what
RSA算法是什么以及实现原理,这个不需要我也轮不到我来讲,比较深入浅出的是阮一峰的两篇《RSA算法原理》博客,大家去谷他一歌即可。本文需要读者了解非对称加密的概念。
本文提到RSA算法主要是为了讲Fault Injection(以下简称FI)攻击的数学原理,而讲解FI的数学原理又必须要牵涉到RSA算法的数学原理。实际上,FI攻击不仅可以针对RSA加密算法,也可以针对其他加密算法,不过RSA加密算法的数学原理相对容易理解,相应的FI攻击的数学原理也相对容易理解,所以挑选RSA算法及其对应的FI攻击原理来展开本文。
作为一篇马桶上读物,本文不会牵涉到艰深晦涩的数学公式推导及证明,因为主要一方面是我不会,另一方面本人自从若干年前丧失数学能力之后,一直对那些满篇数学公式猛推如虎的文章深恶痛绝,感到智商受到万吨伤害之余也忍不住想骂一句《大话西游》里的台词:”一天到晚就知道哦哦哦,完全不管人家受得了受不了“。
因此本文不可避免会牵涉一定的数学公式,但我保证都是高中数学范畴,且会用最通俗化的语言解释what、how以及why。
how
假设有两人S(sender)以及R(receiver),S想要通过RSA算法来加密自己的信息发送给R,具体应该怎么做呢?
对于R来说(注意,这里是接收者的公钥及私钥计算过程,而不是想当然的发送者的公钥及私钥计算过程):
· 第一步,随机选择两个不相等的质数p和q。
假设R选择了61和53,则:
p = 61
q = 53
· 第二步,计算p和q的乘积。
n = p * q = 61 * 53 = 3233
· 第三步,计算n的欧拉函数φ(n)。
欧拉函数的概念:
任意给定正整数n,请问在小于等于n的正整数之中,有多少个与n构成互质关系?(比如,在1到8之中,有多少个数与8构成互质关系?)
计算这个值的方法就叫做欧拉函数,以φ(n)表示。
欧拉函数有如下性质:
1. 如果n是质数,则φ(n) = n - 1
2. 令n = p * q,则φ(n) = φ(p * q) = φ§ * φ(q)
即,积的欧拉函数等于各个因子的欧拉函数之积。
根据上面的性质,易知:
φ(n) = φ(p * q) = φ(p) * φ(q) = (p - 1) * (q - 1)
R算出来:
φ(n) = 60 * 52 = 3120
· 第四步,随机选择一个整数e,满足1 < e < φ(n),且e与φ(n)互质。
假设R在1到3120之间,R随机选择了17,则:
e = 17
· 第五步,计算e对于φ(n)的模反元素d。
什么是模反元素呢:
如果两个正整数a和n互质,那么一定可以找到整数b,使得 ab-1 被n整除,或者说ab被n除的余数是1。记作:
ab ≡ 1 (mod n)
b就叫做a的"模反元素"。
上述概念中的数学公式,等价于计算机编程语言里的表示方法(好理解一些):
ab % n = 1
套用模反元素的概念可知,我们一定能找到一个整数d,使得ed被φ(n)除的余数为1,即:
ed ≡ 1 (mod φ(n))
该式等价于:
ed - 1 = kφ(n)
于是,找到模反元素d,实质上就是对下面这个二元一次方程求解:
ex + φ(n)y = 1
已知e = 17,φ(n) = 3120,代入上式:
17x + 3120y = 1
此方程可以用”扩展欧几里得算法“求解,此处省略具体求解过程。
总之,R算出一组整数解为(x, y) = (2753, -15),即:
d = 2753
· 第六步,将n和e封装成公钥,n和d封装成私钥。
我们的例子里,n = 3233,e = 17,d = 2753,因此公钥为(3233, 17),私钥为(3233, 2753)。其中,私钥中的d是公钥中的e对于φ(n)的模反元素。
公钥是公开的密钥,也就是说,任何人(当然包括S发送者)都可以知道n和e的值;私钥是只有接收者R自己知道的密钥,也就是说,只有R自己知道d的值。
对于攻击者来说,TA想探取的就是这个私钥,私钥里的n是已知的,剩下需要探取的就是这个d的值。
至于RSA算法的可靠性,阮一峰的博客里有详细证明这里不再赘述。总之结论是,在已知n和e,且n和e的长度满足一定条件的前提下,是无法通过数学推导或在可观的时间内暴力破解出d的,因而保证了私钥的不可破解性。
another how
通过第二节,我们了解了RSA公钥及私钥运算过程,涉及到的数学公式、定理、概念经过去繁存简,也都是一目了然的。
这一节讲解在获取到RSA算法的公钥及私钥后,如何利用公钥私钥体系来进行数据的加密及解密:
· 加密要用公钥(n, e)
假设S要向R发送加密信息m,S先用R的公钥(n, e)对m进行加密(这里注意m必须是整数,字符串可以取ASCII值或unicode值),且m必须小于n。
所谓的“加密”,就是算出下面式子的c:
R的公钥是(3233, 17),S的m假设是65,代入上式:
于是,计算出的密文c等于2790,S就把2790发送给了R。
注意,这里明文为m,也就是65;经过R的公钥加密后,密文c为2790。
· 解密要用私钥(n, d)
R拿到S发过来的2790(c,密文)后,用自己的私钥(3233, 2753)进行解密。可以证明,下式成立:
也就是说,c的d次方除以n的余数为m(对n求余为m)。现在c等于2790,私钥是(3233, 2753),那么R算出:
因此,R知道了S加密前的原文m就是65。
以上就是RSA“加密-解密”的全过程。
what’s Fault Injection
Fault Injection攻击是啥呢,通俗地来说,就是将要攻击的目标(芯片、算法)看作是一个黑盒子,在能对黑盒内部的一些数据属性,进行一定程度的、可控的干涉影响的条件下,人为地构造一些错误,并通过观察这个黑盒在错误情况下的输出,来反推黑盒里的一些数据属性。
当然这是我个人的理解及概括,肯定不严谨,而且我也不是这方面的专家,只是与高晓松他六叔聊天得知FI这一硬件攻击技术手段并阅读了一些文献,了解了一些皮毛。
FI被证明是一个很有效的用于秘钥窃取的攻击手段,可以针对目前几乎所有的加密算法,包括AES,DES,RC4,RSA以及ECC。
how FI works
针对RSA的FI攻击,只能在解密阶段施展。
易读性起见,这里再罗列上文提到的若干关键变量:
p和q是随机挑选的一对不相等的质数。
n = p * q
e是随机挑选的,1 < e < φ(n),且e与φ(n)互质。
d和e是一对关于φ(n)的模反元素。
(n, d)为私钥,(n, e)为公钥。
m为明文,c为密文
我现在假设:
1. 你手上已经有一块芯片,里面运行的是RSA解密算法。换句话说,此芯片内部一定包含解密所需的私钥(n,
d)。现在攻击的目标,就是探取私钥(n, d)中的d(n属于公钥的一部分,是已知的)。
2. 通过一定的手段,你可以翻转d中的任意一个bit位。换句话说,你做下一个手脚后(激光照射、降频降压、火烧电击,whatever),会使得如果d中的某一个bit原来为0,在做完手脚后这个bit会变为1;反之亦然。当然你是不知道d的任意一个bit位原来到底是0还是1,但是你有手段可以使其发生翻转。
3. 对于每一组输入的密文,通过这颗芯片的运算(RSA解密算法黑盒),你总是可以捕获到它的输出。
再把前文描述到的RSA解密过程所需的公式写在下面:
上式等价于:
对于每组输入的密文c,解密芯片中的算法,总是能通过自己的私钥d,算出原文m。
关键的部分到了,下面是FI数学原理的分析过程:
· 假设d的第i个bit位原来为0,那么在做了一次手脚后,该位会被翻转成1,翻转后的d值记为(d撇):
易知,此情况下:
此情况下,对于输入密文c(此密文攻击者可以自己构造),记c在秘钥d被篡改成d撇后的解密输出为m撇:
则有:
m、m撇可以通过捕获输出得知,c、i是攻击者构造的,n已知。
· 假设d的第i个bit位原来为1,那么在做了一次手脚后,该位会被翻转成0。
易知,此情况下:
同理易得:
也就是说:在相同的密文c输入下,可以观察,分别在d和d撇的情况下,解密输出的m和m撇的比值到底是
还是
来反推d的第i位原来到底是0还是1。
如果对d的每一个bit位都尝试做一次手脚,就可以探知d的值。
这里还可以通过翻转c的若干bit位施展攻击,具体不再详述。
summary
从RSA的算法构造,到FI攻击反窥私钥,无处不是数学。
在感叹构思出这些方法之人(无论是攻还是防)的智慧之余,无不惋惜自己数学能力的低下,大概也只能做个码农。
本文是我的一点粗略心得,起抛砖引玉之功效,纰漏之处在所难免,恭请斧正。
另,文末附上一段我之前用python写的玩具级别的RSA算法实现,包括了公钥、私钥生成及加解密过程,可以起一窥算法流程关节之作用,感兴趣的话可以取食。
#!/usr/bin/python
class rsa:
def __init__(self, p, q):
self.p = p;
self.q = q;
def __get_list__(self):
e_list = []
for n in range(2, self.phi):
if self.__gcd__(self.phi, n) == 1:
e_list.append(n)
return e_list
def __extend_Eulid__(self):
def __get_args_list__(x, y):
# assume x > y
if y == 0:
return x
t = x / y
m = x % y
self.x_list.append(x)
self.xt_list.append(1)
self.y_list.append(y)
self.yt_list.append(t)
self.m_list.append(m)
return __get_args_list__(y, m)
__get_args_list__(self.phi, self.e)
self.x_list.pop()
self.xt_list.pop()
self.y_list.pop()
self.yt_list.pop()
self.m_list.pop()
for i in range(0, len(self.yt_list)):
self.yt_list[i] = -self.yt_list[i]
self.m_list.reverse()
self.x_list.reverse()
self.xt_list.reverse()
self.y_list.reverse()
self.yt_list.reverse()
m = self.m_list[0]
x = self.x_list[0]
xt = self.xt_list[0]
y = self.y_list[0]
yt = self.yt_list[0]
# x always greater than y
for i in range(1, len(self.m_list)):
tmp_yt = yt
tmp_xt = xt
x = self.x_list[i]
xt = self.xt_list[i] * tmp_yt
y = self.y_list[i]
yt = tmp_xt + self.yt_list[i] * tmp_yt
return yt % self.phi
def __gcd__(self, x, y):
# assume x > y
if y == 0:
return x
return self.__gcd__(y, x % y)
def gen_key( self ):
self.x_list = []
self.xt_list = []
self.y_list = []
self.yt_list = []
self.m_list = []
self.n = p * q
self.phi = (p - 1) * (q - 1)
self.e = int(raw_input("input e " + str(self.__get_list__()) + ": "))
self.d = self.__extend_Eulid__()
def encode(self, m):
return m ** self.e % self.n
def dncode(self, c):
return c ** self.d % self.n
if __name__ == "__main__":
p = int(raw_input("input p: "))
q = int(raw_input("input q: "))
ins_rsa = rsa(p = p, q = q)
ins_rsa.gen_key()
while True:
m = int(raw_input("input m:"))
c = ins_rsa.encode(m)
print c
m = ins_rsa.dncode(c)
print m
