在不知道任何密钥的情况下攻击RSA

Question

所有对RSA的攻击似乎至少需要知道密文和公钥。

然而，是否有任何证据表明，一次攻击只是使用足够多的密文来计算公钥和/或私钥，如果是的话，建议采取什么方法来缓解这种情况？

Answer 1

我认为从来没有人通过破解PLAID的隐私声明(PLAID)，即澳大利亚人类服务部( 密码学家判别公钥 of Human Services )开发的IDentity轻量级认证协议(IDentity轻量级认证协议)，通过解决密文上的德国坦克问题来发现整个公钥--所有(比如) 2048位n位--的公钥。

PLAID的基本思想是智能卡的识别协议:当您将智能卡放入合法的医院终端时，终端向智能卡证明它代表合法医院，智能卡将您识别到终端，然后终端向您提供保健服务，就像自动售货机。

PLAID旨在为恶意终端提供隐私:如果您将智能卡放入无法向您的智能卡证明其代表合法医院的恶意终端中，则该终端将无法将您的智能卡与任何其他卡区分开来。

然而，在协议中，智能卡有时会显示存储在智能卡上的公开密钥n下的RSA密文，甚至显示到非法终端。Every密文在 n > is下为非负整数c <#>n ><#>><#>，但由于>nn <#>is对每个键不同，每个键的密文上界不同。

具体而言，恶意终端可以使用第二次世界大战期间英国统计学家使用的同样方法，通过检查所有小于坦克总数n的被俘坦克的序列号c来估计德国坦克的数量。这个估计值的<#>The粒度仅通过检查智能卡生成的足够数量的密文就足以区分两张智能卡的公钥。

并非所有的公钥密码系统都具有这种特性--例如，大多数依赖于在单个标准组(如X25519或Ed25519 )中计算离散日志的困难的公钥加密和签名方案--往往自然地提供公钥加密的密钥隐私、匿名签名或签名的密钥不可分辨性 (免付费墙)的各种相关概念。