【转】RSA选用小公钥指数(e=3)真的不安全吗?

最新推荐文章于 2024-03-05 17:40:57 发布
最新推荐文章于 2024-03-05 17:40:57 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EricBaner/article/details/84384916
版权
大部分RSA算法实现遵循PKCS#1标准,推荐公钥指数e为3或65537,以提高加密和签名验证性能。选择小指数能减少模乘运算次数,但可能引发关于安全性的讨论。
摘要由CSDN通过智能技术生成

引言

现有的大部分RSA算法实现都遵循PKCS#1 v2.1/v1.5 (2002/1993)。根据PKCS#1的建议,公钥指数e是可以选取较小的素数3或65537(=2^16+1)。这样选取主要是为了提高加密或签名验证的性能,因为3或65537分别只需要2或17次模乘运算,而一个随机选择的e(假设n是1024-bit)则大约需要1000次。这种选用小公钥指数的方法使用户相信RSA在签名验证和加密操作方面确实要比“以高效著称的ECC”还要高效很多。

 
然而在选用小公钥指数时,有很多人则更倾向于选e=65537而不是e=3,他们认为3“似乎不安全”,然而又给不出所以然。今天我想说的是,在“正确使用”RSA算法的情况下,至今为止还没有发现公开的攻击方法能有效攻击e=3。那么何为正确使用呢?很简单,如果你不是密码专家,那么实现时请遵守PKCS#1 v2.1或IEEE P1363的建议,而不要局限于自己对RSA的教科书式的理解。或者使用公开的密码算法库,如OpenSSL,这些算法的实现一般都会遵守相关标准或建议。

选择e=3究竟有什么问题?
对于e=3的情形,至今以来,其签名验证或加密的性能优势是任何公钥密码算法都无法超越的。但对其所存在的安全脆弱性,我们应实事求是地进行分析,而不要轻易放弃使用e=3。下面我来梳理一下自从1977年RSA算法诞生以来针对小公钥指数(e=3)的密码分析中值得一提的结论。
 
(1) Hastad攻击
 
Hastad描述的攻击经常也被称为广播攻击[1]
 
攻击场景:如果Alice打算将消息M加密发送给一组
最低0.47元/天 解锁文章
Erik明
关注
专栏目录
RSA公钥指数(e=3)的安全性分析
SecCloud的专栏
11-15 1万+
1. 引言 学术界普遍认为绝对不能选用e=3作为RSA公钥指数,就好像说我们再也不能用md5一样。但实际上,md5今天仍然广泛使用。一个密码算法在理论上被攻破,并不等于实践中就一定会有安全风险。比如,md5作为一种密码哈希函数,理论上它必须满足三个性质:(1) 输出的均匀分布性;(2) 抗碰撞攻击;(3) 抗原像攻击。当王小云发现了md5不满足性质(2)之后,理论上md5算法就被攻破——md
RSA2017:保护越来越不安全的世界
weixin_33834679的博客
07-03 141
又是一年,又是数不尽的安全事故以及日益增长的威胁让IT安全世界处于悬崖边缘的一年。 在即将举行的RSA大会上,我们将会看到主题演讲、会议和研讨会中探讨各种热门问题。和往年一样,这些主题将包括从大规模数据泄露事故及快速增长的威胁类别,到政治黑客以及新技术所带来的风险等。 RSA2017:保护越来越不安全的世界 在过去一年中,最热门的故事无疑是俄罗斯被指控入...
[INSHack2017]rsa16m
weixin_44110537的博客
07-27 500
题目给的c,n很大很大,同时给的e相比较小,所以很有可能me 还是比n小,于是可以直接尝试对c开e次方。 e=0x10001 with open('a.txt','r') as f: x=f.read() import gmpy2 c=eval(x) m=gmpy2.iroot(c,e)[0] import Crypto.Util.number print(Crypto.Util.number.long_to_bytes(m)) #b'INSA{(I)NSA_W0uld_bE_pr0uD}'
CTF密码学之RSA攻击算法
蚁景网安学院
11-24 5965
我们开始学习 RSA 的各种攻击算法及其数学原理。希望大家在学习的过程中更多的去关注攻击算法实现的原理,而不仅仅只在于 copy 攻击代码。
RSA 攻击
CODER的博客
04-28 1085
RSA中e也称为加密指数。由于e是可以随意选取的,选取小一点的e可以缩短加密时间,但是选取不当的话,就会造成安全问题。 e=3时的小明文攻击 介绍: 当e=3时,如果明文过小,导致明文的三次方仍然小于n,那么通过直接对密文三次开方,即可得到明文。 当e=3,暴力是个好方法 m^e=kn+c m=(kn+c)^1/e m是整数时跳出循环 #! /usr/bin/env p...
RSA进阶之低加密指数攻击
weixin_30908103的博客
10-28 5379
适用场景: n很大,4000多位,e很小,e=3 一般来说,e选取65537.但是在RSA加密的时候有可能会选用e=3(不要问为什么,因为选取e =3省时省力,并且他可能觉得n在4000多位是很安全的,). RSA加密是m的e次方模n等于c。 ①m^3<n,也就是说m^3=c。 ②m^3>n,即(m^3+in)mod n=c(爆破i,不知道i取什么值) 我们可以直接开三次方...
有界面RSA加密系统
07-11
然后,选取一个与φ(n)互质的整数e作为公钥指数,最后计算d使得e*d mod φ(n) = 1,d为私钥的指数。 2. 加密:发送方使用接收方的公钥(e,n)对明文进行加密,即C=M^e mod n,其中M是明文,C是密文。 3. 解密:接收...
DES/AES、SM4、RSA、SM2、SM3
weixin_33881050的博客
07-05 1226
现以分组密码算法(DES和SM4)、公钥密码算法(RSA和SM2)、摘要算法(SM3)为例,谈谈国际算法和国密算法的区别:一.分组密码算法——国际DES、国产SM4  分组密码就是将明文数据按固定长度进行分组,然后在同一密钥控制下逐组进行加密,从而将各个明文分组变换成一个等长的密文分组的密码。其中二进制明文分组的长度称为该分组密码的分组规模。  分组密码的实现原则如下:  (...
萌新学习RSA第三天(小明文攻击)
最新发布
2301_80284843的博客
03-05 1184
情况二:(明文m加密后大于n,但不是很大)如果加密后的 c 虽然大于 n 但是并不太大,由于pow (m,e) =kn+c,可以暴力枚举 k,然后开 e 次方,直到 e 次方可以开尽,解出了正确的 C 为止。情况一:(明文m加密后小于n)当e=3时,如果明文过小,导致明文的三次方仍然小于n,那么通过直接对密文三次开方,即可得到明文。在RSA中e也称为加密指数。由于e是可以随意选取的,选取小一点的e可以缩短加密时间,但是选取不当的话,就会造成安全问题。来自大佬Xeeny工坊。题型介绍(两种情况)
linux下从公钥指数(Exponent)和模数(Modulus)得到RSA公钥和pem公钥文件
03-25
linux下从公钥指数(Exponent)和模数(Modulus)得到RSA公钥和pem公钥文件,完整C代码,可直接编译验证。 在网上找了好久都没有合适的,自己做了一个完整的demo。
RSA:基于小加密指数的攻击方式与思维技巧
qq_73643549的博客
10-28 1216
最近,发现自己做题思路比较混乱。总的来说,就是在各种方法之间很难适配到对应的题目。所以,写下这篇博客来记录这些区别。特别说明的是,这篇文章更偏向于解题,而不是讲解原理。考虑到两个点,在写下这篇博客时本人其实也才学习了近1个月的密码学,数学知识严重匮乏,不敢乱教与解析原理。其次,备战省赛在即没有充分多的时间让我去了解学习深层次的原理。所以这里只能够给出使用条件,也就是应用层面上的区分。此外特别声明,该篇博客更多的偏向于个人学习使用,其次是帮助大家应用。再者也欢迎各位指出错误,与提出问题。
学习记录569@RSA指数攻击原理及其案例一
教练我想学编程
04-23 1727
先复习下RSA公钥体系 RSA公钥体系的基本运算是模下指数幂运算,其解密思想是寻求模下逆元素。 假设甲方拟建立自己的RSA公钥体系,甲首先选取两个大素数p和q,并计算n=p*q.然后选取正整数e,使1<e<n且gcd(e,Φ(n))=1,最后求出e在模Φ(n)下的逆元素d,即ed ≡ 1 (mod Φ(n))。甲将(e,n)公开作为公钥,将d,p,q和(n)保密并用(d,n)作为私钥。 假设乙方需要将明文M用甲方的RSA公钥体系加密送给甲方,其中M是小于n的正整数。RSA加密算法如下: C =
简述RSA加密算法
jiamisoft的博客
06-01 1353
之前的文章中我们聊了聊AES加密算法,今天我们来聊聊另一种历史悠久且应用广泛的算法——RSA。它是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)共同提出的一种加密算法,RSA就是他们三人姓氏开头字母拼在一起组成的。
CTF_RSA_低加密指数攻击脚本
fengerxi33的博客
03-08 7052
P09.低加密指数攻击 加密指数指的是e,e一般选取65535,当e很小,可直接破解。 这类攻击在CTF题中,一般是 e=3 如果e=3,且m^e<n,c开3次根式,得到m。 如果e=3,且m^e>n,那么设k,有: c= m^e +kn 爆破k,如果c−kn能开三次根式,得到m. 出题脚本 随机生成flag import random import hashlib import string #字符串列表 a=string.printable #随机生成flag for i in
安全安全001:openssl生成非对称加密RSA公钥密钥命令
杨友山
05-18 916
非对称加密就不做详细解释了,它的过程简单来说呢,就是A与B通讯,A公布了一个公开密钥,而且A手里还有一个私有的钥匙,叫密钥。B使用A给的公钥将内容进行加密,然后传递给A。A拿到加密后的内容后,用私钥解密,得到了原文。今天我们就来看如何生成公钥和密钥,我们使用的是openSSL工具,下载地址如下:https://download.csdn.net/download/yysyangyangyangsh...
安全安全002:C#实现RSA算法加密解密
杨友山
05-22 6354
通过前面的文章我们学会了如何生成公钥和私钥,详见这篇文章:https://blog.csdn.net/yysyangyangyangshan/article/details/80368397。那么,我们来看在C#中如何实现RSA加密解密。直接上代码,如下类是RSA算法实现的加密,加解密,签名以及签名的验证。 /// &lt;summary&gt; /// 类名:RSACrypt ...
CTF中RSA常用攻击方法真题及脚本汇总
热门推荐
test
10-08 1万+
前言 具体的思路在上一篇博文中,这一篇主要整理题型和相应脚本。思路上一篇博文地址 代码不精,部分参考其他道友的代码。慢慢更新。 可能会遇见的问题 如果缺少某些模块,例如gmpy2,请自行百度或者goolge下载办法。linux可以参考这篇博文 。 代码中的gmpy模块的gmpy.root与gmpy2.iroot基本可以互换。 部分代码只能在python2.x环境中运行,因为某些模块没有相应的py...
CTF中RSA常见解题思路
weixin_52777165的博客
02-02 3149
1、 直接分解模数N 直接分解模数N是最直接的攻击方法,也是最困难的方法。具体的解析同上RSA安全性分析。 如果n小于256bit,可以使用本地工具进行暴力分解,列入windows平台的RSATool,可以在数分钟之内完成256bit的n的分解。如果n大于768bit,可以尝试利用在线网站http://factordb.com,这一类在线网站的原理ishi存储了部分n分解成功的值 2、 对RSA的公共模数攻击 适用于:使用相同的模数N、不同的私钥,加密同一明文消息 基本原理:假如采用两个或者两个以上的公钥
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值