Journal of the Korea Institute of Information Security & Cryptology (정보보호학회논문지)

Korea Institute of Information Security and Cryptology (한국정보보호학회)
권호 표지
DOI QR코드

DOI QR Code

Key Recovery Algorithm from Randomly-Given Bits of Multi-Prime RSA and Prime Power RSA

비트 일부로부터 Multi-Prime RSA와 Prime Power RSA의 개인키를 복구하는 알고리즘

  • Received : 2016.09.05
  • Accepted : 2016.11.17
  • Published : 2016.12.31
Download PDF
⟨ Previous Next ⟩

Abstract

The Multi-Prime RSA and the Prime Power RSA are the variants of the RSA cryptosystem, where the Multi-Prime RSA uses the modulus $N=p_1p_2{\cdots}p_r$ for distinct primes $p_1,p_2,{\cdots},p_r$ (r>2) and the Prime Power RSA uses the modulus $N=p^rq$ for two distinct primes p, q and a positive integer r(>1). This paper analyzes the security of these systems by using the technique given by Heninger and Shacham. More specifically, this paper shows that if the $2-2^{1/r}$ random portion of bits of $p_1,p_2,{\cdots},p_r$ is given, then $N=p_1p_2{\cdots}p_r$ can be factorized in the expected polynomial time and if the $2-{\sqrt{2}}$ random fraction of bits of p, q is given, then $N=p^rq$ can be factorized in the expected polynomial time. The analysis is then validated with experimental results for $N=p_1p_2p_3$, $N=p^2q$ and $N=p^3q$.

Multi-Prime RSA와 Prime Power RSA는 변형 RSA 시스템의 일종이며, 이 중에서 Multi-Prime RSA는 서로 다른 r(r>2)개의 소수 $p_1,p_2,{\cdots},p_r$에 대하여 $N=p_1p_2{\cdots}p_r$을, Prime Power RSA는 서로 다른 소수 p, q와 양의 정수 r(>1)에 대하여 $N=p^rq$를 각각 모듈러스로 사용한다. 본 논문에서는 Heninger와 Shacham에 의해 제안된 방법을 사용하여 이 시스템들에 대한 안전성을 분석하며 구체적으로, 만약 $p_1,p_2,{\cdots},p_r$의 전체 비트 중 $2-2^{1/r}$의 비율에 해당하는 비트가 랜덤하게 주어지면 $N=p_1p_2{\cdots}p_r$이 다항식 시간 안에 소인수분해될 수 있음을, 그리고 p, q의 전체 비트 중 $2-{\sqrt{2}}$의 비율에 해당하는 비트가 랜덤하게 주어지면 $N=p^rq$가 다항식 시간 안에 소인수분해될 수 있음을 각각 보인다. 또한 $N=p_1p_2p_3$, $N=p^2q$, $N=p^3q$에 적용한 실험 결과를 통해 본 논문의 결과를 검증한다.

Keywords

References

  1. R.L. Rivest, A. Shamir, and L.M. Adleman, "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems," Communications of the ACM, vol. 21, no. 2, pp. 120-126, Feb. 1978. https://doi.org/10.1145/359340.359342
  2. R.L. Rivest, A. Shamir, and L.M. Adleman, "Cryptographic Communications System and Method," US Patent 4,405,829, 1983.
  3. T. Takagi, "Fast RSA-type Cryptosystem Modulo $p^kq$," Advances in Cryptology, CRYPTO '98, LNCS 1462, pp. 318-326, 1998.
  4. T. Takagi, "A Fast RSA-type Public-Key Primitive Modulo $p^kq$ Using Hensel Lifting," IEICE Transactions, vol. 87-A, no. 1, pp. 94-101, Jan. 2004.
  5. D. Coppersmith, "Small Solutions to Polynomial Equations, and Low Exponent RSA Vulnerabilities," J. Cryptology, vol. 10, no. 4, pp. 233-260, Sep. 1997. https://doi.org/10.1007/s001459900030
  6. D. Boneh, G. Durfee, and N. Howgrave-Graham, "Factoring n = $p^rq$ for Large r," Advances in Cryptology, CRYPTO '99, LNCS 1666, pp. 326-337, 1999.
  7. N. Heninger and H. Shacham, "Reconstructing RSA Private Keys from Random Key Bits," Advances in Cryptology, CRYPTO '09, LNCS 5677, pp. 1-17, 2009.
  8. M.J. Hinek, "On the Security of Some Variants of RSA," Ph. D Thesis, University of Waterloo, 2007.
  9. RSA Security Inc., "Public-Key Cryptography Standards (PKCS) #1 v2.1: RSA Cryptography Standard," 2002.
  10. NTL: A Library for Doing Number Theory, available at www.shoup.net/ntl
  11. S. Sarkar, "Revisiting Prime Power RSA," Discrete Applied Mathematics vol. 203, pp. 127-133, Apr. 2016. https://doi.org/10.1016/j.dam.2015.10.003