ataque de Wiener

El ataque de Wiener , llamado así por el criptólogo Michael J. Wiener, es un tipo de ataque criptográfico contra RSA . El ataque utiliza el método de fracción continua para exponer la clave privada d cuando d es pequeña.

Los personajes ficticios Alice y Bob son personas que quieren comunicarse de forma segura. Más específicamente, Alice quiere enviar un mensaje a Bob que solo Bob pueda leer. Primero, Bob elige dos números primos p y q . Luego calcula el módulo RSA N = pq . Este módulo RSA se hace público junto con el exponente de cifrado e . N y e forman el par de claves públicas (e,N) . Al hacer pública esta información, cualquiera puede cifrar los mensajes para Bob. El exponente de descifrado d satisface , donde $ed=1{\bmod {\lambda}}(N)$ ${\ estilo de visualización \ lambda (N)}$ denota la función de Carmichael , aunque a veces se usa la función phi de Euler (nota: este es el orden del grupo multiplicativo , que no es necesariamente un grupo cíclico). El exponente de cifrado e y también debe ser relativamente primo para que haya un inverso modular . La factorización de N y la clave privada d se mantienen en secreto, de modo que solo Bob puede descifrar el mensaje. Denotamos el par de claves privadas como (d, N) . El cifrado del mensaje M viene dado por ${\ estilo de visualización \ varphi (N)}$ ${\ estilo de visualización \ mathbb {Z} _ {N}^{*}}$ ${\ estilo de visualización \ lambda (N)}$ $C\equiv M^{e}{\bmod {N}}$ y el descifrado del texto cifrado está dado por (usando el pequeño teorema de Fermat ). ${\ estilo de visualización C}$ $C^{d}\equiv (M^{e})^{d}\equiv M^{(ed)}\equiv M{\bmod {N}}$

Usando el algoritmo euclidiano , uno puede recuperar eficientemente la clave secreta d si conoce la factorización de N. Al tener la clave secreta d , uno puede factorizar eficientemente el módulo de N. ^[1]

En el sistema criptográfico RSA , Bob podría tender a usar un valor pequeño de d , en lugar de un número aleatorio grande para mejorar el rendimiento de descifrado RSA . Sin embargo, el ataque de Wiener muestra que elegir un valor pequeño para d dará como resultado un sistema inseguro en el que un atacante puede recuperar toda la información secreta, es decir, romper el sistema RSA . Esta ruptura se basa en el teorema de Wiener, que se cumple para valores pequeños de d . Wiener ha demostrado que el atacante puede encontrar eficientemente d cuando . ^[2] $d<{\frac {1}{3}}N^{\frac {1}{4}}$

El artículo de Wiener también presentó algunas contramedidas contra su ataque que permiten un descifrado rápido. A continuación se describen dos técnicas.