Security Analysis of Server-Aided Public Key Generation Protocols on Low-power Devices for Ad-hoc Networks Source: 2008 ISECS Author: Tianjie Cao, Xianping Mao, Qihan Luo and Zhipeng Niu Presenter: 林志鴻

Outline  Introduction  Chen et al.'s two server-aided RSA key generation protocols  Collusion attack on Chen et al.'s standard RSA key generation protocol  A new server-aided standard RSA key generation protocol  Conclusions

Introduction  Low-power Devices cell phone, Mp3, PDA  Ad-hoc Network  RSA cryptosystem standard RSA cryptosystem unbalanced RSA cryptosystem

Ad-hoc Network  沒有有線基礎設施支持的移動網絡  所有的節點都是由移動主機構成的  網路拓撲結構的動態性為重要特點  網路通信效率和節點能量消耗之間的合理平 衡為核心問題

RSA cryptosystem  unbalanced RSA cryptosystem 1995, Shamir – q 為 p 的十倍大小 2000, Modadugu et al. – 改成 N=pR (p 512-bit, R 4096-bit ) 可用於加密及金鑰交換但不可用於數位簽章

Outline  Introduction  Chen et al.'s two server-aided RSA key generation protocols  Collusion attack on Chen et al.'s standard RSA key generation protocol  A new server-aided standard RSA key generation protocol  Conclusions

Chen et al.'s S-A RSA protocols  standard RSA key generation 1.Low-power device 產生長度為 n/2-bit 且不可被小 質數分割的數 p,q, 其中 p≡q≡3(mod 4) 2.Low-power device 計算 N=pq, ψ(N)=N-p-q+1, 選取 g ∈ Z N * 且 g 不為 p,q 之乘積 3.Low-power device 選取四隨機整數 t 1, t 1 ’,t 2,t 2 ’ ∈ (- N, N) 滿足 t 1 +t 1 ’=t 2 +t 2 ’=ψ(N)/4 4.Low-power device 選取隨機整數 k, l 及兩個大數 a, b ∈ (0, ψ(N)) 與 ψ(N) 互質並計算 s 1 =[a+k(p-1)]t 1, s 2 =-at 2, s 1 ’=[b+l(q-1)]t 1 ’, s 2 ’=-bt 2 ’

Chen et al.'s S-A RSA protocols 5.Low-power device 將 傳給 Sever 1, 傳給 Sever 2 6.Sever 1 計算 及 而 Sever 2 計算 及 分別 回傳給 Low-power device 7.Low-power device 確認若 X 1 ≡±X 2 (mod N) 且 X 1 ’ ≡±X 2 ’(mod N) 則選定 p,q,N=pq 作為 RSA 參數否 則回到第一步 8.Low-power device 使用 Mersenne 質數驗證伺服器 回傳值 s 1 =[a+k(p-1)]t 1, s 2 =-at 2 s 1 ’=[b+l(q-1)]t 1 ’, s 2 ’=-bt 2 ’ t 1 +t 1 ’=t 2 +t 2 ’=ψ(N)/4

Chen et al.'s S-A RSA protocols  unbalanced RSA key generation 1.Low-power device 產生長度 512bit 且不可被小質 數分割的數 p≡3(mod 4) 並選取約 p 的 8-10 倍大 ( 通 常為 4096-bit) 隨機數 R 然後計算 N=pR 2.Low-power device 選取二隨機整數 t 1, t 2 ∈ (-p, p) 滿 足 t 1 +t 2 =(p-1)/4, 再選取二隨機整數 a, k ∈ (0, N) 與 p-1 互質並計算 s 1 =[a+k(p-1)]t 1, s 2 =-at 2 3.Low-power device 選取 g ∈ Z N * 滿足 g 不為 p 之倍數, 並將 傳給 Sever 1, 傳給 Sever 2

Chen et al.'s S-A RSA protocols 4.Sever 1 計算 而 Sever 2 計算 分別回傳給 Low-power device 5.Low-power device 確認若 X 1 ≡±X 2 (mod N) 則選定 N=pR 作為 unbalanced RSA 參數否則回到第一步 6.Low-power device 確認 p 為質數 s 1 =[a+k(p-1)]t 1, s 2 =-at 2 t 1 +t 2 =(p-1)/4

Outline  Introduction  Chen et al.'s two server-aided RSA key generation protocols  Collusion attack on Chen et al.'s standard RSA key generation protocol  A new server-aided standard RSA key generation protocol  Conclusions

Collusion attack on Chen et al.'s protocol  Standard RSA key generation protocol 1. 共謀的伺服器計算 T=2(s 1 -s 2 )=2{[a+k(p-1)]t 1 +at 2 } =2a(t 1 +t 2 )+2kt 1 (p-1)=a ψ(N)/2+2kt 1 (p-1) =(a(q-1)/2+2kt 1 )(p-1) 及 T’=2(s 1 ’-s 2 ’)=(b(p-1)/2+2lt 1 ’)(q-1) 2. 之後計算 T T’=(a(q-1)/2+2kt 1 )(p-1)(b(p-1)/2+2lt 1 ’)(q-1) =(a(q-1)/2+2kt 1 ) (b(p-1)/2+2lt 1 ’) ψ(N) s 1 =[a+k(p-1)]t 1, s 2 =-at 2 s 1 ’=[b+l(q-1)]t 1 ’, s 2 ’=-bt 2 ’ t 1 +t 1 ’=t 2 +t 2 ’=ψ(N)/4

Collusion attack on Chen et al.'s protocol 3. 令 Q=T T’, x=(a(q-1)/2+2kt 1 ) (b(p-1)/2+2lt 1 ’) 則 Q= xψ(N) 4. 令 w=gcd(e, xψ(N)) 由於 gcd(e, ψ(N))=1 所以 x/w 必 為整數定為 u 則 gcd(e, uψ(N))=1 5. 接著利用 extended Euclid algorithm 找出 ed’ ≡1 mod uψ(N) 的 d’ 並可知 ed’=1+vuψ(N) 6. 若 N 為 RSA 所使用之模係數則 m ψ(N) ≡1 mod N

Collusion attack on Chen et al.'s protocol  最後伺服器可從任意密文 c 取得明文如下 c d’ mod N = (m e ) d’ mod N =m (1+vuψ(N) ) mod N =m

Outline  Introduction  Chen et al.'s two server-aided RSA key generation protocols  Collusion attack on Chen et al.'s standard RSA key generation protocol  A new server-aided standard RSA key generation protocol  Conclusions