Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Key Recovery Algorithm of Erroneous RSA Private Key Bits Using Generalized Probabilistic Measure

일반화된 확률 측도를 이용하여 에러가 있는 RSA 개인키를 복구하는 알고리즘

  • Received : 2016.07.06
  • Accepted : 2016.08.31
  • Published : 2016.10.31
Download PDF
⟨ Previous Next ⟩

Abstract

It is well-known that, if additional information other than a plaintext-ciphertext pair is available, breaking the RSA cryptosystem may be much easier than factorizing the RSA modulus. For example, Coppersmith showed that, given the 1/2 fraction of the least or most significant bits of one of two RSA primes, the RSA modulus can be factorized in a polynomial time. More recently, Henecka et. al showed that the RSA private key of the form (p, q, d, $d_p$, $d_q$) can efficiently be recovered whenever the bits of the private key are erroneous with error rate less than 23.7%. It is notable that their algorithm is based on counting the matching bits between the candidate key bit string and the given decayed RSA private key bit string. And, extending the algorithm, this paper proposes a new RSA private key recovery algorithm using a generalized probabilistic measure for measuring the consistency between the candidate key bits and the given decayed RSA private key bits.

RSA 시스템에서 암 복호문 이외의 부가 정보가 주어졌을 때 개인키를 알아내는 것은 소인수분해보다 더 쉬울 수 있음이 잘 알려져 있다. 예를 들어, Coppersmith는 RSA 시스템을 구성하는 소수 중 하나의 최상위 또는 최하위 비트의 절반 이상이 주어지면 RSA 모듈러스가 다항식 시간 안에 인수분해될 수 있음을 보였다. 또한 Henecka 등은(p, q, d, $d_p$, $d_q$) 형태의 RSA 개인키 비트 중 23.7%에 해당하는 비트에 에러가 삽입되더라도 원래의 RSA 개인키를 복구할 수 있는 알고리즘을 제안하였고, 이를 위해 후보 키 비트와 에러가 삽입된 RSA 개인키 비트 사이의 서로 매칭이 되는 비트들의 개수를 사용할 것을 제안하였다. 본 논문에서는 Henecka 등의 방법을 확장하여, 후보 키 비트와 에러가 삽입된 개인키 비트 사이의 일치되는 정도를 보여주는 좀 더 일반화된 확률 측도의 사용과 이 측도를 사용한 RSA 개인키 복구 알고리즘을 제시한다.

Keywords

References

  1. R. Rivest, A. Shamir, and L. Adleman, "A method for obtaining digital signatures and public-key cryptosystems," Communications of the ACM, vol. 21, no. 2, pp. 120-126, Feb. 1978. https://doi.org/10.1145/359340.359342
  2. RSA Laboratories, "PKCS #1 v2.2: RSA Cryptography Standard," Oct. 2012.
  3. D. Coppersmith, "Small solutions to polynomial equations, and low exponent RSA vulnerabilities," Journal of Cryptology, vol. 10, no. 4, pp. 233-260, Sep. 1997. https://doi.org/10.1007/s001459900030
  4. D. Boneh, G. Durfee, and N. Howgrave-Graham, "Factoring $n=p^rq$ for large r," Advances in Cryptology, CRYPTO '99, LNCS 1666, pp. 326-337, 1999.
  5. N. Heninger and H. Shacham, "Reconstructing rsa private keys from random key bits," Advances in Cryptology, CRYPTO '09, LNCS 5677, pp. 1-17, 2009.
  6. W. Henecka, A. May, and A. Meurer, "Correcting errors in RSA private keys," Advances in Cryptology, CRYPTO '10, LNCS 6223, pp. 351-369, 2010.
  7. W. Hoeffding, "Probability inequalities for sums of bounded random variables," Journal of the American Statistical Association, vol. 58, no. 301, pp. 13-30, 1963. https://doi.org/10.1080/01621459.1963.10500830
  8. NTL: A library for doing number theory, available at www.shoup.net/ntl
  9. National Institute of Standards and Technology, "Secure Hash Standard (SHS)," FIPS PUB 180-4, Mar. 2012.