Востановление утерянного закрытого ключа RSA

Тема в разделе "WASM.HEAP", создана пользователем neiromatik, 3 янв 2008.

  1. flankerx

    flankerx New Member

    Публикаций:
    0
    Регистрация:
    2 июл 2004
    Сообщения:
    423
    Адрес:
    Moscow, Russia
    ntldr
    Все от длины ключа зависит, challenge 1 (80 бит) давно сломали, challenge 2( 144 бита) вроде пока держится. RSA и ECC для определенных длин тоже давно сломаны.
     
  2. ntldr

    ntldr New Member

    Публикаций:
    0
    Регистрация:
    20 ноя 2007
    Сообщения:
    125
    flankerx
    Вроде хотили слухи о нестойкости HFE к алгебраическим атакам. Правда исследований на эту тему я специально не искал.
     
  3. CreatorCray

    CreatorCray Member

    Публикаций:
    0
    Регистрация:
    5 авг 2006
    Сообщения:
    201
    Про HFE от серьёзных аналитиков что то вообще ничего не слышно...
    Может не стоит овчинка выделки, то?

    По теме: очень хочется услышать отчОт о проделанной работе от neiromatik
    Потому как руки чешуцца выложить параметры ключа и закрыть этим тему о неудавшемся прорыве в факторизации.
     
  4. flankerx

    flankerx New Member

    Публикаций:
    0
    Регистрация:
    2 июл 2004
    Сообщения:
    423
    Адрес:
    Moscow, Russia
    HFE патентован до 2016 года, так что многим он не интересен ИМХО.
     
  5. CreatorCray

    CreatorCray Member

    Публикаций:
    0
    Регистрация:
    5 авг 2006
    Сообщения:
    201
    flankerx
    То, что он патентован означает ограничение на использование.
    Изучать его патенты не мешают.
    Кроме того, тот же RSA и эллиптика тоже побывали под патентами и в то же время активно изучались
     
  6. flankerx

    flankerx New Member

    Публикаций:
    0
    Регистрация:
    2 июл 2004
    Сообщения:
    423
    Адрес:
    Moscow, Russia
    Патент — ограничение на использование, совершенно верно. С точки зрения исследователя интересны широкоиспользуемые алгоритмы, поэтому HFE и менее интересен. Повторю: ИМХО.
     
  7. Magnum

    Magnum New Member

    Публикаций:
    0
    Регистрация:
    29 дек 2007
    Сообщения:
    925
    вместо заявленных 20 часов прошло 4ро суток...

    Ждем до 8ми вечера. Если ответа не будет, - взлом считаем проваленным и закрываем тему....
     
  8. Goldy

    Goldy New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2005
    Сообщения:
    36
    Адрес:
    Russia
    Magnum
    Tы кстати, в этом топике писал что занимался брутом ключа с 1024 битами.
    Не поделишся програмкой (можно в приват), а то я так понимаю ждать результатов от neromatika
    нереально.
     
  9. ntldr

    ntldr New Member

    Публикаций:
    0
    Регистрация:
    20 ноя 2007
    Сообщения:
    125
    Взлом RSA 1024 возможен только при наличии уязвимостей в генерации ключей. Если вам нужно взломать ключи такого размера, то смотрите код программы их генерирующей (особое внимание обратить на PRNG).
    Если используется какая-либо распостраненная открытая реализация, то дело труба, т.к. глупых ошибок в них не бывает.
    Пример глупой ошибки приводящей к вскрытию ключа любого размера за 2^32 операций - это использование функции rand из стандартной библиотеки для получения случайных данных. Такая ошибка была например в ASProtect старых версий.
     
  10. Goldy

    Goldy New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2005
    Сообщения:
    36
    Адрес:
    Russia
    Узнать алгоритм генирации не представляется возможным (закрытая информация + фирма разработавшая устройство уже почила в бозе), само устройство прошивку которого нужно русифицировать примерно 2002 года, так что не исключены баги при генерации ключей, при наличии программы можно было бы проверить ключи на наличие распространенных ошибок.
     
  11. CreatorCray

    CreatorCray Member

    Публикаций:
    0
    Регистрация:
    5 авг 2006
    Сообщения:
    201
    ntldr
    Я пробовал его ключ на простые атаки, расчитанные на ошибки в генерации ключа - безрезультатно.
    Факторизовать его не особо реально. Разве что распределенную сеть собрать и реализацию GNFS или MPQS, которая осилит число данной длинны.

    Magnum
    Согласен. Выложу тогда заодно параметры ключа...

    flankerx
    Возможно. Впрочем этому алгоритму так и так не хватает полноценных исследований
     
  12. ntldr

    ntldr New Member

    Публикаций:
    0
    Регистрация:
    20 ноя 2007
    Сообщения:
    125
    Осилит. Лет так через 1000 :)
     
  13. CreatorCray

    CreatorCray Member

    Публикаций:
    0
    Регистрация:
    5 авг 2006
    Сообщения:
    201
    ntldr
    Типа того :)
    Впрочем оценки производительности взлома малость устарели. Хотя все равно надо очень много компов и очень долго ждать.
     
  14. Goldy

    Goldy New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2005
    Сообщения:
    36
    Адрес:
    Russia
    А наличие нескольких пар зашифрованное значение -> дешифрованное значение,
    или факт того что в дешифрованном значении последнии 20 байт могут быть любыми,
    важно чтобы только первые 108 байт были равны определенному числу, может повлиять на скорость подбора ключа?
    В принцыпе сам ключ не нужен, важно лишь получить лишь определенный зашифрованный
    вариант который в результате расшифровки выдаст нужное значение.
     
  15. CreatorCray

    CreatorCray Member

    Публикаций:
    0
    Регистрация:
    5 авг 2006
    Сообщения:
    201
    Goldy
    Вряд ли конечно это возможно, но можешь ли ты заменить открытый ключ в устройстве? Т.е. если это возможно то проще сгенерить свою пару и прошить в девайс свой ключ.

    По таким данным атаки на RSA нет. Но, запости на всяк случай пары зашифрованное сообщение - расшифрованное сообщение. Может что нить нарисуется...

    А это число всегда одно и то же?

    По теме:
    Данные по тестовому ключу - в аттаче.
    Взлом его считаем не удавшимся.
     
  16. Goldy

    Goldy New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2005
    Сообщения:
    36
    Адрес:
    Russia
    Ключ заменить нельзя, так как для того что бы заменить открытый ключ в прошивке нужно загрузить файл прошивки с правильным зашифрованным ключом (проблема курицы и яйца :)).
    Файл содержащий загружаемую прошивку состоит из следующих блоков:
    - 128 байт заголовок зашифрованный ключом RSA (тем что ранне был в моем аттаче)
    - после расшифровки заголовок сравниваются с константой первые 103 байта файла
    содерщащие - 01 FF (93x) 00 ROM11200 (см аттач)
    - следующие данные после фразы ROM11200 содержат 2 блока
    8 байт - первые 8 байт MD5 хэша (тут можно оставить 4 байта, остальные
    подобрать)
    16 байт - ключ AES для расшифровки оставшейся части файла (так как мы шифруем
    тут может быть любое значение)
    - остаток исходного файла (все остальные данные за исключением 128 байт заголовка)
    расшифровываются ключем AES из заголовка
    - после этого расчитывается MD5 хэш от расшифрованного файла и первые 8 байт
    сверяются с 8 байтами хэша из заголовка. Если проверка прошла то расшифрованный
    файл прошивается в память устройства.
     
  17. CreatorCray

    CreatorCray Member

    Публикаций:
    0
    Регистрация:
    5 авг 2006
    Сообщения:
    201
    Goldy
    Ну, это я и подозревал. Потому и писал что сомневаюсь что такое возможно в твоем случае.

    Нда. На первый взгляд задача не решается кроме как факторизацией.

    Непонятно зачем им было шифровать тело прошивки, если ключ от него расшифровывается открытым ключом.

    Что за девайс такой хитрый?
     
  18. Goldy

    Goldy New Member

    Публикаций:
    0
    Регистрация:
    13 сен 2005
    Сообщения:
    36
    Адрес:
    Russia
  19. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.243
    хых..... те, кто ведают, как оттягивать асинхронки скромно молчат и не деляться такой инфой:)) эти знания не применяются для банальных краж, ибо факты таких взломов быстро приводят к выводу, что у челов дробилка есть, а для людей в теме выйти на этих шалунов очень просто:).
    ------------
    я лично в асинхронки не верю - тот же рса слишком прост, слишком идеален, чтобы его уровень секуры был правдой:)
    --------------------
    и ещё: я не имею ни малейших док-в, что мои слова являются правдой.......:)
    /////////////////////////////////////////////
    а автор, видимо, просто перебрал и в этом благодатном состояние настрофал супер алгос........, к тому же, в его же письменах есть противоречия. вообще, мне он напоминает чела factored2007 - столь же обтекаемые идэи: такое ощущение, что просто взяты слова (Брут, лин. программирование) лишь бы что-то сказать:)
    ////////////////////////////////////////////
     
  20. halyavin

    halyavin New Member

    Публикаций:
    0
    Регистрация:
    13 май 2005
    Сообщения:
    252
    Адрес:
    Russia