можно ли както определить что файл криптован РСА?

хочу криптовать свой файл рса 1024. подскажите можно ли по файлу определить что он криптован именно рса. если можно то подскажите как сделать так чтобы это определить было невозможно.

 

скорее нет, чем да. это одно из условий криптостойкости.

 

Если не будешь писать свои служебные заголовки (например, чтобы твоя программа могла отличить "правильный" файл от "неправильного") — то нет, нельзя.

 

Mozhno. RSA - eto ne algoritm shifrovaniya. Ne rekomenduyu im shifrovat nikakih dannih. Eto budet zhutko medlenno i eto budet bistro slomano. Im mozhno shifrovat tolko hash ot dannih na podpis ili kluch kotorim danniye zashifrovani. Poetomu shifrui file kak polozheno - s pomoschyu AES ili Twofish, a kluch shifrovaniya - s pomoschyu RSA, i nikto nichego ne opredelit yesli sam opredelitelei ne ostavish.

 

Эм. А как несколько блоков текста, пошифрованных одним ключом RSA, помогают "быстро сломать"?
И по какому признаку можно определить, что при криптовке использовался именно RSA?

 

Ruptor
спасибо.

 

Ruptor
В целом верно, про шифрование ключа симметрика с помощью RSA. Это называется electonic envelope и рекомендуется авторами RSA.
Но дальше противоречишь сам себе.

>> Ne rekomenduyu im shifrovat nikakih dannih. Eto budet zhutko medlenno i eto budet bistro slomano

Т.е. по твоему получается что зашифрованный RSA ключ от симметрика будет быстро извлечен.
То, что будет медленно - да. Еще и размер шифротекста будет больше за счет обязательного паддинга. Но насчет "быстро сломан" то при условии соблюдения стандарта это не верно.

 

..

 

Proteus

фигня - от рса данные распухнуть не могут, а почему - сам догадайся.

он прав - на все 100 пудов:2^d mod N - быстрой операцией назвать нельзя
Ruptor
насчёт повторяющихся блоков ты прав, но сильной уязвимостью - это назвать трудно(2048 байт даже возможные варианты текстов перебрать не получиться за норм. время) или ты нашёл - таки способ оттянуть лошадку???

 

кстати. мне нужна была гарантия что содеожимое данных не подделают а не то что их не прочитают. рса1024 я так понимаю достатачная этому гарантия.

 

doctor_Ice
если у челов есть ломалка нумберов нормальная, то подделают, но, коли им известны тока офиц. методики - не бойся сотворить сию гнусность враги не смогут).

 

Ну в таком случае цифровая подпись - самое оно. Хотя последняя в простейшем случае сводится к шифрованию закрытым ключом подписываемых данных, на практике как известно обычно подписывают хэш, для повышения быстродействия.

 

ну такой ломалки для 1024 вроде нет. вроде гдето за взлом такого ключа даже кучу денек дают. а деньги лучшая гарантия качества =)

 

Возьми побольше если есть сомнения. Для подписи что 1024 что 2048 разница в скорости на глаз незаметна. Вообще ИМХО 1024 это где то на границе достижимости для современных компов и алгоритмов факторизации. На небольшом кластере за вменяемое время ИМХО есть шанс заломать. Но это все равно будет дорого.

Кроме того, учитывай, что неправильный выбор P,Q,E и D может сильно облегчить взломщику жизнь (к примеру взлом будет длиться несколько секунд, если ему известен публичный ключ, и экспонента закрытого меньше чем N^(1/4) / 3. Или если выбранные P и Q будут слишком близко друг к другу). В правильной реализации RSA таких ключей генериться не должно, так что подходи к выбору реализации с умом.

Я конечно помню что тебе в последнее время сильно хочется найти новый алго факторизации который всех порвет, но все же не мог бы ты подтверждать свои догадки касательно неофициальных методик цифрами. Например сравнение производительности/ресурсоемкости "официальных" и "неофициальных" методик. Раз уж утверждаешь что "официальные" ниасилят факторизацию 1024бит.
В противном случае это просто слова. "Официальные" методики по крайней мере работают.

 

Без прорыва в теории чисел или квантового компьютера не получиться.

 

Narod, RSA - eto prosto vozvedeniye v stepen. Eto ne cipher. Vozvedeniye v stepen po liubomu moduliu ochen legko otlichayetsa, lomayetsa i dazhe sovsem sovsem lomayetsa s pomoschyu known/chosen plaintext/ciphertext attacks po raznim formulam:

(x^n)*(y^n) == (x*y)^n
0^n == 0
1^n == 1
(x^a)^b == x^(a*b)

Yest mnogo raznih formul po kotorim mozhno otlichit chto eto RSA, dazhe ne znaya public key. Ne izobretaite velosipedov, ispolzuite block ciphers ili stream ciphers dla shifrovaniya, a asymmetric algorithmi - dla shifrovaniya tolko kluchei i hashei ot dannih.

 

CreatorCray

я рад, что ты помнишь один из моих способов проведения досуга. да, ищу понемногу методику - пока ничего особо крутого нет, и вполне возможно, что не будет вообще. но этой проблеммой занимается куча народа и далеко..... далеко не все настроены своими наработками делиться. да, и сомневаюсь я, что человеку знаещему как оттягивать асинхронки позволят языком трепать - больно много бабок на этой подписи сидит. а когда я поведал общественности о "дипе" - мне было известно, что никакой опасности рса он, в своём исконном виде, не несёт, но мне до сих пор не понятно на основе каких свойств чисел он пашет, если не брать в расчёт тривиальный случай: q*p==q mod p-1 или q*p==q mod d (d|p-1 и d>q).
Ruptor

строго говоря, рса - это M^e == t mod N; и фактически он является подстановочным сифером, используещем разные таблицы перестановок, кои зависят от M. зная хотя бы одну перестановочную таблицу, получим ключ.

 

...

 

Proteus

что это ещё за "аномальность": для работы рса нужно, чтобы M<N всегда - иначе при дешифровки может быть неодназначность. достигается этот момент при соблюдении равенства: lg2(M)+1==lg2(N). прирост в размере исх. файла при ключе в 1024 бит составляет менее 0,1%.

хмм..... каким ты это образом определишь, что данные разбухли, ведь ты, по определению, их исх. размер знать не можешь.

 

Можно, с некоторой вероятностью:
- зная размер модуля шифрования, определить по кратности всего шифротекста размеру модуля шифрования
- опять же, зная размер модуля шифрования, взять первую/последнюю последовательность байт (в предположении что модуль шифрования находится вначале/конце файла) равную размеру модуля шифрования и попробовать поделить ее хотя бы для нескольких первых простых чисел, если это не получиться можно предположить что это RSA-модуль
- если данные не были сжаты перед зашифрованием, то и здесь можно что-нибудь придумать (по стандартым заголовкам и т.д. для открытого текста, ну конечно зная модуль шифрования, который должен передоваться с шифротекстом)