用多项式分解“短袖”RSA密钥
研究人员发现,某些 RSA 私钥的比特位严重偏向 0,这种特性可被检测并导致快速分解。与 badkeys 项目的 Hanno Böck 合作,他们发现了数百个具有此特性的唯一密钥,并分析历史数据以追踪该问题的演变。这些密钥中 0 比特的分布模式往往高度结构化,从而使得能够开发基于多项式的密码分析技术以利用该模式。研究人员识别出两类具有重复 0 比特块的 RSA 模数模式,其中一种模式尚未得到解释,另一种则归因于旧版 CompleteFTP 文件传输软件中大整数代码的类型不匹配。CompleteFTP 的漏洞还生成了易受攻击的短袖 DSA 密钥;研究人员通过互联网扫描恢复了 603 个唯一的 RSA 私钥和 74 个 DSA 密钥。badkeys 项目是一个开源服务,用于检查公钥是否存在已知漏洞;通过对真实世界密钥数据集的搜索,研究人员发现了大量在野外存在且具有上述模式的密钥。研究人员逆向工程了 CompleteFTP 的漏洞,发现其根源在于 limbs 的大小与随机数生成器(RNG)输出大小之间的不匹配。在 CompleteFTP 团队发布了一个自动检查易受攻击密钥并在需要时提示用户重新生成密钥的更新后,该漏洞已被遏制。研究人员还开发了一种通过将整数表示为多项式来进行整数分解的技术,该技术可用于分解一般的 RSA 模数。这些漏洞的发现凸显了实践研究的重要性,以及持续监控密码学实现以识别和解决潜在弱点的需求。
