Về một Backdoor bất đối xứng trong sinh khóa RSA tuân thủ điều kiện “lỏng” theo chuẩn FIPS 186-4

Công nghệ thông tin<br /> <br /> VỀ MỘT BACKDOOR BẤT ĐỐI XỨNG TRONG SINH KHÓA RSA<br /> TUÂN THỦ ĐIỀU KIỆN “LỎNG” THEO CHUẨN FIPS 186-4<br /> Lê Quang Huy*<br /> Tóm tắt: Bài báo trình bày đề xuất về một thuật toán sinh khóa RSA chứa<br /> backdoor bất đối xứng tuân thủ điều kiện “lỏng” về tham số khóa theo chuẩn FIPS<br /> 186-4 [1]. Thuật toán đề xuất dựa trên ý tưởng của thuật toán PAP trong [2] và sử<br /> dụng kết quả của Coppersmith [3] để giảm lượng thông tin backdoor cần nhúng.<br /> Từ khóa: Mật mã, Sinh khóa, RSA, Backdoor.<br /> <br /> 1. ĐẶT VẤN ĐỀ<br /> Mật mã (khóa công khai) được sử dụng rộng rãi để đảm bảo an toàn cho các<br /> giao dịch điện tử. Tuy nhiên, khi ứng dụng mật mã, thì xuất hiện nguy cơ sử dụng<br /> mật mã để thực hiện các hành vi tội phạm: tạo mã độc tấn công hệ thống thông tin<br /> của nhà máy điện hạt nhân, vệ tinh, vũ khí quân sự;giữ bí mật thông tin phục vụ<br /> hoạt động: khủng bố, buôn bán vũ khí, ma túy, tống tiền, giết người. Từ các nguy<br /> cơ nêu trên nảy sinh nhu cầu khôi phục, giải mã (lấy được bản rõ) các dữ liệu đã<br /> mã mật (phá vỡ tính bảo mật) để đảm bảo an ninh cho cộng đồng.<br /> Để phá vỡ tính bảo mật cách truyền thống là sử dụng thám mã (phá vỡ hệ mật<br /> bằng phương pháp toán học), tuy nhiên, với sự phát triển của các hệ mật mã hiện đại,<br /> việc thám mã trở nên ngày càng khó và không khả thi. Sử dụng backdoor để phá vỡ<br /> tính bảo mật là hướng được nghiên cứu mới trong thời gian gần đây. Backdoor có<br /> nhược điểm làm giảm không gian khóa nhưng có ưu điểm khôi phục lại bản mã<br /> nhanh, tất định, chi phí thấp, khó bị phát hiện khi cài đặt trong những sản phẩm mật<br /> mã dạng hộp đen. Hiện tại hệ mật RSA được dùng phổ biến trong các sản phẩm mật<br /> mã ở thế giới và Việt Nam. Do đó, nghiên cứu backdoor trong hệ mật RSA là việc<br /> làm cần thiết để đảm bảo an ninh cho cộng đồng khi sử dụng mật mã.<br /> Để có thể xây dựng được thuật toán backdoor trong sinh khóa RSA hiệu quả, bài<br /> báo tập trung nghiên cứu các thuật toán sinh khóa RSA chứa backdoor và đề xuất<br /> một thuật toán sinh khóa RSA chứa backdoor mới tuân thủ điều kiện “lỏng” về tham<br /> số khóa tại Appendix B.3.1. FIPS 186-4 [1]. Thực hiện mục tiêu trên, bài báo được<br /> tổ chức thành 4 phần: Mục 1 - Đặt vấn đề, nêu lên sự cần thiết nghiên cứu; Mục 2 -<br /> Các định nghĩa và cơ sở phục vụ cho việc phân tích backdoor; Mục 3 - Đề xuất<br /> backdoor mới; Mục 4 - Kết luận tóm tắt các kết quả nghiên cứu và hướng phát triển.<br /> 2. CÁC ĐỊNH NGHĨA VÀ CƠ SỞ<br /> 2.1. Thuật toán sinh khóa chứa backdoor<br /> Định nghĩa và các tiêu chuẩn đánh giáthuật toán sinh khóa chứa backdoortrình<br /> bày trong phần này sử dụng các kết quả trong [4].<br /> 2.1.1. Định nghĩa thuật toán sinh khóa chứa backdoor<br /> Ký hiệu G0, G1 lần lượt là thuật toán sinh khóa trung thực và thuật toán sinh<br /> khóa chứa backdoor. Ký hiệu (kpriv , kpub) lần lượt là khóa riêng và khóa công khai<br /> được tạo bởi G0 hoặc G1. Ký hiệu kpub* là khóa công khai hoặc một phần của khóa<br /> <br /> <br /> 162 Lê Quang Huy, “Về một backdoor bất đối xứng trong sinh khóa RSA … FIPS 186-4.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> công khai. Ký hiệu  là tham số an toàn của hệ mật. Ký hiệu B0 , B1 lần lượt là sản<br /> phẩm hộp đen được cài đặt thuật toán sinh khóa G0,G1. Ký hiệu R1 là thuật toán<br /> khôi phục cặp khóa được tạo bởi G1. Thuật toán sinh khóa chứa backdoor được<br /> biểu diễn thông qua 3 hàm sau và các hàm nghịch đảo tương ứng:<br /> - Hàm trích thông tin, ký hiệu I, trích từ khóa riêng kpriv thông tin, I(kpriv), để<br /> giấu trong khóa công khai kpub sao cho thông tin được trích đủ để khôi phụckpriv.<br /> - Hàm giấu thông tin, ký hiệu E, mã mật hóa thông được trích, I(kpriv), tạo ra<br /> thông tin che giấu E(I(kpriv)). Hàm E sử dụng hệ mật đối xứng hoặc bất đối xứng<br /> sao cho phân phối đầu ra của E không thể phân biệt được với phân phối đều.<br /> - Hàm nhúng thông tin, ký hiệu M, nhúng thông tin backdoor đã mã mật hóa,<br /> E(I(kpriv)), vào trong khóa công khai, kpub* = M ◦ E ◦ I(kpriv).<br /> Định nghĩa thuật toán sinh khóa chứa backdoor an toàn: Các cặp khóa được<br /> tạo ra bởi G1 là các cặp khóa chứa backdoor an toàn nếu G1 tạo ra cặp khóa<br /> (kpub,kpriv) thỏa mãn các thuộc tính sau:<br /> 1. Tính bảo mật: Người thiết kế nhúng một phần khóa riêng vào trong khóa công<br /> khai tương ứng, kpub* = M◦E ◦ I(kpriv), người dùng, kẻ tấn công không thể tính toán<br /> được khóa riêng từ khóa công khai tương ứng, kpriv ≠ I-1◦E-1◦M-1(kpub).<br /> 2. Tính hoàn chỉnh: Tồn tại thuật toán R1 , để người thiết kế có thể khôi phục được<br /> khóa riêng từ khóa công khai tương ứng,kpriv = R1(kpub). Hay các hàm M , E , Ikhả<br /> nghịch để người thiết kế tính được kpriv= I-1◦E-1◦M-1(kpub).<br /> 3. Khả năng ẩn (che) giấu (khả năng không thể phân biệt được):<br /> a) Kết quả đầu ra của B0 và B1 không thể phân biệt được về thống kê, tính toán.<br /> b) Các đo đạc bên ngoài B0 và B1 không thể phân biệt được một cách rõ ràng.<br /> 2.1.2. Một số tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor<br /> Các tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor (mục 5 trong [4])<br /> được tóm tắt trong bảng sau:<br /> Bảng 1. Các tiêu chuẩn đánh giá thuật toán sinh khóa chứa backdoor.<br /> Đánh giá<br /> Tốt Trung bình Kém (thất bại)<br /> Tiêu chuẩn<br /> Bảo mật lE>= lG1 lG1>= lE>= lG1 /2 lE= - ½ -1/2 > c >= -3/2 c < -3/2<br /> Tính phân phối D G1≈ 0 D G1≈ 0 D G1> 0<br /> Tính tương ∃ thành phần khóa<br /> Không tương quan -<br /> quan tương quan<br /> Tuyến tính (a =< 1 và < bậc 2 (2 > a > 1 >= bậc 2 (a >= 2<br /> Độ phức tạp<br /> c =< 1) hoặc 2 > c > 1) hoặc c >= 2)<br /> Bộ nhớ Không dùng VM, NM Chỉ dùng VM Dùng NM<br /> 2.2. Một số kết quả về hệ mật RSA<br /> 2.2.1. Định lý về số các số nguyên tố<br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 163<br />  Công nghệ thông tin<br /> <br /> Ký hiệu π(n) là số lượng các số nguyên tố nhỏ hơn hoặc bằng n.<br /> Thì khi n lớn, ta có ( ) ~ ;Fact 2.95 trong [5] (1)<br /> Giả sử p là số nguyên tố k bít, số lượng các số nguyên tố k-bit<br /> ( )<br /> #{ } = (2 ) − (2 )=<br /> ( )<br /> ≈ = ≈2 (2)<br /> Xác suất một số nguyên k bít là số nguyên tố:<br /> ( )<br /> Pr[ ố à ố ê ố] = ≈ =2 = (3)<br /> 2.2.2. Định lý Coppersmith (Theorem 4, 5 trong [3])<br /> Trong thời gian đa thức, có thể tìm được phân tích nhân tử của n = p.q nếu biết<br /> ¼ log2n (khoảng ½ độ dài bit của p) các bít thấp (cao) của p.<br /> 2.2.3. Điều kiện“lỏng”về tham số khóa RSA theo FIPS 186-4<br /> Điều kiện“lỏng” về tham số khóa của hệ mật RSA được hiểu là sự so sánh<br /> tương đối về điều kiện về tham số p và q giữa các mục A2 với mục A1 và mục B<br /> tại phần B.3.1 appendix B, FIPS 186-4[1].<br /> Ký hiệu khóa công khai (n, e), khóa riêng (n, d), n=p.q, với p, q là các số nguyên<br /> tố. Ký hiệu nlen là độ dài theo bit của n. Các tham số thỏa mãn điều kiện sau:<br /> 1. p và q là các số có thể nguyên tố (probable prime) ngẫu nhiên (nlen≥ 2048).<br /> 2. e được chọn trước khi tạo p, q; e là một số lẻ thỏa mãn: 216 =2 (6)<br /> /<br /> Xét cách tạo q:<br /> Ký hiệu u là số nguyên tố trong khoảng (p - 2nlen/2 -100, p + 2nlen/2 -100) (7)<br /> nlen/2 -100 nlen/2 -100<br /> Vậy #{u}= Pr[số nlen/2 bit là số nguyên tố].(p + 2 – (p - 2 )=<br /> /<br /> /<br /> .2 = (8)<br /> /<br /> Vì q được tạo giống như p và sau p thỏa mãn điều kiện (5), nằm ngoài khoảng<br /> (p + 2nlen/2 -100 – (p - 2nlen/2 -100) = 2nlen/2 -99), nhỏ hơn rất nhiều so với khoảng tồn<br /> / /<br /> tại của p và q (điều kiện (4)) với giá trị là:(2 − √2). 2 >2 .<br /> / / /<br /> /<br /> Nên #{q} = #{p} - #{u} = − > =2 (9)<br /> Vậy lực lượng khóa của thuật toán là: #{(p,q,d,e)} = #{e}.#{p}.#{q)}<br /> / /<br /> = 2254 . . = 2254 . (10)<br /> 3. ĐỀ XUẤT THUẬT TOÁN SINH KHÓA RSA CHỨA BACKDOOR MỚI<br /> 3.1. Bổ đề 1<br /> Ký hiệu p là một số nguyên tố, r là một số nguyên lẻ với log2p = 2.log2r = k.<br /> Gọi u = 2kmodp; v0 = vmodp ; s0 = (v0 + u2).u-1modp; s = 2k – s0 ;<br /> n = s.2k + v (nối s với v, ký hiệu s:v). Thì ta có p | n.<br /> Chứng minh:<br /> u = 2kmodp⇔ 2k = m.p + u với m∈ Z<br /> v0 = vmodp⇔v = l.p + v0 với l∈ Z<br /> Từ n = s.2k+v = 2k. (2k – s0) + l.p + v0 = (m.p + u).(m.p + u – s0) + l.p + v0<br /> = m2p2 + (2mu – ms0).p +u2 – us0 + l.p+ v0<br /> = m2p2 + (2mu – ms0 + l).p + u2 + v0 – u(v0 + u2).u-1modp<br /> = (m2p + 2mu – ms0 + l).p mod p<br /> Vậy p | n.<br /> 3.2. Thuật toán đề xuất thoả mãn điều kiện 2.2.3<br /> Thuật toán sinh khóa RSA chứa backdoor bất đối xứng đề xuất dựa trên ý tưởng<br /> của thuật toán PAP trong [2] thỏa mãn các điều kiện ở mục 2.2.3. Thông tin<br /> backdoor là một nửa các bit cao của p được mã mật hóa bởi lược đồ mã mật ECIES<br /> của hệ mật EC và được giấu trong các bit thấp của n. (Hiện có hai phương pháp<br /> nhúng thông tin backdoor là: nhúng vào n hoặc nhúng vào e. Phương pháp nhúng<br /> thông tin backdoor vào n có nhiều ưu điểm nên được nghiên cứu nhiều hơn.)<br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 165<br />  Công nghệ thông tin<br /> <br /> Các tham số thuật toán đề xuất:<br /> + G1 = Thuật toán đề xuất; I(kpriv) = (p⌉k/2); G1 =G0 =nlen ≥ 2048;<br /> <br /> E = ECIES;E≥ 128 ; M = n; log2p = log2q = k=nlen/2.<br /> + Các hàm của lược đồ mã mật ECIES: hàm mã mật hóa EncECIES() và hàm giải<br /> mã mật DecECIES().<br /> + Hàm G: {0, 1}2k x {0, 1}k/2x {0, 1}k/2 → {0, 1}k, hàm này thực hiện kết quả<br /> của định lý Coppersmith (mục 2.2.2), ví dụ: p = G(n, 2k/2, p div 2k/2)<br /> Thuật toán đề xuất [sinh khóa RSA]<br /> Input (e, Kpub, B1) 12: s0 = (v0 + u2).u-1modp<br /> Output (p, q, d, e) 13: if (s0≤ 2k-1) then<br /> 1:if (e< 216 or e> 2256) then return failure 14: s = 2 k – s0<br /> // generate p 15: n = s.2k +v; // n = s : v<br /> 2:p = RandomPrime() //log2p =k 16: q = n / p//Bổ đề 1<br /> / /<br /> 3:if ( < √2. 2 ) then goto step 2 17: if ( < √2. 2 ) thennext i<br /> nlen/2 – 100<br /> 4:if (gcd(p - 1, e) ≠ 1) then goto step 2 18: if ( |p – q| ≤ 2 ) thennext i<br /> 5:if (not (PrimalityTest (p))) then goto step 2 19: if (gcd(q - 1, e) ≠ 1) thennext i<br /> // generate q 20:if (PrimalityTest (q)))then break<br /> 6:u = 2kmodp//log2q =nlen/2 21: endfor<br /> 7: v1 = EncECIES (p⌉k/2, Kpub) 21: if (PrimalityTest (q)))then goto step 6<br /> 8:for i = 0 toB1 22:n = p.q<br /> 9: r = RandomOddInteger() //log2r = k/2 23:d = e–1 mod (LCM(p - 1, q - 1))<br /> 10: v = v1.2k/2 + r //v = v1 : r nlen/ 2<br /> 24:if ( d < 2 ) then go to step 6.<br /> 11:v0 = vmodp<br /> 25:return (p, q, d, e)<br /> Thuật toán đề xuất [khôi phục khóa RSA]<br /> Input (n, e, Kpriv) 4: p =G (n, 2k/2, p1) //định lý Coppersmith<br /> Output (d) 5: q=n/p<br /> 1:v = nmod 2k 6: d ≡ e−1 mod φ(n).<br /> 2: v1 = v div 2k/2 7: return (d).<br /> 3:p1 = DecECIES(v1, Kpriv)<br /> 3.3. Đánh giá thuật toán đề xuất<br /> Tính bảo mật: Tính bảo mật được đánh giá ở mức tốt vì người thiết kế sử dụng<br /> lược độ mã mật ECIEScủa hệ mật EC có độ dài tham số an toàn E≥ 128 tương<br /> đương với độ dài tham số an toàn của người dùng G1 ≥ 2048(bảng 7.9 trong [6]).<br /> Tính hoàn chỉnh: Tính hoàn chỉnh được đánh giá ở mức tốt. Với thuật toán đề<br /> xuất người thiết kế luôn tính được khóa riêng từ khóa công khai tương ứng (thuật<br /> toán khôi phục khóa). Kẻ tấn công chỉ tính được khóa riêng của người dùng khi<br /> phá vỡ được hệ mật của người thiết kế (lược đồ mã mật ECIES).<br /> Lực lượng khóa:<br /> Xét việc tạo p (từ bước 2 đến bước 5). Vì p được tạo ngẫu nhiên và giống như<br /> /<br /> /<br /> trong thuật toán mục 2.2.4 nên theo (6), ta có #{p} = =2 .<br /> <br /> <br /> 166 Lê Quang Huy, “Về một backdoor bất đối xứng trong sinh khóa RSA … FIPS 186-4.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> Xét việc tạo q(từ bước 6 đến bước 21). Với mỗi p có thể chọn ngẫu nhiên 2k/2-1<br /> giá trị r , do đó, tạo được 2k/2 - 1 giá trị n và tạo được 2k/2 - 1giá trị q. Vì q được tính<br /> theo n và p (bước 16), nên #{ q}= #{n / p } . Pr[ à ố ê ố]<br /> / ( / ) / ( / ) /<br /> #{ q} = 2 .2 =2 =2<br /> Vậy số lượng n là: #{n} = #{p} . #{q}<br /> / / ( / ) /<br /> = 2 .2 =2<br /> Xét tỷ lệ giữa lực lượng của G1 và G0, vì p được sinh trong G1 giống trong G0<br /> nên hạng tử #{p} có thể bỏ qua, ta có:<br /> /<br /> , 2 / /<br /> = ≈ =2 =2<br /> , 2<br /> Vì hằng số c= -1/2 trong nên lực lượng của G1 được đánh giá là tốt.<br /> Tính chất phân phối: Thông tin backdoor được mã mật hóa và nhúng vào vị trí cố<br /> định trong n. Tuy nhiên, vì thông tin backdoor được mã mật hóa bằng lược đồ mã<br /> mật ECIES (có phân phối đầu ra gần với phân bố đều) nên phần nhúng thông tin<br /> backdoor cũng có phân phối gần với phân phối đều. Việc sinh p ngẫu nhiên và q<br /> được tạo thông qua việc chia n cho p với giá trị n phụ thuộc một phần vào p, tham<br /> số ngẫu nhiên r. Do vậy, phân phối của n có thể gần với phân bố đều và vì vậy<br /> khoảng cách thống kê giữa thành phần n của G1 và G0 là xấp xỉ bằng 0, DG1≈ 0.<br /> Vậy tính chất phân phối của G1 được đánh giá là tốt.<br /> Tương quan giữa các thành phần khóa: Theo cách tạo q (từ bước 6 đến bước<br /> 21), q phụ thuộc vào một phần của p, tham số ngẫu nhiên r. Nếu người dùng cố<br /> định p và yêu cầu sinh lại q thì việc sinh lại khóa tổng quát thực hiện được. Tuy<br /> nhiên, nếu người dùng yêu cầu ngược lại, tức là cố định q và sinh lại p là không<br /> khả thi. (Việc sinh lại khóa trong trường hợp này chỉ khả thi nếu thuật toán cho<br /> phép hoán đổi được vai trò của p và q). Do vậy, tính tương quan giữa các thành<br /> phần khóa của G1 được đánh giá đạt mức trung bình.<br /> Độ phức tạp tính toán:<br /> Vì p được tạo giống như trong G0 nên ta có tp(G0) = tp(G1).<br /> Trong vòng lặp tạo q (từ bước 6 đến bước 21) có thêm việc mã mật hóa thông<br /> tin backdoor bằng lược đồ mã mật ECIES và vòng lặp (for) với số lần cố định (B1).<br /> Do đó, độ phức tạp của việc tạo q trong G1 là: tq (G1) = tq (G0) + T(ECIES). Vậy<br /> độ phức tạp tạo n là: tn(G1) = tp + tq+ T(ECIES). Vì độ phức tạp của lược đồ mã<br /> mật ECIES không đáng kể so độ phức tạp của việc tạo p hoặc q, do đó, độ phức tạp<br /> của G1 được đánh giá là “tốt” vì nó tuyến tính đối với độ phức tạp của G0.<br /> Bộ nhớ sử dụng: Thuật toán không sử dụng bộ nhớ NM và VM nên nó có thuộc<br /> tính bộ nhớ sử dụng được đánh giá là tốt.<br /> 3.4. Tóm tắt các ưu điểm của thuật toán đề xuất so với thuật toán PAP<br /> Thuật toán đề xuất ưu điểm hơn so với thuật toán PAP ở những điểm sau:<br /> - Các tham số khóa của thuật toán đề xuất thỏa mãn điều kiện 2.3.3 (tuân thủ<br /> FIPS 186-4), các tham số thuật toán PAP không đề cập tuân thủ chuẩn nào.<br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 167<br />  Công nghệ thông tin<br /> <br /> - Tính bảo mật: thuật toán đề xuất sử dụng lược đồ mã mật ECIES (có độ an<br /> toàn tương đương với độ an toàn hệ mật của người dùng) để mã mật thông tin<br /> backdoor nên tính bảo mật được đảm bảo. Thuật toán PAP có độ dài khóa của<br /> người thiết kế bằng một nửa độ dài khóa của người dùng nên tính bảo mật có<br /> điểm yếu.<br /> - Lực lượng: Tỷ lệ lực lượng của thuật toán đề xuất =2 / được đánh<br /> giá là tốt, và lớn hơn (tốt hơn) so với tỷ lệ lực lượng thuật toán PAP =<br /> 2 , được đánh giá trung bình.<br /> - Độ phức tạp của thuật toán đề xuất, T(G1) = tp + tq+ T(ECIES) ít phức tạp hơn<br /> độ phức tạp của thuật toán PAP, T(G1) = tp + tq+ T(FK) + T(GK) + T(RSA-k).<br /> - Thuật toán khôi phục khóa của thuật toán đề xuất đơn giản hơn (không phải<br /> thử 2 trường hợp) so với thuật toán khôi phục khóa của thuật toán PAP.<br /> <br /> 4. KẾT LUẬN<br /> Dựa trên ý tưởng của thuật toán PAP, một thuật toán sinh khóa chứa backdoor<br /> bất đối xứng mới được đề xuất có các ưu điểm tốt hơn so với thuật toán PAP và<br /> thỏa mãn điều kiện về tham số khóa tạiphần A2 mục B.3.1 appendix B, FIPS 186-<br /> 4. Thuật toán đề xuất có thể ứng dụng tốt trong phần sinh khóa của các module mật<br /> mã dạng hộp đen như thiết bị PKI Token hoặc HSM (Hardware Security Module).<br /> Ngoài ra, thuật toán có thể được xem xét cải tiến theo hướng tăng lực lượng khóa<br /> hoặc rút bớt thông tin backdoor để backdoor càng khó bị phát hiện hơn.<br /> <br /> TÀI LIỆU THAM KHẢO<br /> [1]. FIPS, 2013, FIPS PUB 186-4;Digital Signature Standard,<br /> http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf<br /> [2]. Young A and Yung M, 1996, The Dark Side of “Black-Box” Cryptography or:<br /> Should We Trust Capstone?,<br /> http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.54.616&rep=rep1&t<br /> ype=pdf<br /> [3]. D Coppersmith, 1995, Small Solutions to Polynomial Equations, and Low<br /> Exponent RSA Vulnerabilities,<br /> https://www.di.ens.fr/~fouque/ens-rennes/coppersmith.pdf<br /> [4]. G.Arboit, 2008, Two mathematical security aspects of the rsa cryptosystem,<br /> http://crypto.cs.mcgill.ca/~crepeau/PDF/these-Genevieve.pdf<br /> [5]. A. Menezes, P. van Oorschot, and S. Vanstone, 2001,Handbook of Applied<br /> Cryptography, CRC Press.<br /> [6]. Bruce Schneier, 1996, Applied Cryptography: Second Edition, Wiley<br /> Computer Publishing, John Wiley & Sons, Inc.<br /> <br /> <br /> <br /> 168 Lê Quang Huy, “Về một backdoor bất đối xứng trong sinh khóa RSA … FIPS 186-4.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> ABSTRACT<br /> A ASYMMETRIC BACKDOOR INRSA KEY GENERATIONEASILY<br /> COMPLY WITH FIPS 186-4<br /> In this paper, a propose of a asymmetric backdoored RSA key<br /> generationalgorithmeasily comply with conditions of key parameter in FIPS<br /> 186-4 [1] is presented. The proposed algorithm use the idea of PAP’s<br /> algorithm [2] anduse Coppersmith’s factoring attack[3]to reduce backdoor<br /> information for embedding.<br /> Keywords: Cryptography, Key generation, RSA, Backdoor.<br /> <br /> Nhận bài ngày 15 tháng8năm 2017<br /> Hoàn thiện ngày 16 tháng10 năm 2017<br /> Chấp nhận đăng ngày 28 tháng 11 năm 2017<br /> <br /> Địa chỉ: Cục Chứng thực số và Bảo mật thông tin - Ban Cơ yếu Chính phủ.<br /> *<br /> Email: lequanghuyabc@gmail.com.<br /> <br /> <br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 169<br />