id: Гость   вход   регистрация
текущее время 12:11 28/03/2024
Автор темы: Гость, тема открыта 31/08/2006 20:04 Печать
https://www.pgpru.com/Форум/Криптография/АтакаНаRSAКлючиПодписиСПубличнойЭкспонентой3
создать
просмотр
ссылки

Атака на RSA ключи подписи с публичной экспонентой 3


На IETF OpenPGP mailing list появилась атака, которую на Crypto 2006 представил Daniel Bleichenbacher, позволяющая подделывать RSA подписи для ключей, где публичная экспонента ровна 3.


Такие подделки будут проверяться как настоящие подписи, если в проверяющей программе допущена достаточно распостраненная ошибка: не проверяется факт того, что после padding-a и структуры содержащей хеш (обычно, как и в OpenPGP, это — структура ASN1 закодированая в BER), больше ничего нету в расшифрованой подписи.


В реализации SUN языка java, эта ошибка есть, так что предидущие версии моей собственной OpenPGP реализации ePointPGP тоже неустойчивы против этой атаки. В новой версии я ошибку исправил (сам проверяю RSA подписи, вместо того, чтобы довиеиться SUN-у).


 
Комментарии
— Гость (02/09/2006 06:59)   <#>
Такие подделки будут проверяться как настоящие подписи, если в проверяющей программе допущена достаточно распостраненная ошибка:

Есть ли такая ошибка в GnuPG и PGP?
— sentaus (02/09/2006 09:33)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Насколько я помню, в PGP и GnuPG публичная экспонента равна 65537. Так что нет.
— Гость (02/09/2006 17:51)   <#>
Вий_:
Такие подделки будут проверяться как настоящие подписи, если в проверяющей программе допущена достаточно распостраненная ошибка:

Есть ли такая ошибка в GnuPG и PGP?

На сколько мне известно, нет.
— Гость (02/09/2006 17:55)   <#>
sentaus:
Насколько я помню, в PGP и GnuPG публичная экспонента равна 65537. Так что нет.

Одно к другому не имеет отношения.
Публичная экспонента 65537 используется при создании нового ключа, а ошибка, если она есть, то при проверке подписей.
Как в PGP, так и в GnuPG, проверяются любые публичные экспоненты, но проверяются достаточно досконяльно для того, чтобы поддельная подпись не была расценена как правильная.
— Гость (02/09/2006 18:00)   <#>
Кстати, вот обещаная ссылка:
http://www.imc.org/ietf-openpg.....rchive/msg14307.html
— Гость (04/09/2006 09:27)   <#>
Публичная экспонента 65537 используется при создании нового ключа, а ошибка, если она есть, то при проверке подписей.

Я имелл ввиду, что даже если ошибка при проверке подписи есть, её всё равно нельзя использовать для атаки.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3