CRT-RSA 算法的选择明文攻击

由于同等密钥长度的CRT-RSA算法比普通RSA算法的运算速度快4倍左右,因此得到广泛的应用,其算法实现的安全性也就尤为重要.该文针对用于数字签名的CRT-RSA算法,提出基于选择明文的两类攻击方法:一类是通过特殊的选择明文的方法,从而操控Sq的值,然后利用Sq的相关性分析得到p（q）或mmod p（q）,进而破解CRT-RSA算法;一类是针对采用蒙哥马利模乘实现的CRT-RSA算法,利用蒙哥马利参数的特殊性,提出一种选择明文的攻击方法.第一类攻击方法又分为两种实现方式,对第二种实现方式进行了实验验证,实验中通过对p从低到高逐16bit进行相关性攻击,实验发现正确的密钥的相关性系数大部分排在第一位,并且与第二名有着0.01到0.03的差距,每16比特密钥的攻击时间约为20分钟,完整的1024位的p耗时约10小时.第二类攻击方法的仿真实验表明,密钥最高字段的值越大,越有利于攻击.第二类攻击方法实验结果表明,在20000多条有效曲线的情况下,正确密钥的相关性系数达到了0.15,比错误密钥的相关性系数高50%实验证明,该方法可以成功得到密钥.最后针对本文的攻击方法,提出了两种防御方案.