RSA (kryptografia): Różnice pomiędzy wersjami

RSA to pierwszy i obecnie jeden z dwóch najpopularniejszych (obok ElGamala) algorytmów kryptografii asymetrycznej. Stworzony w roku 1978 przez zespół: Ronald Rivest, Adi Shamir, Leonard Adleman. RSA jest akronimem utworzonym z pierwszych liter nazwisk jego twórców. RSA opiera się na trudności faktoryzacji dużych liczb – znalezienie szybkiej metody faktoryzacji doprowadziłoby do złamania RSA, aczkolwiek nie ma dowodu, że nie da się złamać RSA w inny sposób.

Żeby wygenerować klucz RSA losujemy dwie duże liczby pierwsze ${\displaystyle p}$ i ${\displaystyle q}$, oraz liczbę ${\displaystyle e}$ względnie pierwszą z ${\displaystyle (p-1)(q-1)}$.

Następnie obliczamy ${\displaystyle d=e^{-1}\mod (p-1)(q-1)}$ (ponieważ wybraliśmy względnie pierwsze ${\displaystyle e}$, ma ono odwrotność i obliczyć ją możemy szybko rozszerzonym algorytmem Euklidesa).

Obliczamy też ${\displaystyle n=p\cdot q}$.

Klucz publiczny to para ${\displaystyle (e,n)}$, klucz prywatny zaś to para ${\displaystyle (d,n)}$. Liczby ${\displaystyle p}$ i ${\displaystyle q}$ należy zniszczyć.

Żeby szyfrować podnosimy liczbę reprezentującą wiadomość do potęgi ${\displaystyle e}$ modulo ${\displaystyle n}$:

${\displaystyle c=m^{e}\mod n}$

Żeby ją zdeszyfrować podnosimy zaszyfrowaną wiadomość do potęgi ${\displaystyle d}$. Zgodnie z twierdzeniem Eulera dostaniemy oryginalną wiadomość:

${\displaystyle c^{d}=m^{ed}=m\mod n}$

Nie znając ${\displaystyle d}$ nie potrafimy łatwo odzyskać wiadomości z kryptogramu. Nie znając faktoryzacji ${\displaystyle n}$ na ${\displaystyle p}$ i ${\displaystyle q}$ nie znamy też prostej metody odtworzenia ${\displaystyle d}$ z ${\displaystyle e}$.

RSA może też być używane do podpisów cyfrowych – żeby podpisać daną wiadomość podnosimy ją do potęgi ${\displaystyle d}$. Żeby ją zweryfikować podnosimy podpis do potęgi ${\displaystyle e}$. De facto nie podpisujemy jednak wiadomości jako takiej, ale specjalnie spreparowany pakiet składający się z hasza (tzw. funkcji skrótu) wiadomości oraz ustalonych bitów.

Jest to ważne, ponieważ każdy może generować za nas podpisy losowych wiadomości. Algorytm generowania takich podpisów jest następujący:

wybierz podpis ${\displaystyle p}$

podnieś go do potęgi ${\displaystyle e}$ – otrzymasz przypadkowe ${\displaystyle m}$

${\displaystyle p}$ jest prawidłowym podpisem dla (prawie na pewno bezsensownej) wiadomości ${\displaystyle m}$

Jeśli zamiast pozwalać na dowolne ${\displaystyle m}$ wymusimy pewną strukturę, uniemożliwiamy ataki tego typu – np. jeśli ostatnie 256 bitów mają stanowić naprzemienne zera i jedynki, średnio tylko jeden atak na ${\displaystyle 2^{256}}$ (ponad ${\displaystyle 10^{77}}$) prób się powiedzie, a i tak podpisze prawie na pewno jedynie jakieś śmieci.

Jak dotąd (maj 2004) udały się ataki na klucze o długości do ok. 600 bitów. Potencjalnym zagrożeniem dla RSA jest skonstruowanie komputera kwantowego.

• kryptografia kwantowa
• algorytmy kryptograficzne

Parser nie mógł rozpoznać (błąd składni): {\displaystyle W tym miejscu [[Grafika:[[Media:Example.jpg]]<nowiki>--~~~~Wstaw tu tekst niesformatowany ---- --~~~~[[[http://www.example.com tytuł strony]]'''''Tekst pochylony'''guj''u[u == uuu == ]'''']</nowiki>]]wprowadź wzór}

• RSA Security

• Thomas H. Cormen. Rozdział 31. Algorytmy Teorioliczbowe we Wprowadzenie do algorytmów. Wyd. VII. Warszawa, 2005 WNT, s. 902 - 909