b
f3
c と行くバックステップ 3.2 に。
手順 3 で oracle からそれぞれの答えを選択 f3 ¢ m 範囲の上部または下部のいずれかの half
(approximately)。、可能な m 値の範囲を半減します。
M のうそは、1 つの番号に絞り込まれます範囲最終的に、
プレーンテキストを望まれます。この時点で f3 ¼ B = 28 (k¡1).
上記の手順 3 の説明に証拠を提供しないそれら特定
倍数、境界点と区間幅の選択肢は常に動作
キーまたはメッセージ。これらの選択肢についてのマイナーなバリエーションは、攻撃を行うことができます
アルゴリズムわずかより e±cient。数学的に厳密に [1] を参照してください
密接に関連する問題を分析します。

翻訳されて、しばらくお待ちください..

結果 (日本語) 2:[コピー]

コピーしました！

翻訳されて、しばらくお待ちください..

結果 (日本語) 3:[コピー]

コピーしました！

n rsaモジュラスとeとdのそれぞれは、公共と民間の指数dlog256 ne＝nとb＝28のバイト長である（k¡1）攻撃者の公開鍵を知っていると仮定して（n＝2）へのアクセスは、オラクルがどんな選択暗号文のxのためかどうかを対応する平文y´xd mod n）がbよりも小さいか|帰りの y b」または y¸b」のそれを持つ最後の仮定の八重奏を整数に変換し、失敗した回を区別するオラクルのための効率的なsu±（ケース y¸b」で返される）その後の失敗から任意の回は、整合性チェックの例えば。攻撃者は、平文m´cdを決定する願望（mod n）プロレス・・・spondingに捕らえられた暗号文の基本的なステップを選択する複数のfを送って¢cとfe（mod n）は、オラクルへこの暗号文に相当するプレーンテキスト¢m f 3は、オラクルを示すならば、これは範囲0 b）または（b）は、モジュロn、数学関係の範囲を減らして1 m（範囲）を提供することである目標値m 1回だけ左|まで逐次回オラクル質問でこの範囲を減らすこの紙で説明された攻撃のアプローチを選択する値のfがf¢範囲でできた正確に1 mにわたり境界領域ではf¢m bの間の横に（mod n）と領域が¢m f¸b（n）は、オラクルの応答は、これらの領域の1つに範囲を狭める。まず最初に、我々はm 2）0を知って、すべての有効なメッセージの製作によってこの範囲になっている注意する点があり、常にb m例えば幅bの任意の領域にある複数の回のため、任意の整数を私はいつもいくつかの整数f、f¢m 2であり、b）は、以下の攻撃を想定して2 nはこの仮定をします通常は土曜日です¯エドとしてのrsaモジュラスは典型的に選ばれた厳密に8ビットの倍数の長いnとの間を作って128と256倍bが回sumptionを持たないが、このセクションの終わりに向かって議論されるように、この。ステップ1：2の倍数をためして、4、8、2：：：：：：オラクル¸b」を返すまで順番に各々の複数。f 1 f 1¢mスパンの1 . 1では、1 m 2 0知っている一つの境界点の値を1 b）f 1＝2 . 2のようにしましょう。¢2 f 1 m 0、2 b）オラクルとf 1、すなわちfe¢送って1 c（modn）2 b k八重奏にコード化された以下の任意の数を、「00'h八重奏で始まります。3（fe¢c）d´に供給¢cd´m f¢（mod n 1 bは、オラクル「この場合：1 m 2¢0を意味しますので、2 f 1 b）¢0 m 2、2 b）。Ã2 f 1 f 1をセットして、ステップ1に戻る。¸オラクル 1 bを示すならば、これは意味しますf 1：2 b 2 b）が知られている（でも、複数のf 1）これを言い直すことを与えますf 1 m 2¢2 b 2 b）が知られている複数のf 1と2のために次のステップを移動します。ステップ2：複数のf 2から始めよう¢ちょうど2 m、nより少ないbの最大の可能なmまで増え続けるこの複数のオラクル1 bを返します」各々の複数のf 2 f 2¢mの可能な値の一つの境界点のスパンをn回では2 . 1 . 1 m 2¢2 b 2 b）f 2＝bn bを聞かせてb c¢f 2 f 2の2 . 2のように¢m 2 n 2 n b）オラクルとf 2をためしてください。第2、オラクル¸b」を示す場合：このf 2¢m 2 n 2 n）を意味しますので、（f 2）を¢m 2 n 2 n b）。Ãf 2 f 1 f 2を設定し、ステップに戻る.行く。オラクル 2 b」を示す場合：このf 2¢m 2 nを意味するn b）は複数のf 2が知られているは、次のステップへすぐに移動します。回繰り返し2増加でステップ2を介して3¢m 2増加に対する下限を、n 2＝d 2 b 2 e¢f 1を超える2回の分岐や複数の起こる前にこれをしなければなりませんすなわち、ステップ2にはほとんど常に| d b e nオラクルのクエリでの撮影が終了します。ステップ3：2と整数の広い一つの境界点について¢にわたって3 mの範囲を与える3倍にしてください各々のオラクル応答範囲の半分ですbの整数についての幅に戻るので、約2倍の前の値は、次の多重。3 . 1 m 2¢は2 nはn b）を言い直すことは、複数のf 2と範囲を持っているmmin＝mmax）可能なmの値が、n＝d mmin e 2回、mmax＝bnのb c、f 2 f 2¢（mmax¡mmin 4 b）6の光¢3 . 2 mの幅は約2 bのように複数の光」を選択します。光＝b 2 b 2 cの¡mmin mmaxこの値の2倍程度の前の倍数になっている。ではb 3 . 3の選択境界点付近では、範囲の光¢m b i＝光¢mmin℃で3 . 4 n 2を選択して複数のように¢3 f 3 mにわたり一つの境界点bに3 d 1＝2におけるmmin eこれは、f 3¢m 2で、2（3）近似上限のみ）f 3光にほぼ等しいオラクルのf 3を試してみてください。3オラクル¸b」を示す場合5：3 mはこの¢2 b 2 bの意味で）に設定Ãmmin d b eとf 3ステップ3に戻る。、オラクル3 b」を示す場合、これは意味します：3 m 2¢。b）のb c mmax 3にÃbを設定し、ステップ3に戻ります。それぞれの答えからオラクルのステップ3を選択するトップやボトムハーフですか（約3 m）¢可能範囲の、mの値の範囲を半分にします結局をある一つの数の範囲を狭く、所望の平文ですこの点は4 f 3＝28 b（k¡1）がありますが前述のステップ3の倍数のそれらの特定の回の選択を証明を提供しないで、境界点との間隔の幅を任意のキーまたは1メッセージのために常に機能しますこれらの選択についてのマイナーなバリエーションを作る攻撃アルゴリズムをわずかにより回e±効率的なことができますより数学的に厳密な分析は、密接に関連した問題のための[ 1 ]を見てください

翻訳されて、しばらくお待ちください..

他の言語

翻訳ツールのサポート: アイスランド語, アイルランド語, アゼルバイジャン語, アフリカーンス語, アムハラ語, アラビア語, アルバニア語, アルメニア語, イタリア語, イディッシュ語, イボ語, インドネシア語, ウイグル語, ウェールズ語, ウクライナ語, ウズベク語, ウルドゥ語, エストニア語, エスペラント語, オランダ語, オリヤ語, カザフ語, カタルーニャ語, カンナダ語, ガリシア語, キニヤルワンダ語, キルギス語, ギリシャ語, クメール語, クリンゴン, クルド語, クロアチア語, グジャラト語, コルシカ語, コーサ語, サモア語, ショナ語, シンド語, シンハラ語, ジャワ語, ジョージア（グルジア）語, スウェーデン語, スコットランドゲール語, スペイン語, スロバキア語, スロベニア語, スワヒリ語, スンダ語, ズールー語, セブアノ語, セルビア語, ソト語, ソマリ語, タイ語, タガログ語, タジク語, タタール語, タミル語, チェコ語, チェワ語, テルグ語, デンマーク語, トルクメン語, トルコ語, ドイツ語, ネパール語, ノルウェー語, ハイチ語, ハウサ語, ハワイ語, ハンガリー語, バスク語, パシュト語, パンジャブ語, ヒンディー語, フィンランド語, フランス語, フリジア語, ブルガリア語, ヘブライ語, ベトナム語, ベラルーシ語, ベンガル語, ペルシャ語, ボスニア語, ポルトガル語, ポーランド語, マオリ語, マケドニア語, マラガシ語, マラヤーラム語, マラーティー語, マルタ語, マレー語, ミャンマー語, モンゴル語, モン語, ヨルバ語, ラオ語, ラテン語, ラトビア語, リトアニア語, ルクセンブルク語, ルーマニア語, ロシア語, 中国語, 日本語, 繁体字中国語, 英語, 言語を検出する, 韓国語, 言語翻訳.