fy">), і = +1 .. k відповідно. Противник перехоплює kf и (х) - шифрування Повідомлень. Если е и = е " і = 1 .. k, то противник может відновіті ПОВІДОМЛЕННЯ х, ЯКЩО k? е. Даже ЯКЩО х и для і-того користувача є Деяк фіксованою перестановкою віхідного ПОВІДОМЛЕННЯ, Наприклад,
х и = і * 2 m + х, (2.3.2)
все одне противник может отріматі х при й достатньо великому k.
Захист: ця атака может буті успішною Тільки при невелика значенні відкритого ключа е. У таких умів у (2.3.2) нужно застосовуваті НЕ фіксовану, а випадкове перестановку.
Взагалі, для Підвищення стійкості криптосистеми RSА рекомендовано використовуват й достатньо Великі значення е, Наприклад е = 2 16 +1 = 65537.
Атака Франкліна-Рейтера: нехай х, х 1 - два вихідних ПОВІДОМЛЕННЯ, Такі, что
х 1 = g (х) (mоd m),
де g (х) = ах + b (mоd m), b В№ 0 - Деяк лінійній многочлен, и f (х), f (х 1 ) - результат шифрування х, х 1 системою RSА з відкрітім ключем (е, m). При е = 3 противник, знаючи е, m, f (х), f (х 1 ) i g (х) зможите відновіті х, х 1 .
Захист: при е > 3:00 злому шифру зростанні пропорційно е 2 , того така атака має Успіх позбав при невеликих значеннях е.
Як Бачимо, Підвищення безпеки досягається за рахунок накладення ПЄВНЄВ обмежень на вибір простих дільніків основі системи m та Збільшення Розмірів ключа. Остання Вимога обумовлена ​​такоже стрімкім зростанням можливіть обчіслювальної техніки впродовж останніх десятіріч. Запропонована Ріверстом, Шаміром та Адлеманом система Зі +129-значний основою Залишаюсь нерозкрітою впродовж 17 років - на СЬОГОДНІ надійною вважається система на Основі RSА з m не менше 1024 бітів. У 2009 р. група вчених з Швейцарії, Франции, Нідерландів, Германії та США после трьох-річної праці Отримала дані, зашіфровані помощью ...
