QUICK REVIEW
[论文解读] Continued fractions and RSA with small secret exponent
Andrej Dujella|ArXiv.org|Feb 20, 2004
Chaos-based Image/Signal Encryption参考文献 15被引用 33
一句话总结
本文将Legendre关于丢番图逼近的定理推广至处理形如 |α − a/b| < c/b² 的界,利用连分数渐近分数来界定解,从而在RSA小秘密指数攻击中实现更高效的变体,特别是针对Wiener和Verheul-van Tilborg的攻击。关键贡献在于将需测试的候选指数数量从 O(D²A²) 降低至 O(D² log A),当 d < n^0.25 时,显著提升了实际密码分析的效率。
ABSTRACT
Extending the classical Legendre's result, we describe all solutions of the inequality |x - a/b| < c/b^2 in terms of convergents of continued fraction expansion of x. Namely, we show that a/b = (rp_{m+1} +- sp_m) / (rq_{m+1} +- sq_m) for some nonnegative integers m,r,s such that rs < 2c. As an application of this result, we describe a modification of Verheul and van Tilborg variant of Wiener's attack on RSA cryptosystem with small secret exponent.
研究动机与目标
- 将Legendre关于丢番图逼近的定理推广至处理形如 |α − a/b| < c/b² 的界。
- 改进针对RSA小秘密指数的现有密码分析攻击,特别是Wiener和Verheul-van Tilborg的攻击。
- 通过利用连分数结构和对候选解的更紧界,降低恢复秘密指数d的计算复杂度。
- 为d略大于 n^0.25 的情况提供一种更高效的因数分解RSA模数的算法,扩展可行攻击的范围。
提出的方法
- 推导出所有满足 |α − a/b| < c/b² 的有理数解 a/b 的表征,基于α的连分数展开的渐近分数。
- 表明解的形式为 (rp_{m+1} ± sp_m)/(rq_{m+1} ± sq_m),其中非负整数 r, s 满足 rs < 2c。
- 将此广义界应用于RSA方程 ed ≡ 1 mod φ(n),将 e/n 视为 α,k/d 视为有理逼近。
- 利用 e/n 的连分数展开,将候选d值限制在对应于渐近分数及其线性组合的范围内。
- 在满足 r < a_{m+2}s 且 s ≤ s₁ 的 r, s 对上进行搜索,其中 s₁ 依赖于逼近误差和连分数项。
- 利用Dirichlet除数函数的界以及对 q_m, q_{m+1} 等的估计,控制搜索空间的规模。
实验结果
研究问题
- RQ1Legendre关于丢番图逼近的定理能否推广至处理任意 c > 1 的形如 |α − a/b| < c/b² 的界?
- RQ2此广义逼近结果如何应用于改进已知的RSA小秘密指数攻击?
- RQ3与Verheul-van Tilborg方法相比,新方法在候选指数d的测试数量上实现了多大的渐近减少?
- RQ4当d值略高于 n^0.25 时,新攻击在实际中的表现如何,特别是在 d < n^0.292 的情形下(如Boneh-Durfee)?
- RQ5新方法中候选对 rs 的数量与 D² 的平均值和最大值,与原始Verheul-van Tilborg攻击相比的比例如何?
主要发现
- 新攻击中候选对 (r,s) 的数量被限制在 O(D² log A) 内,其中 D = d / n^{1/4},A = max{a_i}(取自相关连分数项)。
- 在 d ∈ [1000, 1000000] 范围内,min(rs, st, r's') / D² 的平均值为 0.8397,而Verheul-van Tilborg方法中为 15.69。
- Verheul-van Tilborg攻击中 rs/D² 的最大值达到 78,464.2,而新方法中该量的上限为 4.026。
- 当 d = 5936963 时,新方法通过 s = 12195, t = 77 找到正确的d,而Verheul-van Tilborg方法需 r = 219433,证实了搜索空间的理论缩减。
- 即使当 d 超过 n^0.25 时,该攻击仍保持高效,相较于先前方法具有实际改进,尤其在 d < n^0.292 时表现更优。
- 新方法的候选数理论界显著优于Verheul-van Tilborg方法的 O(D²A²) 复杂度,新方法实现 O(D² log A) 的复杂度。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。