Атаки на основе открытого текста применительно к OpenPGP
После прочтения этого[link1], у меня появился вопрос:
Уязвимы ли алгоритмы шифрования с открытым ключом (RSA, Elgamal) к атакам:
— known plaintext;
— chosen plaintext?
Комментарии
— SATtva (12/03/2006 20:42) Если бы эти алгоритмы были уязвимы к данным типам атак, то они были бы неприменимы для практических целей. Поскольку (по нашему допущению) взломщик всегда имеет доступ к ключу зашифрования, он может проводить пробные шифрования любых открытых текстов с известными различиями. Тем не менее, любое количество подобных шифрований не должно давать ему никакой информации о закрытом ключе асимметричной пары.
Однако, при некоторых условиях, эти алгоритмы уязвимы для атаки chosen ciphertext. Подробности здесь[link2].
— andrew (13/03/2006 00:33) Изложу и я своё понимание вопроса :) В том случае, если асимметричный ключ используется для зашифрования не случайного блока данных, т.е. сообщения каким-то образом связаны, образуется система уравнений, которую можно решить, особенно если экспонента достаточно мала, а дополнение случайными битами или метка времени не используются. Так что всё зависит от реализации. Полагаю, в случае PGP надёжность всей схемы зависима от того, насколько недетерминирован случайный симметричный ключ.
— SATtva (13/03/2006 14:44) Кроме того, PGP использует большое значение экспоненты = 65537, что требует соответствующего числа связанных открытых текстов.
Если бы эти алгоритмы были уязвимы к данным типам атак, то они были бы неприменимы для практических целей. Поскольку (по нашему допущению) взломщик всегда имеет доступ к ключу зашифрования, он может проводить пробные шифрования любых открытых текстов с известными различиями. Тем не менее, любое количество подобных шифрований не должно давать ему никакой информации о закрытом ключе асимметричной пары.
Однако, при некоторых условиях, эти алгоритмы уязвимы для атаки chosen ciphertext. Подробности здесь[link2].
Изложу и я своё понимание вопроса :) В том случае, если асимметричный ключ используется для зашифрования не случайного блока данных, т.е. сообщения каким-то образом связаны, образуется система уравнений, которую можно решить, особенно если экспонента достаточно мала, а дополнение случайными битами или метка времени не используются. Так что всё зависит от реализации. Полагаю, в случае PGP надёжность всей схемы зависима от того, насколько недетерминирован случайный симметричный ключ.
Кроме того, PGP использует большое значение экспоненты = 65537, что требует соответствующего числа связанных открытых текстов.