ataque de Wiener


El ataque de Wiener , llamado así por el criptólogo Michael J. Wiener, es un tipo de ataque criptográfico contra RSA . El ataque utiliza el método de fracción continua para exponer la clave privada d cuando d es pequeña.

Los personajes ficticios Alice y Bob son personas que quieren comunicarse de forma segura. Más específicamente, Alice quiere enviar un mensaje a Bob que solo Bob pueda leer. Primero, Bob elige dos números primos p y q . Luego calcula el módulo RSA N = pq . Este módulo RSA se hace público junto con el exponente de cifrado e . N y e forman el par de claves públicas (e,N) . Al hacer pública esta información, cualquiera puede cifrar los mensajes para Bob. El exponente de descifrado d satisface , dondedenota la función de Carmichael , aunque a veces se usa la función phi de Euler (nota: este es el orden del grupo multiplicativo , que no es necesariamente un grupo cíclico). El exponente de cifrado e y también debe ser relativamente primo para que haya un inverso modular . La factorización de N y la clave privada d se mantienen en secreto, de modo que solo Bob puede descifrar el mensaje. Denotamos el par de claves privadas como (d, N) . El cifrado del mensaje M viene dado por y el descifrado del texto cifrado está dado por (usando el pequeño teorema de Fermat ).

Usando el algoritmo euclidiano , uno puede recuperar eficientemente la clave secreta d si conoce la factorización de N. Al tener la clave secreta d , uno puede factorizar eficientemente el módulo de N. [1]

En el sistema criptográfico RSA , Bob podría tender a usar un valor pequeño de d , en lugar de un número aleatorio grande para mejorar el rendimiento de descifrado RSA . Sin embargo, el ataque de Wiener muestra que elegir un valor pequeño para d dará como resultado un sistema inseguro en el que un atacante puede recuperar toda la información secreta, es decir, romper el sistema RSA . Esta ruptura se basa en el teorema de Wiener, que se cumple para valores pequeños de d . Wiener ha demostrado que el atacante puede encontrar eficientemente d cuando . [2]

El artículo de Wiener también presentó algunas contramedidas contra su ataque que permiten un descifrado rápido. A continuación se describen dos técnicas.