Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
   Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Курсы лекций
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 9.3.5 Ускорение операций в схемах подписи типа DSS Вверх: 9.3 Анализ возможностей использования интеллектуальными карточками вспомогательных вычислителей Назад: 9.3.3 Пассивная атака на протокол RSA-S1   Содержание   Предметный указатель


9.3.4 Активная атака на протокол RSA-S1

Пусть сервер возвращает интеллектуальной карточке произвольный вектор $ Z'=[z_1',z_2',\ldots,z_m']$. Тогда интеллектуальная карточка вычисляет $ y'=\prod_{i=1}^m{z_i'}^{f_i}\bmod n$. Сервер может вычислить символы Якоби $ \mathchoice{\genfrac {(}{)}{}{}{y'}{\raisebox{2pt}{$n$}}}{\genfrac {(}{)}{}{}{... ...ptstyle n$}}}{\genfrac {(}{)}{}{}{y'}{\raisebox{.5pt}{$\scriptscriptstyle n$}}}$ и $ \mathchoice{\genfrac {(}{)}{}{}{z_i'}{\raisebox{2pt}{$n$}}}{\genfrac {(}{)}{}{... ...style n$}}}{\genfrac {(}{)}{}{}{z_i'}{\raisebox{.5pt}{$\scriptscriptstyle n$}}}$ для всех $ i$. Пусть $ I$ есть подмножество индексов, на которых символ Якоби $ \mathchoice{\genfrac {(}{)}{}{}{z_i'}{\raisebox{2pt}{$n$}}}{\genfrac {(}{)}{}{... ...style n$}}}{\genfrac {(}{)}{}{}{z_i'}{\raisebox{.5pt}{$\scriptscriptstyle n$}}}$ принимает значение $ -1$. Так как символ Якоби мультипликативен, сервер может вычислить

$\displaystyle (-1)^C=\mathchoice{\genfrac {(}{)}{}{}{y'}{\raisebox{2pt}{$n$}}}{... ..._i'}{\raisebox{.5pt}{$\scriptscriptstyle n$}}}^{f_i}= \prod_{i=1}^m(-1)^{f_i}, $

где $ c\in\{0,1\}$. Отсюда $ c\equiv\sum_{i\in I}f_i\mkern5mu({\rm mod}\,\,2)$. Таким образом, для каждого вектора $ Z'$ сервер получает одно линейное уравнение в поле $ GF(2)$. После $ m$ раундов этой атаки сервер может узнать $ F_0$ и, следовательно, вычислить секретную степень $ d$. Если значение $ L$ значительно меньше, чем $ m$, то серверу необходимо менее, чем $ m$ раундов в том случае, если векторы $ Z$ выбраны таким образом, что матрица полученной системы линейных уравнений является проверочной матрицей кода, корректирующего $ L$ ошибок.

Вперед Вверх Назад Содержание Предметный указатель
Вперед: 9.3.5 Ускорение операций в схемах подписи типа DSS Вверх: 9.3 Анализ возможностей использования интеллектуальными карточками вспомогательных вычислителей Назад: 9.3.3 Пассивная атака на протокол RSA-S1   Содержание   Предметный указатель

Проект осуществляется при поддержке:
 Геологического факультета МГУ,
РФФИ
    
TopList Rambler's Top100