Востановление утерянного закрытого ключа RSA

ntldr
Все от длины ключа зависит, challenge 1 (80 бит) давно сломали, challenge 2( 144 бита) вроде пока держится. RSA и ECC для определенных длин тоже давно сломаны.

 

flankerx
Вроде хотили слухи о нестойкости HFE к алгебраическим атакам. Правда исследований на эту тему я специально не искал.

 

Про HFE от серьёзных аналитиков что то вообще ничего не слышно...
Может не стоит овчинка выделки, то?

По теме: очень хочется услышать отчОт о проделанной работе от neiromatik
Потому как руки чешуцца выложить параметры ключа и закрыть этим тему о неудавшемся прорыве в факторизации.

 

HFE патентован до 2016 года, так что многим он не интересен ИМХО.

 

flankerx
То, что он патентован означает ограничение на использование.
Изучать его патенты не мешают.
Кроме того, тот же RSA и эллиптика тоже побывали под патентами и в то же время активно изучались

 

Патент — ограничение на использование, совершенно верно. С точки зрения исследователя интересны широкоиспользуемые алгоритмы, поэтому HFE и менее интересен. Повторю: ИМХО.

 

вместо заявленных 20 часов прошло 4ро суток...

Ждем до 8ми вечера. Если ответа не будет, - взлом считаем проваленным и закрываем тему....

 

Magnum
Tы кстати, в этом топике писал что занимался брутом ключа с 1024 битами.
Не поделишся програмкой (можно в приват), а то я так понимаю ждать результатов от neromatika
нереально.

 

Взлом RSA 1024 возможен только при наличии уязвимостей в генерации ключей. Если вам нужно взломать ключи такого размера, то смотрите код программы их генерирующей (особое внимание обратить на PRNG).
Если используется какая-либо распостраненная открытая реализация, то дело труба, т.к. глупых ошибок в них не бывает.
Пример глупой ошибки приводящей к вскрытию ключа любого размера за 2^32 операций - это использование функции rand из стандартной библиотеки для получения случайных данных. Такая ошибка была например в ASProtect старых версий.

 

Узнать алгоритм генирации не представляется возможным (закрытая информация + фирма разработавшая устройство уже почила в бозе), само устройство прошивку которого нужно русифицировать примерно 2002 года, так что не исключены баги при генерации ключей, при наличии программы можно было бы проверить ключи на наличие распространенных ошибок.

 

ntldr
Я пробовал его ключ на простые атаки, расчитанные на ошибки в генерации ключа - безрезультатно.
Факторизовать его не особо реально. Разве что распределенную сеть собрать и реализацию GNFS или MPQS, которая осилит число данной длинны.

Magnum
Согласен. Выложу тогда заодно параметры ключа...

flankerx
Возможно. Впрочем этому алгоритму так и так не хватает полноценных исследований

 

Осилит. Лет так через 1000

 

ntldr
Типа того
Впрочем оценки производительности взлома малость устарели. Хотя все равно надо очень много компов и очень долго ждать.

 

А наличие нескольких пар зашифрованное значение -> дешифрованное значение,
или факт того что в дешифрованном значении последнии 20 байт могут быть любыми,
важно чтобы только первые 108 байт были равны определенному числу, может повлиять на скорость подбора ключа?
В принцыпе сам ключ не нужен, важно лишь получить лишь определенный зашифрованный
вариант который в результате расшифровки выдаст нужное значение.

 

Goldy
Вряд ли конечно это возможно, но можешь ли ты заменить открытый ключ в устройстве? Т.е. если это возможно то проще сгенерить свою пару и прошить в девайс свой ключ.

По таким данным атаки на RSA нет. Но, запости на всяк случай пары зашифрованное сообщение - расшифрованное сообщение. Может что нить нарисуется...

А это число всегда одно и то же?

По теме:
Данные по тестовому ключу - в аттаче.
Взлом его считаем не удавшимся.

 

Ключ заменить нельзя, так как для того что бы заменить открытый ключ в прошивке нужно загрузить файл прошивки с правильным зашифрованным ключом (проблема курицы и яйца ).
Файл содержащий загружаемую прошивку состоит из следующих блоков:
- 128 байт заголовок зашифрованный ключом RSA (тем что ранне был в моем аттаче)
- после расшифровки заголовок сравниваются с константой первые 103 байта файла
содерщащие - 01 FF (93x) 00 ROM11200 (см аттач)
- следующие данные после фразы ROM11200 содержат 2 блока
8 байт - первые 8 байт MD5 хэша (тут можно оставить 4 байта, остальные
подобрать)
16 байт - ключ AES для расшифровки оставшейся части файла (так как мы шифруем
тут может быть любое значение)
- остаток исходного файла (все остальные данные за исключением 128 байт заголовка)
расшифровываются ключем AES из заголовка
- после этого расчитывается MD5 хэш от расшифрованного файла и первые 8 байт
сверяются с 8 байтами хэша из заголовка. Если проверка прошла то расшифрованный
файл прошивается в память устройства.

 

Goldy

Ну, это я и подозревал. Потому и писал что сомневаюсь что такое возможно в твоем случае.

Нда. На первый взгляд задача не решается кроме как факторизацией.

Непонятно зачем им было шифровать тело прошивки, если ключ от него расшифровывается открытым ключом.

Что за девайс такой хитрый?

 

Девайс электронная книжка для чтения Reb1200.
Подробнее см:
http://www.the-ebook.org/e107/e107_plugins/content/content.php?content.85

 

хых..... те, кто ведают, как оттягивать асинхронки скромно молчат и не деляться такой инфой) эти знания не применяются для банальных краж, ибо факты таких взломов быстро приводят к выводу, что у челов дробилка есть, а для людей в теме выйти на этих шалунов очень просто.
------------
я лично в асинхронки не верю - тот же рса слишком прост, слишком идеален, чтобы его уровень секуры был правдой
--------------------
и ещё: я не имею ни малейших док-в, что мои слова являются правдой.......
/////////////////////////////////////////////
а автор, видимо, просто перебрал и в этом благодатном состояние настрофал супер алгос........, к тому же, в его же письменах есть противоречия. вообще, мне он напоминает чела factored2007 - столь же обтекаемые идэи: такое ощущение, что просто взяты слова (Брут, лин. программирование) лишь бы что-то сказать
////////////////////////////////////////////

 

А мне он напоминает UbIvItS - http://www.wasm.ru/forum/viewtopic.php?id=18206.