Movatterモバイル変換

[0]ホーム

לדלג לתוכן

RSA

עריכת הקישורים

מתוך ויקיפדיה, האנציקלופדיה החופשית

ערך זה עוסק בשיטת הצפנה. אם התכוונתם למשמעות אחרת, ראוRSA (פירושונים).

RSA היא מערכתהצפנת מפתח ציבורי דטרמיניסטית מעשית הראשונה שהומצאה והיא עדיין בשימוש נרחב במערכותאבטחת מידע מודרניות,תקשורת מחשבים ומסחר אלקטרוני. ב־RSA, כבכל מערכת מפתח ציבורי, מפתח ההצפנה אינו סודי והוא שונה ממפתח הפענוח שנשמר בסוד, על כן היא נקראתאסימטרית. האסימטריה ב־RSA נובעת מהקושי המעשי שבפירוק לגורמים של מספר פריק שהוא כפולה של שניראשוניים גדולים, שהיאבעיה פתוחה בתורת המספרים. השם RSA נובע מראשי התיבות של שמות המשפחה של הממציאים,רון ריבסט,עדי שמיר ולאונרד אדלמן, שפרסמו את האלגוריתם לראשונה ב־1977. ישנן עדויות שהאלגוריתם היה ידוע עוד קודם לכן לשירותי המודיעין שלארצות הברית והממלכה המאוחדת ונשמר בסוד מטעמים שלביטחון לאומי.

ב-RSA השולח משתמש במפתח ההצפנה הציבורי של הנמען כדי להצפין עבורו מסר כך שרק הנמען מסוגל לפענחו באמצעות המפתח הפרטי המתאים שברשותו. המפתח הציבורי כוללשלם $e {\displaystyle e}$ יחד עםהשלם הפריק $n {\displaystyle n}$ שהוא כפולה של שניראשוניים גדולים שווים באורכם בקירוב, הנקראמודולוס. הצפנה היאהעלאת המסר בחזקת $e {\displaystyle e}$ מודולו $n {\displaystyle n}$ ואילו פענוח נעשה על ידי הפעולה ההפוכה אותה הנמען מבצע על ידי העלאת הטקסט המוצפן בחזקתההופכי הכפלי של $e {\displaystyle e}$ שהוא המפתח הסודי $d {\displaystyle d}$ (שאותו אפשר לכתוב גם: $e^{-1}$ ) במילים אחרות פענוח שקול להוצאת שורש ממעלה $e {\displaystyle e}$ מודולו $n {\displaystyle n}$ .

בידיעת הגורמים הראשוניים חישוב המפתח הסודי $d {\displaystyle d}$ מתוך המפתח הציבורי $e {\displaystyle e}$ הוא מלאכה קלה, כפי שיתואר בהמשך ואילו ללא ידיעת הגורמים הראשוניים לא ידועה דרך יעילה לחישובו בזמן סביר. לכן "הקושי" נמדד במספר הפעולות האלמנטריות הנדרש כדי לפרק את המודולוס לגורמים. ההבדל בפקטור העבודה בין העלאה בחזקה מודולרית לבין חישוב שורש מודולרי שהן פעולות הופכיות, הוא המקור לפונקציה החד־כיוונית שבבסיס RSA. שבירת מערכת ההצפנה, דהיינו פענוח המידע ללא ידיעת הגורמים הראשוניים של $n {\displaystyle n}$ נקראבעיית RSA. היא נחשבת לבעיה קשה אם כי אין הוכחה שהיא קשה לפחות כפירוק לגורמים. אלגוריתם RSA נחשב איטי יחסית ועל כן אינו מתאים להצפנה ישירה של מידע בכמות גדולה. במקום זאת, במערכת הצפנה היברידית, RSA משמשלשיתוף והעברה של מפתח להצפנה סימטרית, אשר בתורו משמש להצפנת המידע עצמו עם אלגוריתם מועדף כמוAES.

RSA שאבה השראה מרעיון המפתח הציבורי שנהגה כשנה קודם לכן על ידיויטפילד דיפי ומרטין הלמן והוא האלגוריתם האסימטרי הראשון ששימש גם להצפנה וגם לחתימה דיגיטלית. RSA היה לפורץ דרך בתולדות ההצפנה המודרנית והמצאתו העלתה את בעיית פירוק לגורמים לחזית המחקר בתורת המספרים היישומית, שכן ביטחונו מסתמך על כך שלא ניתן לפתור בעיה זו בפרק זמן סביר. אלגוריתם RSA אינופוסט־קוונטי, כלומר עם המצאתמחשב קוונטי מעשי בקנה מידה גדול, צופן RSA לא יהיה בטוח יותר לשימוש משום שבעיית פירוק לגורמים תהיה קלה לפתרון באמצעותאלגוריתם שור.

היסטוריה

[עריכת קוד מקור |עריכה]

עדי שמיר בכנס בנושא המאגר הביומטרי, אפריל 2012

החיסרון העיקריבצפנים סימטריים הוא שהמפתח הסודי נדרש הן להצפנה והן לפענוח ולכן יש צורך להעבירו לידי השולח בדרך כלשהי ובכך לסכנו בחשיפה. ב־1976 פרסמוויטפילד דיפי ומרטין הלמן מאמר המתאר את התפיסה שלההצפנה האסימטרית, שבה הנמען מפרסם מפתח הצפנה פומבי בעזרתו מבוצעת הצפנת מסרים הנשלחים אליו, ואילו הפענוח מתבצע אך ורק באמצעות המפתח הפרטי שברשותו, שמעולם לא נחשף. כשנה לאחר מכן ב־1977,רונלד ריבסט,עדי שמיר ולאונרד אדלמן מ־MIT פרסמו לראשונה במגזיןסיינטיפיק אמריקן את RSA, שיישם לראשונה את המודל של דיפי והלמן באופן מעשי. אלגוריתם RSA זיכה את ממציאיו בפרס טיורינג לשנת2002.

זכויות יוצרים

[עריכת קוד מקור |עריכה]

RSA נרשם כפטנט בארצות הברית בשנת1983 ותוקפו פג בספטמבר2000. בדצמבר1997 פרסם מטה התקשורת של המודיעין הבריטי GCHQ מסמך בו נטען כי רעיון המפתח הפומבי היה ידוע להם כעשור לפני שהתפרסם. הם גילו לטענתם גם את RSA וגם אתדיפי־הלמן, אך שמרו את הדבר בסוד. גם ה־NSA טען שגילה את RSA הרבה לפני שנודע לציבור, אולם התגלית סווגה כסוד לאומי. המתמטיקאי הבריטיקליפורד קוקס שעבד בסוכנות הביון הבריטית, פרסם מסמך^[1] בו נטען כי ב־1973 המציא אלגוריתם הצפנה דומה ל־RSA. ייתכן שבקהיליית המודיעין המצאות אלו היו ידועות שנים רבות לפני שהציבור התוודע להן. בכל מקרה ספק אם לממצאים אלו הייתה תועלת מעשית כלשהי באותה עת.

הכנה

[עריכת קוד מקור |עריכה]

בגרסת RSA הבסיסית, תחילה להכנה:

בוחרים שנימספרים ראשוניים גדולים $\ p$ ו־ $\ q$
מחשבים את $\ n=pq$
מחשבים את $\ \phi (n)=(p-1)(q-1)$ . הפונקציה $\phi$ נקראתפונקציית אוילר המייצגת אתסדר החבורה.
בוחרים שלם $1<e<\phi (n)$ שהואזר ל־ $\phi (n)$ (בעבר היה נהוג לבחור e=3, אך התגלו בופרצות אבטחה. היום נהוג לבחור e=65537)
מחשבים $\ d$ המקיים את הקונגרואנציה: $de\equiv 1\ ({\mbox{mod }}\phi (n))$ . כלומר מקיים את: $de\ {mod}\ \phi (n)=1$ .

פירוט הפרמטרים

[עריכת קוד מקור |עריכה]

$\ p$ ו־ $\ q$ בשלב 1 צריכים להיות ראשונייםגדולים כדי להקשות עלפירוק לגורמים ואקראיים כדי להקשות על ניחושם. האסטרטגיה המומלצת היא להגריל מספר אקראי אי־זוגי באורך הרצוי באמצעותמחולל פסאודו-אקראי ובדיקת ראשוניותו באמצעותאלגוריתם לבדיקת ראשוניות. אפשר להסתפק באלגוריתם הסתברותי כגוןמילר־רבין אם הפרמטרים נבחרו כראוי.משפט המספרים הראשוניים מבטיח שתוך מספר קטן יחסית של הגרלות (בערך כמספר הספרות של המספר), נתקלים בראשוני.
$n {\displaystyle n}$ נקראמודולוס. החישובים מתבצעים בחוג $\ \mathbb {Z} _{n}$ שבו מחושבת השארית של כל פעולה אריתמטית במספר n (ראוחשבון מודולרי). $n {\displaystyle n}$ משמש כמפתח פומבי ונדרש להצפנה ופענוח.
$e {\displaystyle e}$ הואמפתח פומבי המשמש להצפנה ויכול להיות כל שלם טבעי הנמוך מ־ $n {\displaystyle n}$ ובלבד שיהיה זר ל־ $\ \phi (n)$ כלומר שאין לו מחלק משותף עם $\phi (n)$ מלבד 1. מסמנים זאת: ${\mbox{gcd}}(\phi (n),e)=1$ (הפונקציה gcd מציינתמחלק משותף מרבי). זאת כדי להבטיח כי ההצפנה תהיהתמורה ייחודית (כלומר עבור כל מסר מוצפן $\ c$ יהיה מסר מפוענח יחיד $\ m$ המתאים לו). רצוי לבחור $\ e$ קטן ככל האפשר כדי להקל על תהליך ההצפנה.
$d {\displaystyle d}$ הואמפתח פרטי המשמש לפענוח וצריך להישמר בסוד. $d {\displaystyle d}$ הואהופכי כפלי מודולרי של $e {\displaystyle e}$ (מודולו $\phi (n)$ ) וניתן לסמנו: $e^{-1}$ . להכנת $\ d$ אפשר להיעזר באלגוריתם אוקלידס המורחב (להלן)
הראשוניים $p {\displaystyle p}$ ו־ $q {\displaystyle q}$ לא נחוצים לתהליך ההצפנה והפענוח על כן רצוי להשמידם.

פרמטרים מתקדמים

[עריכת קוד מקור |עריכה]

בתקןPKCS (גרסה 2), שונה מעט תהליך הכנת המפתחות. במקום לחשב את $\ \phi (n)=(p-1)(q-1)$ מחשבים את $\ \lambda (n)={\mbox{LCM}}(q-1,p-1)$ , שהוא האקספוננט שלחבורת אוילר $\ U_{n}$ (הפונקציה $\ {\mbox{LCM}}$ היא הכפולה המשותפת המינימלית). במקרה זה $\ d$ צריך לקיים את יחסהשקילות $\ ed\equiv 1\ ({\mbox{mod }}\lambda \left(n\right))$ .
תקן PKCS תומך בגרסה מתקדמת הנקראת RSA-CRT בה מנצלים אתמשפט השאריות הסיני כדי לחלק את מפתח הפענוח הסודי לשני מפתחות קטנים. מחשבים את $\ d_{P}$ כך שמתקיים $\ e\cdot d_{P}\equiv 1\ ({\mbox{mod }}(p-1))$ ו־ $\ d_{Q}$ כאשר $\ e\cdot d_{Q}\equiv 1\ ({\mbox{mod }}(q-1))$ ובאופן דומה מחשבים את מקדם CRT שהוא ההופכי הכפלי של $\ q$ מודולו $\ p$ המסומן בקיצור $\ q^{-1}$ . הראשוניים ומקדם ה־CRT נדרשים להצפנה ופענוח ועל כן יש לשומרם בסוד. כמו כן תהליך הפענוח שונה במעט (להלן).
התקן תומך גם בגרסת "Multi-prime" שבה מספר הגורמים הראשוניים של המודולוס $\ n$ גדול משניים. במקרה זה, עבור הראשוניים $\ r_{1},r_{2},...,r_{u}$ כאשר $\ u\geq 3$ מחשבים את המעריכים $\ d_{i}$ כך שמתקיים $\ e\cdot d_{i}\equiv 1\ ({\mbox{mod }}(r_{i}-1))$ וכן $\ t_{i}$ הנקראים מקדמי $\ {\mbox{CRT}}$ כך שמתקיים $\ R_{i}\cdot t_{i}\equiv 1\ ({\mbox{mod }}r_{i})$ כאשר $\ R_{i}$ הוא כפולה של כל הראשוניים למעט $\ r_{i}$ . בשיטה זו יש לשמור את כל השלישיות $\ r_{i},d_{i},t_{i}$ . וכן תהליך הפענוח שונה בהתאם (להלן).

הצפנה ופענוח

[עריכת קוד מקור |עריכה]

אליס משדרת לבוב את מפתחות ההצפנה ( $\ e,n$ ) ושומרת בסוד את המפתח $\ d$ . אם בוב מעוניין לשלוח את המסר $\ m$ לאליס תחילה עליו להפוך את $\ m$ לערך מספרי הנמוך מ־ $\ n$ בדרך מוסכמת כלשהי.

הצפנה

[עריכת קוד מקור |עריכה]

{\boldsymbol {c=m^{e}{\mbox{ mod }}n}}

להצפנה בוב פשוט מעלה את $m {\displaystyle m}$ בחזקת $e {\displaystyle e}$ ונוטל את השארית מחילוק ב־ $n {\displaystyle n}$ . את הטקסט המוצפן $c {\displaystyle c}$ הוא יוכל לשדר לאליס בערוץ פתוח ונגיש לכל.

פענוח

[עריכת קוד מקור |עריכה]

לפענוח אליס משחזרת את המסר $m {\displaystyle m}$ מתוך הטקסט המוצפן $c {\displaystyle c}$ בעזרת המפתח הסודי $d {\displaystyle d}$ בדרך זו:

\ {\boldsymbol {m=c^{d}{\mbox{ mod }}n}}

גרסאות מתקדמות

[עריכת קוד מקור |עריכה]

RSA-CRT

[עריכת קוד מקור |עריכה]

בגרסת CRT המופיעה בתקן, תהליך ההצפנה נותר זהה אך תהליך הפענוח שונה והוא מורכב משלושה שלבים:

משתמשים במפתחות הפענוח מתהליך ההכנה לעיל, כדי לחשב את $\ m_{1}=c^{d_{P}}{\mbox{ mod }}p$ וכן $\ m_{2}=c^{d_{Q}}{\mbox{ mod }}q$ .
מחשבים את $\ h=(m_{1}-m_{2})\cdot q^{-1}\ {\mbox{mod }}p$ כאשר $\ q^{-1}$ הואהופכי כפלי מודולרי של $\ q$ מודולו $\ p$
התוצאה תהיה $\ m=m_{2}+q\cdot h$

היות שפעולת העלאה בחזקה מודולרית היא הפעולה הארוכה והאיטית ביותר בכל התהליך. היתרון בשיטה זו כאמור שהיא נעשית מודולו $p {\displaystyle p}$ ו־ $q {\displaystyle q}$ כל אחד בנפרד. היות שהם קטנים מהמודולוס בחצי מושג שיפור בפקטור של 2 בקירוב.

RSA Multi-primes

[עריכת קוד מקור |עריכה]

בגרסת Multi-Prime שבה מספר הגורמים גדול משניים, שוב ההצפנה זהה לגרסה הבסיסית ואילו הפענוח מתבצע כדלהלן:

תחילה עבור הגורמים $\ r_{1},r_{2},...,r_{u}$ כאשר $\ u\geq 3$ מחשבים את $\ m_{i}=c^{d_{i}}{\mbox{ mod }}r_{i}$ כאשר $d_{i}$ הם מפתחות הפענוח שהוכנו קודם (פרמטרים מתקדמים לעיל).
מחשבים את $\ h=(m_{1}-m_{2})\cdot r_{2}^{-1}\ ({\mbox{mod }}r_{1})$ .
מחשבים את $\ m=m_{2}+r_{2}\cdot h$ .
מציבים $\ R=r_{1}$ ועבור $\ i=3$ עד $\ u$ מחשבים את:

יש לזכור שכל הפעולות מבוצעות מודולו $\ n$ .מכיוון שהפרמטרים ביישום מעשי בדרך כלל גדולים,חישוב חזקות בסדר גודל כזה נעשה בשיטות לחישובים מודולריים מרובי ספרות (ראוחשבון מודולרי).

השיטה הבסיסית המתוארת כאן אינה בטוחה לשימוש לפי מודל ביטחון מחמיר שנקרא עמידות נגדהתקפת מוצפן-נבחר לכן במרבית המקרים אין להשתמש בה כך. תחת זאת, התקן מפרט שיטות להכנה בטוחה של המסר להצפנה באופן כזה שההצפנה תהיה בטוחה ולא תדליף מידע שלא במתכוון (ראוריפוד). בנוסף, כדי למנוע התקפה אקטיבית על המערכת מצד גורם זדוני שיכול לשנות מסרים בדרכם, רצוי להבטיח אתשלמות המפתחות ושייכותם לבעליהם. מקובל לרשום את המפתח הציבורי אצלצד שלישי מהימן כמו רשות אישורים (ראומפתח פומבי).

בסיס מתמטי

[עריכת קוד מקור |עריכה]

ערך מורחב –בעיית RSA

ביטחון שיטת RSA מתבסס עלבעיית RSA כדלקמן; נתון שלם חיובי $p q {\displaystyle pq}$ , מכפלת שני ראשוניים שונים שווים בגודלם בקירוב, נתון שלם חיובי $e {\displaystyle e}$ הנמוך מ־ $p q {\displaystyle pq}$ המקיים $\ {\mbox{gcd}}((p-1)(q-1),e)=1$ (פירושו ש־ $e {\displaystyle e}$ זר ל־ $(p-1)(q-1)$ ) ונתון שלם $c {\displaystyle c}$ כלשהו. מצא את $m {\displaystyle m}$ המקיים את המשוואה: $m^{e}\equiv c\ ({\mbox{mod }}pq)$ . במילים אחרות הבעיה היא מציאת שורש ממעלה $e {\displaystyle e}$ של $c {\displaystyle c}$ (מודולו $p q {\displaystyle pq}$ ).

הרעיון מאחורי אלגוריתם הפענוח של RSA מבוסס עלמשפט אוילר הקובע: עבור כל $\ a$ ו־ $n {\displaystyle n}$ טבעיים הזרים זה לזה (שאין להם מחלק משותף מלבד 1) מתקיים: $a^{\phi (n)}\equiv 1\ ({\mbox{mod }}n)$ . הפונקציה $\phi (n)$ נקראתפונקציית אוילר ומייצגת את מספר הטבעיים הזרים ל־ $n {\displaystyle n}$ וקטנים ממנו. אם מכפילים את שני אגפי השקילות האמורה ב־ $a {\displaystyle a}$ מתקבל: $a^{\phi (n)+1}\equiv a^{\phi (n)}\cdot a\equiv a\ ({\mbox{mod }}n)$ .

הוכחת נכונות

[עריכת קוד מקור |עריכה]

לפי האלגוריתם מפתח הפענוח $\ d$ מקיים את השקילות $\ ed\equiv 1\ ({\mbox{mod }}\phi )$ ,

כלומר $ed-1$ הוא כפולה כלשהי של $\phi$ שהוא בעצם $(p-1)(q-1)$ , בניסוח אחר קיים שלם $\ k$ המקיים $\ ed=1+k(p-1)(q-1)$ לכן $c^{d}$ הוא פתרון של המשוואה $m^{e}\equiv c{\text{ (mod }}pq)$ כי עבור כל שלם $c {\displaystyle c}$ הנמוך מ־ $p q {\displaystyle pq}$ מתקיים:

(c^{d})^{e}\equiv c^{de}{\text{ (mod }}pq)

\equiv c^{1+k(p-1)(q-1)}{\text{ (mod }}pq)

\equiv c\cdot (c^{(p-1)(q-1)})^{k}{\text{ (mod }}pq)

\equiv c\cdot 1^{k}{\text{ (mod }}pq)

\equiv c{\text{ (mod }}pq)

לפיחוקי החזקות,

היות שמתקיים

de=1+k(p-1)(q-1)

חוקי החזקות שוב,

נובע ממשפט אוילר

‎

והפתרון הוא יחיד כיוון שאם קיים פתרון אחר נניח $u {\displaystyle u}$ שגם הוא פתרון של $c\equiv m^{e}$ אז:

u\ \equiv u^{de-k(p-1)(q-1)}{\text{ (mod }}pq)

\equiv (u^{e})^{d}\cdot (u^{(p-1)(q-1)})^{-k}{\text{ (mod }}pq)

\equiv (u^{e})^{d}\cdot 1^{-k}{\text{ (mod }}pq)

\equiv c^{d}{\text{ (mod }}pq)

היות ש־

de=1+k(p-1)(q-1)

לפי חוקי החזקות

לפי משפט אוילר

היות ש־

u {\displaystyle u}

הוא פתרון של

m^{e}\equiv c{\text{ (mod }}pq)

דוגמה במספרים קטנים

[עריכת קוד מקור |עריכה]

נניח שאליס בוחרת את הראשוניים

$p=5581,q=8059$ ומחשבת את: $n=5581\cdot 8059=44977279$

ואת פונקציית אוילר: $\phi ={\mbox{lcm}}(5580,8058)=7493940$

וכן בוחרת את $e=257$ , שימו לב שמתקיים $\ {\mbox{gcd}}(7493940,257)=1$ כנדרש.

בעזרתאלגוריתם אוקלידס המורחב מתקבל

$(291593\cdot 257)\equiv 1\ ({\mbox{mod }}7493940)$

לכן $d=291593$ יהיה מפתח הפענוח המתאים. אליס שולחת את

$\ 44977279$ ואת $\ 257$ לבוב ושומרת בסוד את $291593$ .

אם בוב מעוניין להצפין את המסר $\ m=123456$ עבור אליס הוא מחשב את:

c=123456^{257}{\mbox{ mod }}44977279=10526715

ושולח את

\ c

לאליס.

כשאליס מקבלת את $\ c$ היא משחזרת את $\ m$ בעזרת המפתח הסודי:

m=10526715^{291593}{\mbox{ mod }}44977279=123456

בגרסת CRT מחשבים תחילה את מפתחות הפענוח $d_{P}=1433$ כי מתקיים $1433\cdot 257\equiv 1\ ({\mbox{mod }}5580)$ באופן דומה מוצאים את $d_{Q}=1505$ .

ואז לפענוח מחשבים את $m_{1}=10526715^{1433}{\mbox{ mod }}5581=674$ וכן $m_{2}=10526715^{1505}{\mbox{ mod }}8059=2571$

מחשבים את ההופכי הכפלי של $q {\displaystyle q}$ מודולו $p {\displaystyle p}$ שהוא $q^{-1}=1268$ ואז $h=3684\cdot 1268\ ({\mbox{mod }}5581)=15$ . שימו לב שהיות ש־ $m_{1}-m_{2}=-1897$ הוא מספר שלילי לכן לפי הכלל בחשבון מודולרי (מודולו $p {\displaystyle p}$ במקרה זה) הוא שקול למעשה ל־ $p-1897=3684$ .

מה שנותר הוא לחשב את $m=15\cdot 8059+2571$ .

הדוגמה היא להמחשה בלבד, בפועל חובה על הראשוניים $\ p$ ו־ $\ q$ להיות הרבה יותר גדולים מהדוגמה המובאת כאן. זאת כדי למנוע ניסיון לתקוף את האלגוריתם על ידי פירוק $n {\displaystyle n}$ לגורמים באמצעות אלגוריתם פירוק לגורמים ידוע (ראופירוק לגורמים) ואז לחשב את מפתח הפענוח $d {\displaystyle d}$ באותה דרך שבה מחשב אותו המקבל.

חתימה דיגיטלית

[עריכת קוד מקור |עריכה]

אלגוריתם RSA יכול לשמש גם כחתימה דיגיטלית. כיוון שפונקציית ההצפנה היאהתאמה על המפתחות יכולים להחליף תפקידים והחתימה מתבצעת על ידי היפוך סדר ההצפנה והפענוח לעיל. כדי לחתום על המסר אליס מצפינה אותו באמצעות המפתח הסודי שלה ושולחת את התוצאה לבוב, כדי לאמת את החתימה בוב מפענח את המסר באמצעות המפתח הפומבי (של אליס). אולם אין לחתום על מסמך בשיטת RSA בצורה ישירה אלא יש צורך תחילה לקודד את המסר באמצעות פונקצייתיתירות כלשהי אופונקציית גיבוב לפני החתימה ואת החתימה לבצע על תוצאת הפונקציה במקום על המסר עצמו כדלהלן:

אם אליס מעוניינת לשלוח את המסר $m {\displaystyle m}$ כשהוא חתום על ידה לבוב, היא מבצעת:

\ {\bar {m}}=R(m)

\ s={\bar {m}}^{d}{\mbox{ mod }}n

(בדיוק כמו בתהליך הפענוח לעיל).

כאשר $\ R$ היא פונקציית היתירות האמורה והחתימה היא $\ s$ . שימו לב אף על פי שהמטרה בחתימה הדיגיטלית אינה סודיות, כיוון שאליס בעצם הצפינה את המסר היא לא צריכה לשלוח אותו כיוון שבוב מסוגל לשחזרו מתוך החתימה. על כן השיטה המתוארת אפשרית רק כשהמסר קצר (קטן מהמודולוס), כדי לחתום על מסר גדול יותר, נוקטים בשיטה אחרת, תחילה משתמשים בפונקציית גיבוב על המסר ואת החתימה מבצעים על תוצאת פונקציית הגיבוב במקום על המסר עצמו. במקרה זה אליס תצטרך לשלוח גם את המסר עצמו בנפרד.

לאימות החתימה, בוב מחשב את:

\ {\bar {m}}=s^{e}{\mbox{ mod }}n

(בדיוק כמו תהליך ההצפנה לעיל)

m=R^{-1}({\bar {m}})

בוב משיג עותק אותנטי של מפתח האימות של אליס (המקביל למפתח ההצפנה $\ e$ ) באמצעותו מפענח את $\ {\bar {m}}$ ובהפעלת הפונקציה ההופכית $\ R^{-1}$ משחזר את המסר המקורי. בוב יכול להיות משוכנע כי רק אליס שהיא בעלת המפתח הפרטי המתאים, יכולה הייתה להיות המקור למסר ובמיוחד שלא שונה על ידי גורם כלשהו במהלך המשלוח.

פונקציית היתירות הכרחית כיוון שללא השימוש בה יהיה קל למצוא מסר אחר שעבורו החתימה של אליס תהיה תקפה ללא ידיעת המפתח הפרטי שלה. זאת בשלהכיפליות של RSA. כדי לראות מדוע נניח כי $R(m)=m$ (פונקציית הזהות), אם אליס חתמה על שני מסמכים שונים $\ m_{1}$ ו־ $\ m_{2}$ אזי כפולה של החתימות: $\ s_{1}=m_{1}^{d}{\mbox{ mod }}n$ ו־ $\ s_{2}=m_{2}^{d}{\mbox{ mod }}n$ על המסרים הנ"ל תהיה חתימה תקפה עבור המסר $\ m=m_{1}m_{2}$ . פונקציית היתירות מבטלת את האסוציאטיביות של החתימות ועל כן מונעת בעיה זו.

גרסאות מתקדמות

[עריכת קוד מקור |עריכה]

החסרון העיקרי בגרסה הבסיסית הוא בגודל מפתח הפענוח שחייב להיות מטעמי ביטחון קרוב לגודלו של $n {\displaystyle n}$ . היות שאלגוריתם RSA מערבהעלאה בחזקה מודולרית, זמן ההצפנה והפענוח תלויים ישירות במספר סיביות המפתחות. מאז המצאת RSA נעשו מספר ניסיונות לצימצום גודל המפתחות ולשפר בכך את יעילות האלגוריתם. הדרך הפופולרית ביותר היא ניצולמשפט השאריות הסיני (CRT). הרעיון הוא לפצל את מפתח הפענוח למספר מפתחות קטנים, חישוב העלאה בחזקה עם כל אחד מהם בנפרד ואז שילוב התוצאות בעזרת אלגוריתם CRT מתוך מערכת השקילויות שנוצרת. חישוב CRT זניח יחסית לפעולת העלאה בחזקה מודולרית, על כן שיטה זו משפרת משמעותית את תהליך הפענוח. משפט השאריות הסיני מאפשר פענוח מהיר יותר במיוחד בפלטפורמה מרובת מעבדים, בה ניתן לחשב העלאה בחזקה מודולרית באופן מקבילי.

RSA-CRT^[2]‎: ב־1982 פותחה גרסת RSA-CRT בה תהליך הכנת המפתחות והפענוח דורשים מספר התאמות: מחשבים שני מפתחות פענוח $\ d_{p}$ ו־ $\ d_{q}$ באופן שמתקיים $\ e\cdot d_{p}\equiv 1\ ({\mbox{mod }}(p-1))$ וכן $\ e\cdot d_{q}\equiv 1\ ({\mbox{mod }}(q-1))$ . לפענוח תחילה מחשבים את $\ m_{1}=c^{d_{p}}{\mbox{ mod }}p$ ואת $\ m_{2}=c^{d_{q}}{\mbox{ mod }}q$ . נעזרים באלגוריתם של הרווי גארנר לחישוב CRT, כדי לחלץ את $\ m$ מתוך מערכת השקילויות כך: $\ h=(m_{1}-m_{2})\cdot q^{-1}{\mbox{ mod }}p$ (כאשר $\ q^{-1}$ הוא הופכי כפלי של $\ q$ מודולו $\ p$ ). המסר $\ m$ יהיה $\ m_{2}+q\cdot h$ . כיוון שהמפתחות $\ d_{p}$ ו־ $\ d_{q}$ קטנים בחצי מהמודולוס זמן הפענוח מתקצר בפקטור של 2 כמעט, זאת מבלי לאבד מביטחון האלגוריתם.

Batch RSA^[3]‎

גרסת RSA שלעמוס פיאט שבה, אם המפתח הפומבי קטן מאוד, ניתן לפענח מספר מסרים שהוצפנו תחת אותו מודולוס בבת אחת. רעיון זה שימושי במערכות דוגמת שרתSSL המבצע פעולותHandshake בתדירות גבוהה. במקרה כזה ניתן לשנות את ארכיטקטורת השרת כך שימתין לקבלת מספר בקשות פענוח ואז יפענח את כל המסרים במחיר של פעולת פענוח אחת, בתנאי שהמודולוס זהה ומפתחות ההצפנה קטנים (ושונים). שיטה זו משפרת את יעילות אלגוריתם RSA בפקטור של כמעט 3.5 אם מבצעים שמונה פענוחים בבת אחת. כדי להסביר כיצד זה פועל, ידוע שבעיית RSA היא מציאת שורש ממעלה כלשהי מודולו שלם פריק

\ N

. כלומר:

\ M^{d}\ ({\mbox{mod }}N)=M^{1/e}\ ({\mbox{mod }}N)

בתהליכי הפענוח והכנת החתימה המתוארים לעיל, יש צורך להעלות את

\ M

בחזקת

\ d

כלומר לחשב את

\ M^{1/e}

. אם למשל

\ e_{1}=3,e_{2}=5

, ונתונים

\ M_{1},M_{2}

שעבורם צריך לחשב את

\ m_{1}^{1/3}

ואת

\ M_{2}^{1/5}

, אפשר לחשב תחילה את:

\ M=M_{1}^{5}\cdot M_{2}^{3}\ ({\mbox{mod }}N)

ואת,

\ I=M^{1/15}\ ({\mbox{mod }}N)

ואז לפתור את המשוואות הנ"ל כדלהלן:

\ {\frac {I^{6}}{M_{1}^{2}\cdot M_{2}}}=M_{2}^{1/5}\ ({\mbox{mod }}N)

\ {\frac {I}{M_{2}^{1/5}}}=M_{1}^{1/3}\ ({\mbox{mod }}N)

יוצא שרק בחישוב

\ I=M^{1/15}

נדרשת העלאה בחזקה מודולרית מלאה, בנוסף למספר קבוע קטן של פעולות כפל וחילוק מודולריים. החסכון הוא ששתי העלאות בחזקה מודולו

\ N

בוצעו כמעט במחיר של העלאה בחזקה מודולרית אחת. הטריק המתואר מסתמך על העובדה שהמעריכים זרים זה לזה. אפשר להוסיף שיפורים לשיטה זו כמו CRT האמור. החסרון העיקרי הוא בצורך במפתחות הצפנה קטנים מאוד. כאשר מפתח הצפנה גדול, Batch RSA לא תהיה יעילה בשל התקורה הרבה הנוספת.

Multi-prime RSA: גרסה זו מבוססת על שינוי מבנה המודולוס. מיישמים את RSA עם מודולוס במבנה $\ n=pqr$ או $\ n=r_{1}\cdot r_{2}\cdots r_{u}$ כאשר $\ u\geq 3$ . מכינים מפתחות פענוח מתאימים כמספר הגורמים, מפענחים עם כל מפתח במפרד ואז מחשבים את מערכת הקונגרואנציות באמצעות אלגוריתם CRT. במקרה של שלושה גורמים, אם המודולוס בגודל 2048 סיביות, כל גורם ראשוני יהיה בערך בגודל 683 סיביות. חישוב חזקה מודולרית בסדר גודל כזה מהיר במידה ניכרת מאשר חישוב החזקה עם המודלוס עצמו. משיקולי ביטחון במקרה שהמודולוס בגודל 1024 סיביות מספר הגורמים המקסימלי יכול להיות 3. RSA multi-prime מהירה יותר מהגרסה הבסיסית בפקטור של 2 בקירוב. תקן PKCS #1 תומך בגרסה זו.

Multi-power RSA: בגרסה זו המודולוס הוא מהצורה: $\ N=p^{b-1}q$ כאשר $\ p$ ו־ $\ q$ הם בגודל $\ n/b$ סיביות (n הוא מספר סיביות המודולוס). במקרה של 1024 סיביות משיקולי ביטחון, לכל היותר $\ b=3$ . בפענוח משתמשים בשיטתלמת הנזל (Hensel lifting) שהיא יעילה יותר מהעלאה בחזקה מודולרית רגילה. בשיפורים קלים multi-power יעילה יותר מהשיטה הבסיסית בפקטור של 2.3 לפחות.

Rebalanced RSA: הרעיון בשיטה זו הוא לפתור את חוסר האיזון הקיים בגרסה הבסיסית של RSA בין גודל מפתח ההצפנה לבין גודל מפתח הפענוח. משיקולי יעילות מפתח ההצפנה בדרך כלל קטן משמעותית. עובדה שלא תמיד רצויה היות שעלול להיווצר עומס יתר בצד המפענח לעומת הצד המצפין. במיוחד הדבר חשוב במכשיר נייד שאמור לייצר חתימת RSA שלאחר מכן תאומת על ידי שרת מהיר. כאן דווקא תהליך יצירת החתימה (המקביל לפענוח) צריך להיות קל יותר כיוון שנעשה בסביבה מוגבלת במשאבים. גרסת Rebalanced RSA דומה ל־RSA-CRT המתוארת לעיל, מלבד זאת שבגרסה זו מקזזים מגודל מפתח הפענוח על חשבון מפתח ההצפנה. השוני הוא בעיקר באלגוריתם הכנת המפתחות. אם השיטה מיושמת נכון ניתן להגיע למפתחות פענוח בסדר גודל של 160 סיביות כל אחד (במקרה של מודולוס בגודל 1024 סיביות). התקורה הנוספת מתהליך הכנת המפתחות וכן חישוב CRT בשלב הסופי של הפענוח נמוכה ביותר. חסרונה של השיטה הוא בעיקר בעובדה שהמפתח הפומבי גדול יותר, עקב כך לא בכל המערכות ניתן לישמה. יש מערכות המגבילות את גודל מפתח ההצפנה משיקולי יעילות. שיטה זו יעילה יותר מהגרסה הבסיסית של RSA בפקטור של 3 לפחות.

Unbalanced RSA: הצעה שלעדי שמיר שבה הגורמים הראשוניים אינם שווים בגודלם (מכאן השם). הרעיון הוא שכדי להקשות על שבירת RSA בדרך של פירוק לגורמים רצוי שהמודולוס יהיה גדול ככל האפשר, אולם זה פוגע ביעילות השיטה במיוחד בסביבה מוגבלת במשאבים. אולם אם $\ p$ קטן, נניח 1000 סיביות ו־ $\ q$ גדול פי חמישה, אזי משיגים שיפור בביטחון השיטה ועדיין תהליכי ההצפנה והפענוח נותרים באותה רמתסיבוכיות (בתנאי שהמסר קטן מ־ $\ p$ ). זאת כיוון שיעילות אלגוריתמים המנצלים קיומם של גורמים קטנים אינה גבוהה והאלגוריתמים הכלליים פחות יעילים כאשר המודולוס גדול. בשיטה זו ההצפנה זהה, כל עוד המעריך $\ e$ גדול מספיק כדי ש־ $\ m^{e}$ מספיק גדול. לפענוח מנצלים את CRT כדי לחשב את: $\ c^{d}\ {\mbox{mod }}n$ כך: תחילה מצמצמים $\ d'\equiv d\ {\mbox{mod }}\phi (p)$ ואת $\ r\equiv c\ {\mbox{mod }}p$ ואז מחשבים את $\ m=r^{d'}\ {\mbox{mod }}p$ . אך יש להיזהר מפניהתקפת מוצפן־נבחר שבה התוקף מצליח לחלץ מידע מסוים לגבי סיביות המפתח, כאשר מנסים לפענח את $\ m>p$ התוצאה תהיה $\ {\tilde {m}}\neq m$ במקרה זה מתקבלת הודעת שגיאה מהמערכת. באמצעות חישוב CRT וחיפוש בינארי ניתן למקד את החיפוש עד כדי חשיפת המפתח כולו במספר קטן של ניסיונות.

סוגיית ביטחון גרסאות אילו היא שאלה פתוחה. לא ברור לגמרי האם טכניקות אילו מחלישות או מחזקות את ביטחון אלגוריתם RSA. אם כי לא ידוע על דרכים יעילות לשבירת האלגוריתם בשל שינויים אילו. ראו המאמר שלדן בונה וחובב שחם Fast Variants of RSA^[4] שפורסם במגזין Cryptobytes שלRSA, קיץ 2002.

ריפוד

[עריכת קוד מקור |עריכה]

ערך מורחב –ריפוד אופטימלי להצפנה אסימטרית

הצפנת RSA מכונהדטרמיניסטית משום שהאלגוריתם אינו מערב שימוש במספרים אקראיים בניגוד לשיטות הצפנה הסתברותיות (כמואל־גמאל). משמעות הדבר היא שבהצפנת אותו מסר פעמים נוספות (עם מפתח הצפנה זהה) תתקבל תמיד תוצאה זהה. הצפנה דטרמיניסטית פגיעה מעצם טבעה להתקפת מוצפן־נבחר, בה מניחים שהתוקף מסוגל לבחור טקסטים אותם הוא מעוניין להצפין ולנתח את תוצאת הצפנתם, אך אין לו גישה למפתח הפענוח עצמו. כתוצאה מכך, ייתכן מצב שהתוקף יוכל לנחש או לחשוף מידע חלקי או מלא אודות הצופן. כמו כן ישנם מקרי קצה שבהם המסר המיועד להצפנה עלול להוות נקודת תורפה כגון אם הוא קטן מאוד או בעל מבנה ייחודי. במקרה כזה הטקסט נקרא "חלש" כי הוא מסכן את ביטחון ההצפנה. למשל:

כאשר $m=1$ או $m=0$ או $m=n-1$ תוצאת ההצפנה תהיה תמיד $m {\displaystyle m}$ עצמו.
כאשר מצפינים עם מעריך קטן כגון $e=3$ ערכים קטנים של $m {\displaystyle m}$ עלולים להניב תוצאות קטנות הנמוכות מהמודולוס מה שמאפשר חישוב שורש ממעלה שלישית ללא תלות במודולוס.

סכימה של אלגוריתם OAEP של בלייר ורוגווי לריפוד בטוח של מסר המיועד להצפנה בשיטת RSA. האלגוריתם מקבל כקלט את: 1) המסר 2) גרעין התחלתיאקראי (בטוח) לצורך פונקציית המיסוך 3) ערך אופציונלי $L {\displaystyle L}$ המשמש כקלט לפונקציית הגיבוב שהפלט שלה משורשר לגוש המידע (ערך ברירת המחדל של $L {\displaystyle L}$ הוא מחרוזת אפסים). הסימן $\oplus$ מייצג XOR והפונקציה MGF היא קיצור של Mask Generation Function והיא בעיקרון פלט חלקי שלפונקציית גיבוב כמוSHA-2. השיטה מפורטת בתקן PKCS#1 v2.2.

סכימה של אלגוריתם OAEP של בלייר ורוגווי לריפוד בטוח של מסר המיועד להצפנה בשיטת RSA. האלגוריתם מקבל כקלט את: 1) המסר 2) גרעין התחלתיאקראי (בטוח) לצורך פונקציית המיסוך 3) ערך אופציונלי $L {\displaystyle L}$ המשמש כקלט לפונקציית הגיבוב שהפלט שלה משורשר לגוש המידע (ערך ברירת המחדל של $L {\displaystyle L}$ הוא מחרוזת אפסים). הסימן $\oplus$ מייצג XOR והפונקציה MGF היא קיצור של Mask Generation Function והיא בעיקרון פלט חלקי שלפונקציית גיבוב כמוSHA-2. השיטה מפורטת בתקן PKCS#1 v2.2.

כשהמסר קטן ניתן לתקוף את ההצפנה בהתקפת מוצפן־נבחר, שבה התוקף מצפין מראש את כל האפשרויות של $m {\displaystyle m}$ ואז בחיפוש קל ימצא את $c {\displaystyle c}$ המתאים ובכך יפענח את הטקסט המוצפן מבלי לתקוף את השיטה עצמה.

כדי להימנע ממסר חלש וכדי לסכל התקפת טקסט מוצפן נבחר שמנצלת חולשה זו, מקובל לרפד את המסר באמצעות אלגוריתם ריפוד מוסכם לפני ההצפנה. שיטת הריפוד עצמה לא חייבת להיות סודית. אפשרלשרשר מחרוזת אקראית למסר לפני ההצפנה כך שמבנהו המקורי מיטשטש ובזמן הפענוח פשוט מסירים את המחרוזת האקראית. תקן PKCS #1 יישם שיטת ריפוד פשוטה כזו. לפני ההצפנה המסר רופד באפסים ובמספר אקראי באורך מוגדר כלשהו. ב־1998 הראהדניאל בלייכבכר ממעבדות בל ששיטת ריפוד כזו אינה בטוחה כלל ואפשר לפרוץ אותה בקלות. ב־1995 ניסחומיהיר בלייר ופיליפ רוגווי את רעיוןמודל אורקל אקראי^[5] והראו שבאמצעותו אפשר ליישם כל שיטת הצפנה אסימטרית (דטרמיניסטית) באופן שתהיה בעלתביטחון סמנטי. על בסיס רעיון זה פותח אלגוריתםOAEP המשתמש במחולל מספרים אקראיים בטוח ופונקציית גיבוב קריפטוגרפית בשילוב עם RSA להצפנה בטוחה. ב־1998 תקן הצפנת מפתח־פומבי PKCS #1 תוקן ואלגוריתם OAEP שולב בתקן כשיטת הריפוד התקנית להצפנת מפתח פומבי הנקראת RSA-OAEP (ראו תרשים).

אלגוריתמים

[עריכת קוד מקור |עריכה]

כדי ליישם את RSA במחשב אין די בדרך הרגילה באמצעותיחידת החישוב במעבד, כיוון שאורך מקסימלי של מספר שניתן לעיבוד בדרך קונבנציונלית אינו עולה על גודלו של האוגר הגדול ביותר. ככל שהמחשבים השתפרו, הצורך באריתמטיקה מודולרית במספרים גדולים בהרבה רק הלך וגדל. משום כך הפתרון הוא אריתמטיקה מרובת ספרות (Multi-precision), כלומר חישוב ספרה אחר ספרה בנפרד כאשר כל ספרה תופסת קרוב לאוגר שלם. בדרך זו החישוב יותר איטי, אך אורך המספרים אינו מוגבל (בגבולות הזיכרון הזמין במחשב). קיימות ספריות לחישובים אריתמטיים מרובי ספרות לשפות התכנות הנפוצות כמו FreeLIP לשפת C שלארג'ן לנסטרה, שסייעה באתגר הראשון כנגד RSA, פירוק RSA-129 ב־1994 או המחלקה BigInteger שלJava.

מרכיב חשוב בהכנת RSA הוא יצירת מפתח הפענוח $\ d$ שנקרא הופכי כפלי מודולרי של $\ e$ (מודולו $\ n$ ). כדי למצוא מספר כזה צריך לפתור את משוואת אוקלידס $\ de+k\phi (n)=1$ עבור שלם $\ k$ כלשהו. אפשר לבצע זאת באמצעותאלגוריתם אוקלידס המורחב. להלן הגרסה הבסיסית:

MultiplicativeInverse(a,b){y1=1,y2=0;While(b>0){q=a/b;y=y2–(q*y1);r=a%b;a=b,b=r;y2=y1,y1=y;}returny2;}

הצפנה ופענוח דורשים פעולות העלאה בחזקה עם מעריך גדול. הדרך הנאיבית לחישוב חזקה אינה יעילה במקרה זה. קיימים מספר אלגוריתמים לחישוב חזקות גדולות באריתמטיקה מודולרית. להלן תיאור שיטה רקורסיבית בסיסית שנקראת Square and Multiply או "העלאה בחזקה משמאל לימין". הרעיון הוא שאפשר לחשב את $\ a^{k}\ {\mbox{mod}}\ n$ באמצעות סדרת הריבועים $\ a,a^{2},a^{4},a^{8},...$ עד $\ a^{k}$ , אפשר להכין סדרה כזו באופן רקורסיבי על ידי העלאות חוזרות בריבוע: $a_{i}=a_{i-1}^{2}{\text{ mod }}n$ . לפי חוקי האריתמטיקה מודולו $n {\displaystyle n}$ אפשר לבצע את הצמצום המודולרי לאחר כל העלאה בריבוע במקום לבצע את הצמצום בסוף ובכך להימנע מהתנפחות התוצאה. לפיחוקי החזקות אפשר לקבל את $a^{k}$ כמכפלה של ערכים מתוך הסדרה האמורה, אותם אפשר לקבל על ידי הייצוג הבינארי של המעריך, דהיינו כאשר הסיבית הנוכחית היא אחד יש לכלול את האיבר המתאים במכפלה. הטבלה הבאה מדגימה את $245^{3125}{\mbox{ mod }}10237$ . הפרמטר $k {\displaystyle k}$ בטבלה מכיל את הייצוג הבינארי של המעריך: $\{1,1,0,0,0,0,1,1,0,1,0,1\}_{2}$ כאשר הסיבית הימנית היא הסיבית הכי פחות משמעותית והסיבית השמאלית היא הסיבית המשמעותית ביותר. התוצאה תהיה מכפלת ערכי $a {\displaystyle a}$ בעמודות בהן $k_{i}=1$ כלומר

245^{3125}\equiv (a_{1}\cdot a_{3}\cdot a_{5}\cdot a_{6}\cdot a_{11}\cdot a_{12}){\mbox{ mod }}10237\equiv (245\cdot 6579\cdot 8608\cdot 2258\cdot 9942\cdot 5129){\text{ mod }}10237\equiv 9737

$i {\displaystyle i}$	1	2	3	4	5	6	7	8	9	10	11	12
${\boldsymbol {k}}$	1	0	1	0	1	1	0	0	0	0	1	1
${\boldsymbol {a}}$	245	8840	6579	1205	8608	2258	538	2808	2374	5526	9942	5129
${\boldsymbol {b}}$	245	245	4646	4646	7046	1570	1570	1570	1570	1570	7752	9737

את החישוב הזה קשה לעשות בדרך הישירה כמו באמצעותמחשבון כי תוצאת הביניים של ההעלאה בחזקה לפני החילוק היא באורך כאלף ספרות עשרוניות שזה מספר ארוך מדי מכדי להכילו במשתנה אחד. להלןפסאודו קוד של האלגוריתם:

Square_and_multiply(a,k,n){b=1;while(k>0){if((k&1)==1)b=((b*a)%n);a=((a*a)%n);k>>=1;}returnb;}

$\ k$ המייצג את $\ t$ סיביות המעריך $\ k_{1},k_{2},...,k_{t}$ . בלולאה הראשית סורקים את סיביות $\ k$ מימין לשמאל (מהספרה הכי פחות משמעותית לספרה הכי משמעותית), מעלים את $\ a$ בריבוע בכל סבב וכל פעם שהסיבית הנוכחית היא 1 בנוסף מכפילים ב־ $\ b$ . התוצאה הסופית נשמרת ב־ $\ b$ .

החלק הקשה באלגוריתם הוא הצמצום המודולרי. בשיטה הנאיבית מחלקים חילוק ארוך ב־ $n {\displaystyle n}$ ונוטלים את השארית. השימוש בחילוק גוזל זמן עיבור ולכן במספרים גדולים מאוד אינו מומלץ אם רוצים להגיע לביצועים אופטימליים. קיימות שיטות יעילות יותר לצמצום מודולרי כמו שיטת "חלון הזזה" שיטת Barrett ושיטת מונטגומרי. האחרונה נחשבת ליעילה ונפוצה במימושים מעשיים. לשיפור נוסף בביצועים יש המיישמים את פעולות הכפל במספרים הגדולים (מגודל מינימלי שנקבע לפי המערכת) בשיטתקרצובה אוטום־קוק בסגנוןהפרד ומשול.

התקפות

[עריכת קוד מקור |עריכה]

התקפת ערוץ צדדי

[עריכת קוד מקור |עריכה]

ערך מורחב –התקפת ערוץ צדדי

Timing Attack היאהתקפת ערוץ צדדי שעושה שימוש בעובדה שמהירות ההצפנה תלויה בקלט. אם לתוקף יש גישה למערכת (כמוכרטיס חכם אומעגל משולב במכשיר) שבו מתבצעים ההצפנה והפענוח, אך אין לו גישה למפתח הפענוח עצמו המוטמע במערכת. עדיין ביכולתו לחלץ את המפתח באמצעות מדידת הפרשי הזמן בעת פענוח מספר מסוים של טקסטים מוצפנים. יתרה מזו, אם מיישמים אחת מהגרסאות הממוטבות של RSA שעושה שימוש בגורמים הראשוניים, הדבר עלול להוביל לפרצה מסוימת כיוון שניתן למדוד את המידע שדולף מהמערכת בזמן חישוב מערכת הקונגרואנציות של CRT בגלל התלות בסיביות של המספרים הראשוניים. כמו כן אם ארעה שגיאתחומרה במהלך החישוב וחלק מסיביות הפרמטרים השתבשו עקב כך, יש סכנה שמידע פנימי ידלוף.

ישנן דרכים להתמודד עם זה. למשל להבטיח שתהליך הפענוח יתרחש בזמן קבוע על ידי השהיה מכוונת. אולם בדרך זו יעילות המערכת נפגעת. גישה אחרת הנקראת Blinding מנצלת את תכונת הכפליות של RSA (להלן). במקום לפענח את הטקסט המוצפן ישירות, בוחרים $\ r$ אקראי כלשהו ואז מחשבים את: $\ (cr^{e})^{d}{\mbox{ mod }}n$ והתוצאה תהיה $\ mr{\mbox{ mod }}n$ . ניתן להסיר את הערך האקראי מהמסר על ידי הכפלה ב־ $\ r^{-1}$ (ההופכי של $\ r$ מודולו $\ n$ ). בצורה זו הפענוח אינו תלוי בטקסט המוצפן המתקבל ועל כן התקפת תזמון תכשל במקרה כזה. כמו כן יש לוודא תמיד שהודעות השגיאה של המערכת לא יסגירו מידע פנימי, על ידי בדיקה תמידית של תקפות ערכים וכן לוודא שהזמן הדרוש לכל פעולה יהיה קבוע ללא תלות בשגיאה או בנקודת הזמן בו ארעה.

התקפת האדם שבתווך

[עריכת קוד מקור |עריכה]

ערך מורחב –התקפת אדם בתווך

הצפנת RSA אינה פותרת את בעיית האימות והבטחת השלמות. במילים אחרות, תוקף אקטיבי המסוגל להשתלט על ערוץ התקשורת שביןאליס ובוב יכול בהתקפת אדם באמצע ליירט את מפתח ההצפנה שאליס שולחת לבוב, להחליפו באחר כך שבוב יצפין את כל המסרים עבור אליס במפתח הלא נכון. בדרך דומה מיירט ומשנה את המסרים שבוב שולח לאליס, מפענח את תוכנם, חוזר ומצפינם במפתח המקורי של אליס ושולחם ליעדם. כאשר בוב ואליס אינם מודעים למתרחש. במילים אחרות, בוב חייב להיות בטוח שהמפתח הפומבי שייך לאליס וכן אליס אינה יכולה לדעת מיהו מקור המסר שקיבלה ללא אמצעים נוספים כדי להבטיח זאת. הבטחת שלמות ואותנטיות מפתחות ההצפנה והמסרים נעשים בפרוטוקולים שונים חלקם נעזרים בצד־שלישי נאמן (כמו רשות אישורים CA) וחתימה דיגיטלית.

ראו גם

[עריכת קוד מקור |עריכה]

קישורים חיצוניים

[עריכת קוד מקור |עריכה]

המאמר המקורי של ריבסט, שמיר ואדלמןA Method for Obtaining Digital Signatures and Public-Key Cryptosystems,המכון הטכנולוגי של מסצ'וסטס, קיימברידג' מסצ'וסטס, אפריל 1977
תקן PKCS #1 להצפנת RSA, באתרמעבדות RSA
נימוקי הוועדה, להענקת פרס טיורינג ל־RSA
תמי לפידות וד"ר דלית לוי,הסבר תמציתי ובהיר (עברית) על שיטת RSA, הצפנה בכלל, ומקבלי פרס טיורינג
סדרת מאמרים של מעבדות RSA, המסבירים את עקרונות אלגוריתם RSA, הבסיס המתמטי, היתרונות והתועלת שבשיטה
נצה מובשוביץ־הדר,הרצאה על מספרים ראשוניים והצפנה, יסודות ה־RSA
עודד בראש,התקפות על מערכת ההצפנה RSA, באתרפרויקט UnderWarrior
גרסאות מהירות של RSA, מגזין CryptoBytes (כרך 5) ינואר 2002
RSA, באתראנציקלופדיה בריטניקה(באנגלית)
RSA, באתרMathWorld(באנגלית)

הערות שוליים

[עריכת קוד מקור |עריכה]

^Cocks' November 1973 internal GCHQ note on his discovery
^J-J. Quisquater and C. Couvreur. Fast decipherment algorithm for RSA public-key cryptosystem. Electronic Letters, vol 18:905–907, 1982
^עמוס פיאט,אוניברסיטת תל אביב, אפריל1996
^Fast Variants of RSA (survey)
^M. Bellare and P. Rogaway. "Optimal Asymmetric Encryption" In A. De Santis, ed, Proceedings of Eurocrypt ‘94 vol. 950 of Lecture Notes in Computer Science (LNCS), pp. 92–111. Springer-Verlag,1994.

קריפטוגרפיה

מושגי יסוד

פנקס חד-פעמי •צופן בלוקים •צופן בלוקים בר-התאמה •צופן זרם •סודיות מושלמת •ביטחון סמנטי •הצפנה סימטרית •הצפנה אסימטרית •חתימה דיגיטלית •הצפנה הומומורפית •הצפנה מרובה •הצפנה מאומתת •הצפנה הסתברותית •סכמת ריפוד אסימטרית אופטימלית •אריזת מפתח הצפנה •סודיות מושלמת קדימה

הצפנה קלאסית
מכונת הצפנה •צופן החלפה •צופן אתב"ש •צופן קיסר •צופן ויז'נר •צופן ורנם •צופן פלייפייר •צופן היל •אולטרה •אניגמה •ציקלומטר •קולוסוס •PURPLE •ג'ייד •מג'יק •צופן שחלוף

צופן בלוקים
לוציפר •AES •3DES •DES •Threefish •Twofish •Blowfish •FEAL •SEED •CAST •IDEA •RC2 •RC6 •MARS •RC5 •GOST •סרפנט •MISTY •KASUMI •קמליה •ARIA •SAFER •TEA •LEA •CLEFIA •SEA •Hummingbird •PRESENT •KATAN •KeeLoq •Simon & Speck •אנוביס

אופני הפעלה
אופן הפעלה של צופן בלוקים •EAX •OCB •IAPM •CWC mode •GCM •CCM

צופן זרם
RC4 •Salsa20 •SOSEMANUK •גריין •E0 •A5/1 •A5/2 •A5/3 •A5/4 •MICKEY •HC-128 •SNOW •Trivium •Rabbit •ZUC •ChaCha

הצפנה אסימטרית

פרוטוקול דיפי-הלמן •חידות מרקל •חתימת למפורט •הצפנת תרמיל •RSA •הצפנת רבין •חתימה דיגיטלית רבין •צופן אל-גמאל •חתימה דיגיטלית אל-גמאל •DSA •הצפנת בלום-גולדווסר •ECC •הצפנת קריימר-שופ •הצפנת פאיי •הצפנת מקאליס •GGH •NTRU •עקום 25519 •חתימה דיגיטלית של שנור •הצפנת אוקמוטו-אושיאמה

פרוטוקולים

עץ מרקל •פרוטוקול אתגר-מענה •פרוטוקול נידהאם-שרודר •פרוטוקול קרברוס •הוכחה באפס ידע •פרוטוקול פייגה-פיאט-שמיר •העברה עלומה •חלוקת סוד •TLS (SSL) •Secure Shell •MQV •X.509 •פרוטוקול שיתוף מפתח•מיסור שלא לפרסום •פרוטוקול סיגנל

פרימיטיבים תאורטיים
מחולל פסבדו-אקראי קריפטוגרפי •פונקציה חד-כיוונית •תמורה חד-כיוונית •סיבית קשה •פונקציה פסבדו-אקראית קריפטוגרפית •תמורה פסאודו-אקראית •פונקציית גיבוב קריפטוגרפית •וקטור אתחול •פונקציית ספוג •הצפנה מבוססת סריג

קריפטואנליזה

ניתוח תדירויות •כוח גס •התקפת איזון זמן/זיכרון •תקיפת היפגשות באמצע •קריפטואנליזה ליניארית •קריפטואנליזה דיפרנציאלית •התקפת גלוי-ידוע •התקפת גלוי-נבחר •התקפת מוצפן-נבחר •פירוק לגורמים של מספר שלם •התקפת ערוץ צדדי •התקפת קורלציה •התקפת שיבוש •מודל אורקל אקראי •התקפת התנגשויות

בעיות מתמטיות ואלגוריתמים
בעיית לוגריתם בדיד •תחשיב אינדקסים •נפה ריבועית •אלגוריתם rho של פולרד •נפת שדה מספרים •אלגוריתם רו של פולרד ללוגריתמים •אלגוריתם פוליג-הלמן

פונקציות גיבוב קריפטוגרפיות
SHA •MD5 •MD4 •SHA-1 •SHA-2 •SHA-3 •RIPEMD •Skein •BLAKE •Grøstl •SipHash

אימות וזיהוי
אימות זהות •סיסמה •קוד אימות מסרים •Poly1305 •סיסמה חד-פעמית

נושאים נלווים

מספר אקראי •מספר ראשוני •יתירות •מפתח שיחה •סטגנוגרפיה •הצפנה קוונטית •הצפנה פוסט-קוונטית •עקרון קרקהופס •אבטחת מידע •קריפטוגרפיה ויזואלית •אליס ובוב •מסיבת חתימה על מפתחות ציבוריים •שידור מוצפן •הצפנת דיסקים •הצפנת סף •חתימה דיגיטלית מבוססת פונקציית גיבוב •פונקציה זניחה •רשת פייסטל •רשת החלפה-תמורה •הלבנה •אימות מסרים •חתימה עיוורת •חישוב רב משתתפים בטוח

אוחזר מתוך "https://he.wikipedia.org/w/index.php?title=RSA&oldid=40348054"

קטגוריות:

קטגוריה מוסתרת:

ערכים עם תבנית בריטניקה

[8]ページ先頭