安托万·朱;大卫·纳卡切;埃曼纽尔·托马 当\(e \)-th根变得比因子分解更容易时。 (英语) Zbl 1153.11345号 Kurosawa,Kaoru(编辑),《密码学进展——亚洲密码》,2007年。第十三届密码学和信息安全理论与应用国际会议,马来西亚古晋,2007年12月2-6日。诉讼程序。柏林:施普林格出版社(ISBN 978-3-540-76899-9/pbk)。计算机科学课堂讲稿4833,13-28(2007)。 小结:我们表明,在对输出形式为(x{i}+c)的数字根的预言机进行次指数访问的情况下,计算模的(e)-th根要比使用当前已知方法进行因式分解容易。这里,\(c\)是固定的,\(x_{i}\)表示攻击者选择的小整数。攻击有两种类型:–这里通过在\(L_n(\frac{1}{3},\frac{32}{9}}的\root3\)中产生形式为\(x{i}+c\)的选择性根来说明第一个版本。这与特殊数字域筛(SNFS)的复杂性相匹配。–第二个变量在次指数级的oracle查询之后计算\(L_n(\frac{1}{3},\gamma)\)中的任意\(e)-th根。常量\(\gamma\)取决于使用的oracle类型。这特别解决了One More RSA Inversion问题,其中\(e)-th根预言符不限于特殊形式的数字。上述常量\(\gamma\)是\({\frac{32}{9}}的\root3\)。将oracle约束为\(\root e\ of{x_i+c}\bmod n\)形式的根会增加\(\gamma\)。这两种方法都比使用GNFS((L_n(\frac{1}{3},\root3\of{frac{64}{9}}))进行因子分解更快。这进一步说明了RSA的延展性,特别是RSA对仿射伪造的抵抗能力——这是一个已知的{n}的多项式问题,但在此之前,还没有比因子分解更快的算法。关于整个系列,请参见[Zbl 1135.94001号]. 引用于5文件 MSC公司: 2016年11月 数字理论算法;复杂性 11T71型 代数编码理论;密码学(数论方面) 2005年11月 保理化 94A60型 密码学 关键词:RSA公司;保理;国家安全局;根 PDF格式BibTeX公司 XML格式引用 \textit{A.Joux}等人,Lect。注释计算。科学。4833,13-28(2007;Zbl 1153.11345) 全文: DOI程序 参考文献: [1] Aoki,K.,Franke,J.,Kleinjung,T.,Lenstra,A.,Osvik,D.:电子新闻组发布公告,宣布snfs对第1039个Mersenne数进行因子分解(2007年5月21日),http://www.loria.fr/zimmerma/records/21039- [2] 贝拉雷,M。;Namprempre,C。;Pointcheval,D。;Semanko,M.,《One-More-RSA-转换问题与Chaum盲签名方案的安全性》,《密码学杂志》,16,3,185-215(2003)·Zbl 1045.94012号 ·doi:10.1007/s00145-002-0120-1 [3] Buhler,J.P。;Lenstra,A.K。;Pollard,J.M。;Lenstra,A.K。;Lenstra,H.W.Jr.,用数字域筛分解整数,数字域筛的发展,50-94(1993),海德堡:施普林格,海德伯格·Zbl 0806.11067号 ·doi:10.1007/BFb0091539 [4] 布里尔,埃塞。;Clavier,C。;科隆,J.-S。;Naccache,D。;Kilian,J.,《固定模式填充RSA签名的密码分析》,《密码学进展-密码学》2001,433-439(2001),海德堡:斯普林格,海德伯格·Zbl 1003.94523号 [5] Commeine,A.公司。;塞马耶夫,I。;Yung,M。;Dodis,Y。;Kiayias,A。;Malkin,T.G.,用数字域筛解决离散对数问题的算法,公钥密码-PKC 2006,174-190(2006),海德堡:Springer,Heidelberg·Zbl 1151.94499号 ·doi:10.1007/11745853_12 [6] 科罗恩,J.-S。;Naccache,D。;斯特恩,J.P。;Wiener,M.J.,《关于RSA填充的安全性》,《密码学进展-密码学’99,1-18(1999)》,海德堡:斯普林格出版社·Zbl 0940.94010号 [7] De Jonge,W。;Chaum,D。;Williams,H.C.,《对一些RSA签名的攻击》,《密码学进展》,18-27(1986),海德堡:施普林格 [8] Eberly,W。;吉斯布雷奇特,M。;乔治·P。;Storjohann,A。;维拉德·G。;Trager,B.M.,《求解稀疏有理线性系统》,ISSAC 2006,63-70(2006),纽约:ACM出版社,纽约·Zbl 1356.65118号 ·doi:10.1145/1145768.1145785 [9] Eberly,W。;吉斯布雷希特,M。;乔治·P。;Storjohann,A。;维拉德·G。;Brown,C.W.,《使用有效块投影进行快速反演和其他黑盒矩阵计算》,ISSAC 2007,143-150(2007),纽约:ACM出版社,纽约·Zbl 1190.65072号 [10] Girault,M。;Misarksy,J.-F。;Fumy,W.,《使用冗余选择性伪造RSA签名》,《密码学进展-欧洲密码》,1997年,第495-507页(1997年),海德堡:斯普林格出版社 [11] Joux,A。;Lercier,R.,对素数域中离散对数的一般数域筛的改进。与高斯整数方法的比较,计算数学,242,72,953-967(2003)·Zbl 1099.11074号 ·doi:10.1090/S0025-5718-02-01482-5 [12] Lenstra,A.K。;Lenstra,H.W.Jr。;马纳塞,M.S。;波拉德,J.M。;Lenstra,A.K。;Lenstra,H.W.Jr.,《数值场筛》,《数值场筛的发展》,11-42(1993),海德堡:施普林格出版社·Zbl 0806.11065号 ·doi:10.1007/BFb0091537 [13] 伦斯特拉,A.K。;Shparlinski,I.,用固定模式填充选择性伪造RSA签名,第五届公钥密码系统实践和理论国际研讨会论文集:公钥密码术,228-236(2002),海德堡:斯普林格·Zbl 1055.94524号 [14] Misarsky,J.-F.,《对冗余RSA签名使用LLL算法的乘法攻击》,《加密学报》1997,221-234(1997),海德堡:施普林格,海德伯格·Zbl 0882.94024号 [15] Misarsky,J.-F。;Imai,H。;Zheng,Y.,How(not)to design RSA signature schemes,Public Key Cryptography,14-28(1998),海德堡:Springer,Heidelberg·Zbl 1067.94553号 ·doi:10.1007/BFb0054011 [16] 蒙哥马利,P.L.:代数数乘积的平方根。收录于:W.Gautschi,Ed.,《1943-1993年计算数学:半个世纪的计算数学》,Proc.48卷。交响乐。申请。数学。,第567-571页。AMS(1994)·Zbl 0819.11069号 [17] Rivest,R.、Shamir,A.、Adleman,L.:获取数字签名和公钥密码系统的方法。CACM 21(1978)·Zbl 0368.94005号 [18] RSA Laboratories,pkcs#1:RSA加密规范,2.0版(1998年9月) [19] Schirokauer,O.,《离散对数和局部单位》,Philos。事务处理。罗伊。Soc.伦敦Ser。a、 3451676409-423(1993)·Zbl 0795.11063号 ·doi:10.1098/rsta.1993.0139 此参考列表基于出版商或数字数学图书馆提供的信息。其项与zbMATH标识符进行启发式匹配,可能包含数据转换错误。在某些情况下,zbMATH Open的数据对这些数据进行了补充/增强。这试图尽可能准确地反映原始论文中列出的参考文献,而不要求完整或完全匹配。