Reconstru¸c˜ao da Chave Secreta do RSA Multi-primo

(1)

Reconstru¸c˜ ao da Chave Secreta do RSA Multi-primo

Reynaldo C´aceres Villena

([email protected])

Orientador: Routo Terada

Instituto de Matem´atica e Estat´ıstica - Universidade de S˜ao Paulo Setembro de 2013

(2)

Reconstru¸c˜ao da Chave Secreta do RSA Multi-primo

Agenda

1 Objetivos

2 Conceitos B´asicos RSA

QC-RSA PKCS

Fatora¸c˜ao do inteiroN

3 Algoritmo de Reconstru¸c˜ao da Chave Secreta RSA Ataquescold-boot

Cálculo de Variáveis Auxiliares Corre¸cão dos bits inferiores de:

Ideia do algoritmo de Reconstru¸c˜ao Lema de Hensel

Algoritmo de Reconstru¸c˜ao

Complexidade do Algoritmo de Reconstru¸c˜ao

4 Implementa¸c˜ao

5 Conclus˜oes

(3)

Reconstru¸c˜ao da Chave Secreta do RSA Multi-primo Objetivos

1 - Objetivos

1 Objetivos

QC-RSA PKCS

4 Implementa¸c˜ao

5 Conclus˜oes

(4)

Objetivos

Estudo e análise o algoritmo de reconstru¸cão da chave secretask do criptossistema RSA básico (u= 2) apresentado por Heninger e Shacham.

Implementa¸c˜ao de um algoritmo de reconstru¸c˜ao da chave secreta sk para o criptossistema RSA multi-primo (u≥2).

(5)

Objetivos

Estudo e análise o algoritmo de reconstru¸cão da chave secretask do criptossistema RSA básico (u= 2) apresentado por Heninger e Shacham.

Implementa¸c˜ao de um algoritmo de reconstru¸c˜ao da chave secreta sk para o criptossistema RSA multi-primo (u≥2).

(6)

Reconstru¸c˜ao da Chave Secreta do RSA Multi-primo Conceitos B´asicos

2 - Conceitos B´asicos

1 Objetivos

QC-RSA PKCS

4 Implementa¸c˜ao

5 Conclus˜oes

(7)

RSA

O RSA é o criptossistema de chave pública mais usado e imple- mentado até a data.

Seu nome ´e derivado das iniciais dos seus criadores: Ron (R)ivest, Adi (S)hamir e Len (A)dleman.

Desde sua publica¸cão, nenhum ataque conseguiu quebrá-lo, portanto não foi preciso mudar sua estrutura.

Foi criado em agosto de 1977 no MIT¹e publicado em fevereiro de 1978.

1 Massachusetts Institute of Technology

(8)

RSA

Criptossistema RSA

O criptossistema RSA est´a conformado por 3 algoritmos

1.-Algoritmo de Gera¸c˜ao das chaves N =

u

Q

i=1

ri ed= 1 modφ(N)

Chave p´ublicapkhN, eie chave secretaskhN, di 2.- Algoritmo de encripta¸c˜ao

M ∈ZN, pkhN, ei C=M^e modN

3.- Algoritmo de decifra¸c˜ao C,skhN, di

M =C^d modN Criptossistema RSA B´asico(u= 2)

Criptossistema RSA Multi-primo (u≥3) O custo de execu¸cão do algoritmo de decifra¸cão é elevado.

(9)

RSA

Criptossistema RSA

O criptossistema RSA est´a conformado por 3 algoritmos 1.-Algoritmo de Gera¸c˜ao das chaves

N =

u

Q

i=1

ri ed= 1 modφ(N)

Chave p´ublicapkhN, eie chave secretaskhN, di

2.- Algoritmo de encripta¸c˜ao M ∈ZN, pkhN, ei

C=M^e modN

(10)

RSA

Criptossistema RSA

N =

u

Q

i=1

ri ed= 1 modφ(N)

(11)

RSA

Criptossistema RSA

N =

u

Q

i=1

ri ed= 1 modφ(N)

M =C^d modN

Criptossistema RSA Básico(u= 2) Criptossistema RSA Multi-primo (u≥3) O custo de execu¸cão do algoritmo de decifra¸cão é elevado.

(12)

RSA

Criptossistema RSA

N =

u

Q

i=1

ri ed= 1 modφ(N)

Criptossistema RSA Multi-primo (u≥3)

O custo de execu¸cão do algoritmo de decifra¸cão é elevado.

(13)

RSA

Criptossistema RSA

N =

u

Q

i=1

ri ed= 1 modφ(N)

(14)

QC-RSA

QC-RSA (Decifra¸c˜ao usando TCR)

O QC-RSA foi proposto por J-J. Quisquater and C. Couvreur em 1982.

Esse m´etodo consiste em calcularM a partir deMi usando o Teorema Chinˆes do Resto (TCR) onde

Mi=C^d modri para 1≤i≤u Mi=C^dⁱ modri para 1≤i≤u ondedi=d mod (ri−1).

Nova chave secretask

skhr1, r2, d1, d2, r⁻¹₂ ,hr3, d3, t3i, ..,hru, du, tuiicom r2r₂⁻¹= 1 modr1

t_i(

i−1

Y

j=1

r_j)⁻¹= 1 modr_i para 3≤i≤u

(15)

QC-RSA

QC-RSA (Decifra¸c˜ao usando TCR)

O QC-RSA foi proposto por J-J. Quisquater and C. Couvreur em 1982.

Esse m´etodo consiste em calcularM a partir deMi usando o Teorema Chinˆes do Resto (TCR) onde

Mi=C^d modri para 1≤i≤u Mi=C^dⁱ modri para 1≤i≤u ondedi=d mod (ri−1).

Nova chave secretask

skhr₁, r₂, d₁, d₂, r⁻¹₂ ,hr₃, d₃, t₃i, ..,hr_u, d_u, t_uiicom r2r₂⁻¹= 1 modr1

ti(

i−1

Y

j=1

rj)⁻¹= 1 modripara 3≤i≤u

(16)

QC-RSA

QC-RSA (Decifra¸c˜ao usando TCR) Algoritmo 1: Decifra¸c˜ao-QC

Entrada: skhr1, r2, d1, d2, r⁻¹₂ ,hr3, d3, t3i, ..,hru, du, tuii,C Sa´ıda:M

M1=C^d¹ modr1; 1

M₂=C^d² modr₂; 2

parai= 3toufa¸ca 3

M_i=C^di modr_i; 4

M= ((M₁−M₂)r⁻¹₂ modr₁)r₂+M₂; 5

R=r₁; 6

parai= 3toufa¸ca 7

R=R∗ri−1; 8

M= (M_i−M)tⁱ modr_i)R+M;

9

retornaM; 10

O tempo de execu¸c˜ao do QC-RSA:

No criptossistema RSA básico é até 4 vezes mais rápido do que a execu¸cão deM ←C^d modN.

No criptossistema RSA multi-primo ´e menor que do criptossistema RSA b´asico.

(17)

QC-RSA

QC-RSA (Decifra¸c˜ao usando TCR) Algoritmo 2: Decifra¸c˜ao-QC

Entrada: skhr1, r2, d1, d2, r⁻¹₂ ,hr3, d3, t3i, ..,hru, du, tuii,C Sa´ıda:M

M1=C^d¹ modr1; 1

M₂=C^d² modr₂; 2

parai= 3toufa¸ca 3

M_i=C^di modr_i; 4

M= ((M₁−M₂)r⁻¹₂ modr₁)r₂+M₂; 5

R=r₁; 6

parai= 3toufa¸ca 7

R=R∗ri−1; 8

M= (M_i−M)tⁱ modr_i)R+M;

9

retornaM; 10

O tempo de execu¸c˜ao do QC-RSA:

No criptossistema RSA básico é até 4 vezes mais rápido do que a execu¸cão deM ←C^d modN.

No criptossistema RSA multi-primo ´e menor que do criptossistema RSA b´asico.

(18)

PKCS

PKCS - Public Key Cryptography Standards

O PKCS é um grupo de padrões devenvolvido pelos laboratórios RSA²

O PKCS contém especifica¸cões para acelerar a implementa¸cão e de- senvolvimento dos algoritmos dos criptossistemas de chave pública.

PKCS #1

E o padr˜´ ao e contém defini¸cões básicas e recomenda¸cões para a implementa¸cão do criptossistema RSA.

Representa¸c˜ao da chave p´ublica

1 pkhN, ei(C=M^e modN) Representa¸c˜oes da chave secreta

1 skhN, di(M =C^d modN).

2 skhr1, r2, d1, d2, r₂⁻¹,hr3, d3, t3i, ..,hru, du, tuii(QC-RSA).

2 Empresa dedicada `a criptografia e ao software de seguran¸ca

(19)

PKCS

PKCS - Public Key Cryptography Standards

O PKCS é um grupo de padrões devenvolvido pelos laboratórios RSA²

O PKCS contém especifica¸cões para acelerar a implementa¸cão e de- senvolvimento dos algoritmos dos criptossistemas de chave pública.

PKCS #1

E o padr˜´ ao e contém defini¸cões básicas e recomenda¸cões para a implementa¸cão do criptossistema RSA.

Representa¸c˜ao da chave p´ublica

1 pkhN, ei(C=M^e modN) Representa¸c˜oes da chave secreta

1 skhN, di(M =C^d modN).

2 skhr1, r2, d1, d2, r₂⁻¹,hr3, d3, t3i, ..,hru, du, tuii(QC-RSA).

2 Empresa dedicada `

(20)

PKCS

PKCS #1 - RSA (Recomenda¸cão para implementa¸cão do RSA) Representa¸cão ANS.1 das chaves RSA segundo o padrão PKCS #1.

skhN, e, d, r1, r2, d1, d2, r₂⁻¹,hr3, d3, t3i, ..,hru, du, tuii.

(21)

Seguran¸ca do RSA

Requisito de um criptossistema de chave p´ublica

A recupera¸cão da chave secretask a partir da chave pública pké um problema computacionalmente inviável.

Temos os valorespkhN, ei, como achar od?

Euclides−estendido(e, φ(N))φ(N) =Qu

i=1(ri−1)F atorar(N)

Outros ataques como :

O c´alculo deφ(N) sem fatorarN

A determina¸c˜ao dedsem fatorarN e sem calcularφ(N) O c´alculo de umd⁰ equivalente a d

s˜ao mais dif´ıceis que oF atorar(N) Seguran¸ca do RSA

Est´a baseado no problema de fatora¸c˜ao de inteiros (problema NP).

(22)

Seguran¸ca do RSA

i=1(ri−1)F atorar(N) Outros ataques como :

A determina¸c˜ao dedsem fatorar N e sem calcularφ(N) O c´alculo de umd⁰ equivalente a d

s˜ao mais dif´ıceis que oF atorar(N)

Seguran¸ca do RSA

(23)

Seguran¸ca do RSA

i=1(ri−1)F atorar(N) Outros ataques como :

A determina¸c˜ao dedsem fatorar N e sem calcularφ(N) O c´alculo de umd⁰ equivalente a d

s˜ao mais dif´ıceis que oF atorar(N) Seguran¸ca do RSA

(24)

Algoritmos para fatorar inteiros

O algoritmo NFS(Number Field Sieve)é o mais rápido para fatorar primos de mais de 100 d´ıgitos. E seu tempo esperado é dado por

O(e^{1.923 log}

1

3nlog²3logn).

O maior inteiro fatorado foi de 232 d´ıgitos (768 bits) (12-dez-2009).

O ECM(Elliptic Curve Method)usado na fatora¸c˜ao pode calcular um fator primo do inteiroN. Seu tempo ´e dado por

O(log²ne

√2 log¹2 n

ulog¹2logⁿ_u).

O maior fator encontrado foi de 75 d´ıgitos (2-ago-2012).

O m´aximo valor estimado parauconsiderando que o inteiroN´e seguro

´e dado por:

Número de bits (n) 1024 2048 3072 4096 8192 Máximo número de primes (u) 3 3 3 4 5

(25)

O(e^{1.923 log}

1

3nlog²3logn).

O(log²ne

√2 log¹2 n

ulog¹2logⁿ_u).

´e dado por:

(26)

O(e^{1.923 log}

1

3nlog²3logn).

O(log²ne

√2 log¹2 n

ulog¹2logⁿ_u).

´e dado por:

(27)

Fatora¸cão do móduloN tendo informa¸cão extra

Com rela¸cão ao criptossistema RSA básico, temos que é poss´ıvel fatorar o móduloN =r1r2 em tempo polinomial tendo:

os n/4 bits menos significativos ou mais significativos de r1. os n/4 bits menos significativos de d.

os n/4 bits menos significativos de d1.

27% de bits aleat´orios da chave secreta sk(Algoritmo de reconstru¸c˜ao da chave secreta de Heninger e Shacham).

Com rela¸cão ao criptossistema RSA multi-primo, temos que é poss´ıvel fatorar o móduloN=Qu

i=1r_i em tempo polinomial tendo: os _u(i+1)ⁿⁱ bits menos significativos ou mais significativos deri

para 1≤i≤u−1.

(28)

Fatora¸cão do móduloN tendo informa¸cão extra

Com rela¸cão ao criptossistema RSA básico, temos que é poss´ıvel fatorar o móduloN =r1r2 em tempo polinomial tendo:

os n/4 bits menos significativos ou mais significativos de r1. os n/4 bits menos significativos de d.

os n/4 bits menos significativos de d1.

27% de bits aleat´orios da chave secreta sk(Algoritmo de reconstru¸c˜ao da chave secreta de Heninger e Shacham).

Com rela¸cão ao criptossistema RSA multi-primo, temos que é poss´ıvel fatorar o móduloN=Qu

i=1r_i em tempo polinomial tendo:

os _u(i+1)ⁿⁱ bits menos significativos ou mais significativos deri

para 1≤i≤u−1.

(29)

Reconstru¸c˜ao da Chave Secreta do RSA Multi-primo Algoritmo de Reconstru¸c˜ao da Chave Secreta RSA

3 - Algoritmo de Reconstru¸c˜ao da Chave Secreta RSA

1 Objetivos

QC-RSA PKCS

4 Implementa¸c˜ao

5 Conclus˜oes

(30)

Ataquescold-boot

cold-bootouhard-boot

Se refere aobootde um computador depois de ter sido cortada sua fonte de energia abruptamente.

Remanescˆencia da mem´oria DRAM

Capacidade de conserva¸c˜ao de dados da mem´oria DRAM/SRAM depois de se aplicar umcold-boot.

Um ataquecold-boot´e um tipo de ataque onde o atacante utiliza dados que foram obtidos da mem´oria DRAM/SRAM depois de aplicar um cold-bootao computador.

(31)

Ataquescold-boot

Gerando imagem da mem´oria DRAM

Iniciando um programaSyslinux bootloaderpara obter uma imagem da mem´oria DRAM.

(32)

Ataquescold-boot

Defini¸c˜ao de sk˜

sk sk(δ)˜ sk

Ataque

Cold Boot

→

Algoritmo de

reconstru¸c˜ao

→

Ondesk˜ cont´em uma porcentagem δde bits corretos desk.

(33)

C´alculo de Vari´aveis Auxiliares

Rela¸c˜oes matem´aticas da chave secreta

Temos a chave secreta

skhN, e, d, r1, r2, d1, d2, r₂⁻¹,hr3, d3, t3i, ..,hru, du, tuii

segundo o padrão PKCS # 1, onde suas rela¸cões matemáticas são dados por:

N =

u

Y

i=1

ri

e.d₁= 1 mod (r₁−1) e.d2= 1 mod (r2−1)

...

e.du= 1 mod (ru−1)

e.d= 1 mod

u

Y

i=1

(r_i−1) r2.r⁻¹₂ = 1 modr1

r1.r2.t3= 1 modr3

...

r₁.r₂...r_u−1.t_u= 1 modr_u

(34)

skhN, e, d, r1, r2, d1, d2, r₂⁻¹,hr3, d3, t3i, ..,hru, du, tuii

N =

u

Y

i=1

ri

e.d₁= 1 +k₁(r₁−1) e.d2= 1 +k2(r2−1)

...

e.du= 1 +ku(ru−1)

e.d= 1 +k

u

Y

i=1

(r_i−1) r2.r⁻¹₂ = 1 +g.r1

r1.r2.t3= 1 +g3.r3

...

r₁.r₂...r_u−1.t_u= 1 +g_u.r_u

(35)

skhN, e, d, r₁, r₂, d₁, d₂, r₂⁻¹,hr₃, d₃, t₃i, ..,hr_u, d_u, t_uii

N =

u

Y

i=1

ri

e.d₁= 1 +k₁(r₁−1) e.d2= 1 +k2(r2−1)

...

e.du= 1 +ku(ru−1)

e.d= 1 +k

u

Y

i=1

(ri−1)

... r1.r2...r_u−1.tu

(36)

Calculando os valores dek, k1, ...ku

Analisando os valoresk, k₁, ...k_u.

N=

u

Y

i=1

ri

e.d= 1 +k

u

Y

i=1

(ri−1)

e.d_i= 1 +k_i(r_i−1)_{para 1≤i≤u}

e,d∈Z^∗φ(N)⇒e,d< φ(N)⇒k <e e,di ∈Z^∗φ(r_i)⇒e,d< φ(ri)⇒ki<e

0≤k, k1, ..., ku<e

Aplicando modepara calcular os valoresk, k1, ...ku. N=

u

Y

i=1

ri

0 = 1 +k

u

Y

i=1

(ri−1)

0 = 1 +k_i(r_i−1)_{para 1≤i≤u}

N

u

Q

i=1

k_i=

u

Q

i=1

(k_i−1)

u

Q

i=1

ki=k(−1)^u−1

(37)

Analisando os valoresk, k₁, ...k_u.

N=

u

Y

i=1

ri

e.d= 1 +k

u

Y

i=1

(ri−1)

e.d_i= 1 +k_i(r_i−1)_{para 1≤i≤u}

e,d∈Z^∗φ(N)⇒e,d< φ(N)⇒k <e e,di ∈Z^∗φ(r_i)⇒e,d< φ(ri)⇒ki<e

0≤k, k1, ..., ku<e Aplicando modepara calcular os valoresk, k1, ...ku.

N=

u

Y

i=1

ri

0 = 1 +k

u

Y

i=1

(ri−1)

0 = 1 +ki(ri−1)para 1≤i≤u

N

u

Q

i=1

k_i=

u

Q

i=1

(k_i−1)

u

Q

i=1

ki =k(−1)^u−1

(38)

N

u

Q

i=1

ki =

u

Q

i=1

(ki−1)

u

Q

i=1

ki=k(−1)^u−1

Onde o n´umero de solu¸c˜oes poss´ıveis para hk, k1, ..., kui:

α(u) =







0 seu= 1 eN ≡1 mode

1 seu= 1 eN 6≡1 mode

(e−2)^u−1−α(u−1) seu>1







Para o criptossistema RSA b´asico (u= 2)

Percival formulou que existeeposs´ıveis solu¸c˜oes parahk, k1, k2i. E poss´ıvel encontrar melhores valores para o´ k?

(39)

N

u

Q

i=1

ki =

u

Q

i=1

(ki−1)

u

Q

i=1

ki=k(−1)^u−1

Onde o n´umero de solu¸c˜oes poss´ıveis para hk, k1, ..., kui:

α(u) =







0 seu= 1 eN ≡1 mode

1 seu= 1 eN 6≡1 mode

(e−2)^u−1−α(u−1) seu>1







Percival formulou que existeeposs´ıveis solu¸c˜oes parahk, k1, k2i.

E poss´ıvel encontrar melhores valores para o´ k?

(40)

Calculando melhores valores parak

Lema:

Para umepequeno, os ⁿ_u bits mais significativos dedpode ser estimados eficientemente.

e.d= 1 +k

u

Y

i=1

(r_i−1) +kN−k

u

Y

i=1

r_i

d= 1 +kN

e +k

e(

u

Y

i=1

(ri−1)−

u

Y

i=1

ri))

d=d0+d1 ondelg|d1| ≈n−n

u

Em outras palavras, se calculamos o valor de d₀(k⁰) =1 +k⁰N

e

com o valor correto de k⁰ = k, vamos ter em d₀(k⁰) os ⁿ_u bits mais significativos ded.

(41)

Lema:

Para umepequeno, os ⁿ_u bits mais significativos dedpode ser estimados eficientemente.

e.d= 1 +k

u

Y

i=1

(r_i−1) +kN−k

u

Y

i=1

r_i

d= 1 +kN

e +k

e(

u

Y

i=1

(ri−1)−

u

Y

i=1

ri))

d=d0+d1 ondelg|d1| ≈n−n

u Em outras palavras, se calculamos o valor de

d₀(k⁰) =1 +k⁰N e

com o valor correto de k⁰ = k, vamos ter em d₀(k⁰) os ⁿ_u bits mais significativos ded.

(42)

Lembramos que temossk˜ com uma porcentagemδde bits corretos Temos emd˜um total de δnbits corretos

Calculamos o valor ded0 para cada valor poss´ıvel dek⁰(0< k <e).

d₀(k⁰) = 1 +k⁰N

e para 0< k <e onde um dosd₀(k⁰) tem o bits ⁿ_u mais significativos ded.

Os melhores valores parakest˜ao dados quando od0(k⁰) ed˜ tenham a menor distˆancia deHamming³

H(k⁰) =

n

X

i=n−ⁿ_u

d0(k⁰)[i]⊕d[i]˜

Melhor valor para k

k={k/H(k) = min(H(1), H(2), ..., H(e−1))}

3 N´umero de bits diferentes entre duas vari´aveis

(43)

Lembramos que temossk˜ com uma porcentagemδde bits corretos Temos emd˜um total de δnbits corretos

Calculamos o valor ded0 para cada valor poss´ıvel dek⁰(0< k <e).

d₀(k⁰) = 1 +k⁰N

e para 0< k <e onde um dosd₀(k⁰) tem o bits ⁿ_u mais significativos ded.

Os melhores valores parakest˜ao dados quando od0(k⁰) ed˜ tenham a menor distˆancia deHamming³

H(k⁰) =

n

X

i=n−ⁿ_u

d0(k⁰)[i]⊕d[i]˜

Melhor valor para k

k={k/H(k) = min(H(1), H(2), ..., H(e−1))}

3 N´

(44)

Calculandohk1, ..., kuionde k´e conhecido

Determinando os valores dehk₁, ..., k_uia partir dek:

N

u

Q

i=1

ki =

u

Q

i=1

(ki−1)

u

Q

i=1

ki=k(−1)^u−1 Vamos supor que temosL≡^u−2Q

i=1

[1−(k_i)⁻¹] eM ≡^u−2Q

i=1

k_i. Portanto 0≡k²_u−1−[(−1)ûkM⁻¹[N L⁻¹−1] + 1]k_u−1−(−1)ûkM⁻¹ Onde o número de solu¸cões poss´ıveis para hk1, ..., k_uiconhecendok:

β(u)≤2(e−2)^u−2

Heninger mostrou o seguinte sistema de equa¸c˜oes parahk, k1, k2i: 0 =k²₂−[k(N−1) + 1]k2−k

0 =k+k₁k₂

(45)

Calculandohk1, ..., kuionde k´e conhecido

Determinando os valores dehk₁, ..., k_uia partir dek:

N

u

Q

i=1

ki =

u

Q

i=1

(ki−1)

u

Q

i=1

ki=k(−1)^u−1 Vamos supor que temosL≡^u−2Q

i=1

[1−(k_i)⁻¹] eM ≡^u−2Q

i=1

k_i. Portanto 0≡k²_u−1−[(−1)ûkM⁻¹[N L⁻¹−1] + 1]k_u−1−(−1)ûkM⁻¹ Onde o número de solu¸cões poss´ıveis para hk1, ..., k_uiconhecendok:

β(u)≤2(e−2)^u−2 Para o criptossistema RSA b´asico (u= 2)

Heninger mostrou o seguinte sistema de equa¸c˜oes parahk, k1, k2i:

0 =k²₂−[k(N−1) + 1]k2−k 0 =k+k₁k₂

(46)

Corre¸c˜ao dos bits inferiores de:

Temosskh˜ d,˜r˜1,r˜2,d˜1,d˜2,hr˜3,d˜3i, ...,hr˜u,d˜uii

Sabemos queris s˜ao primos portanto podemos corrigir

˜

ri[0]= 1 para 1≤i≤u.

Sejaτ(x): o maior expoente da potˆencia de 2 tal que 2^τ(x)|x. Sabemos que 2|ri−1, ent˜ao temos que 2^1+τ(kⁱ⁾|ki(ri−1)

2^1+τ(kⁱ⁾|edi−1 edi−1≡0 mod 2^1+τ(kⁱ⁾

d_i≡e⁻¹ mod 2^1+τ(kⁱ⁾ para 1≤i≤u portanto podemos corrigir

d˜i[j]= (e⁻¹ mod 2^1+τ(kⁱ⁾)[j] para 0≤j ≤1 +τ(ki)e 1≤i≤u

(47)

Temosskh˜ d,˜r˜1,r˜2,d˜1,d˜2,hr˜3,d˜3i, ...,hr˜u,d˜uii

Sabemos queris s˜ao primos portanto podemos corrigir

˜

ri[0]= 1 para 1≤i≤u.

Sejaτ(x): o maior expoente da potˆencia de 2 tal que 2^τ(x)|x.

Sabemos que 2|r_i−1, ent˜ao temos que 2^1+τ(kⁱ⁾|k_i(r_i−1) 2^1+τ(kⁱ⁾|edi−1 edi−1≡0 mod 2^1+τ(kⁱ⁾

d_i≡e⁻¹ mod 2^1+τ(kⁱ⁾ para 1≤i≤u portanto podemos corrigir

d˜i[j]= (e⁻¹ mod 2^1+τ(kⁱ⁾)[j] para 0≤j ≤1 +τ(ki)e 1≤i≤u

(48)

Sabemos que 2|ri−1, ent˜ao temos que 2^u|

u

Q

i=1

(ri−1) 2^u+τ(k)|k

u

Y

i=1

(ri−1) 2^u+τ(k)|ed−1

ed−1≡0 mod 2^u+τ(k)

d≡e⁻¹ mod 2^u+τ(k) para 1≤i≤u portanto podemos corrigir

d[j]≡(e⁻¹ mod 2^u+τ(k))[j] para 0≤j≤u+τ(k)

(49)

Ideia do algoritmo de Reconstru¸c˜ao

Ideia do Algoritmo de Reconstru¸c˜ao

Temos as equa¸c˜oes do criptossistema RSA N =

u

Y

i=1

ri

ed= 1 +k

u

Y

i=1

(ri−1)

ed_i= 1 +k_i(r_i−1) para 1≤i≤u

(50)

Ideia do algoritmo de Reconstru¸c˜ao

Ideia do Algoritmo de Reconstru¸c˜ao

Equa¸c˜oes RSA definidas como polinˆomios f1(x1, x2, .., xu) =N−

u

Y

i=1

xi

f2(x1, x2, ...xu, y) =ey−1−k

u

Y

i=1

(xi−1)

f3i(xi, yi) =eyi−1−ki(xi−1) para 1≤i≤u onde a raiz solu¸cão desses polinômios é dado pela chave secretask

(y, x₁, x₂, y₁, y₂,(x₃, y₃), ...,(x_u, y_u)) =skhd, r₁, r₂, d₁, d₂,hr₃, d₃i, ...,hr_u, d_uii

(51)

Lema de Hensel

Lema de Hensel para multivari´aveis

Uma raizr=(r₁, r₂, ..., r_u)do polinˆomiof(x₁, x₂, ..., x_u) modπ^j pode ser usada para gerar uma raizr+b modπ^j+1se

b= (b1π^j, b2π^j, ..., buπ^j), 0≤bi≤π−1 é uma solu¸cão para a equa¸cão f(r+b) =f(r) +P

ibiπ^jfx_i(r)≡0 (modπ^j+1) (onde,fx_j ´e a derivada parcial def com rela¸c˜ao axj) Onde a partir de uma raiz

hd⁰, r⁰₁, r⁰₂, d⁰₁, d⁰₂,hr⁰₃, d⁰₃i, ...,hr⁰_u, d⁰_uii|f1(r₁⁰, r₂⁰, .., r⁰_u) mod 2^j

f₂(r₁⁰, r₂⁰, .., r⁰_u, d⁰) mod 2^j+τ(k) f3_i(r_i⁰, d⁰_i) mod 2^j+τ(kⁱ⁾_{para 1≤i≤u}

(52)

Lema de Hensel

ibiπ^jfx_i(r)≡0 (modπ^j+1) (onde,fx_j ´e a derivada parcial def com rela¸c˜ao axj) vamos gerar uma raiz

hd^∗, r₁^∗, r^∗₂, d^∗₁, d^∗₂,hr₃^∗, d^∗₃i, ...,hr^∗_u, d^∗_uii |f1(r₁^∗, r^∗₂, .., r^∗_u) mod 2^1+j

f₂(r₁^∗, r^∗₂, .., r^∗_u, d^∗) mod 2^1+j+τ(k) f3_i(r^∗_i, d^∗_i) mod 2^1+j+τ(kⁱ⁾para 1≤i≤u.

(53)

Lema de Hensel

Uma raizr=(r1, r2, ..., ru)do polinˆomiof(x1, x2, ..., xu) modπ^j pode ser usada para gerar uma raizr+b modπ^j+1se

b= (b₁π^j, b₂π^j, ..., b_uπ^j), 0≤b_i≤π−1 é uma solu¸cão para a equa¸cão f(r+b) =f(r) +P

ib_iπ^jf_x_i(r)≡0 (modπ^j+1) (onde,f_x_j ´e a derivada parcial def com rela¸c˜ao ax_j) Segundo o lema de Hensel

d^∗=d⁰+ 2^j+τ(k)d[j+τ(k)]

r^∗_i =r⁰_i+ 2^jri[j] para 1≤i≤u d^∗_i =d⁰_i+ 2^j+τ(kⁱ⁾d_i[j+τ(k_i)] para 1≤i≤u

(54)

Lema de Hensel

ibiπ^jfx_i(r)≡0 (modπ^j+1) (onde,fx_j é a derivada parcial def com rela¸cão axj) Onde devem se cumprir as seguintes equivalências:

N−

u

Y

i=1

r⁰_i

! [j]≡

u

X

i=1

ri[j] mod 2

ed⁰−1−k

u

Y

i=1

(r⁰_i−1)

!

[j+τ(k)]≡d[j+τ(k)] mod 2

(edi−1−ki(r⁰_i−1))[j+τ(ki)]≡ri[j]+di[j+τ(ki)] mod 2_{para 1≤i≤u}

(55)

Vamos definirroot[j−1]como um conjunto de ra´ızes do tipo hd⁰, r⁰₁, r⁰₂, d⁰₁, d⁰₂,hr⁰₃, d⁰₃i, ...,hr⁰_u, d⁰_uii

que ´e raiz comum dos polinˆomios RSA f₁(r₁⁰, r₂⁰, .., r_u⁰) mod 2^j

f2(r₁⁰, r₂⁰, .., r_u⁰, d⁰) mod 2^j+τ(k) f₃_i(r⁰_i, d⁰_i) mod 2^j+τ(kⁱ⁾_{para 1≤i≤u}

root[0]→root[1]→root[2]→...→roothn u i

onde:

root[0]= [he⁻¹,1₁,1₂, e⁻¹₁ , e⁻¹₂ ,h13, e⁻¹₃ i, ...,h1u, e⁻¹_u ii] com

e⁻¹=e⁻¹ mod 2^1+τ(k) e_e−1

i =e⁻¹ mod 2^1+τ(ki)para 1≤i≤u.

hd, r˜ ₁, r₂, d₁, d₂,hr3, d₃i, ...,hru, d_uii∈root_n

u

(56)

Vamos definirroot[j−1]como um conjunto de ra´ızes do tipo hd⁰, r⁰₁, r⁰₂, d⁰₁, d⁰₂,hr⁰₃, d⁰₃i, ...,hr⁰_u, d⁰_uii

que ´e raiz comum dos polinˆomios RSA f₁(r₁⁰, r₂⁰, .., r_u⁰) mod 2^j

f2(r₁⁰, r₂⁰, .., r_u⁰, d⁰) mod 2^j+τ(k) f₃_i(r⁰_i, d⁰_i) mod 2^j+τ(kⁱ⁾_{para 1≤i≤u}

root[0]→root[1]→root[2]→...→roothn u i

onde:

root[0]= [he⁻¹,11,12, e⁻¹₁ , e⁻¹₂ ,h13, e⁻¹₃ i, ...,h1u, e⁻¹_u ii] com

e⁻¹=e⁻¹ mod 2^1+τ(k) e_e−1

i =e⁻¹ mod 2^1+τ(ki)para 1≤i≤u.

hd, r˜ ₁, r₂, d₁, d₂,hr3, d₃i, ...,hru, d_uii∈root_n

u