BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ - LÊ QUANG HUY NGHIÊN CỨU, PHÁT TRIỂN MỘT SỐ THUẬT TỐN SINH KHĨA RSA CHỨA BACKDOOR LUẬN ÁN TIẾN SĨ TOÁN HỌC HÀ NỘI – 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO BỘ QUỐC PHÒNG VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ - LÊ QUANG HUY NGHIÊN CỨU, PHÁT TRIỂN MỘT SỐ THUẬT TỐN SINH KHĨA RSA CHỨA BACKDOOR Chun ngành: Cơ sở toán học cho tin học Mã số: 46 01 10 LUẬN ÁN TIẾN SĨ TOÁN HỌC NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS BẠCH NHẬT HỒNG TS TRẦN DUY LAI HÀ NỘI – 2018 i LỜI CAM ĐOAN Tơi xin cam đoan, cơng trình nghiên cứu riêng Các nội dung, số liệu, kết trình bày Luận án hồn tồn trung thực chưa công bố cơng trình khác, liệu tham khảo trích dẫn đầy đủ Người cam đoan Lê Quang Huy ii MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT iv DANH MỤC CÁC BẢNG vi DANH MỤC CÁC HÌNH VẼ vii DANH MỤC CÁC THUẬT TOÁN viii MỞ ĐẦU 1 Tính cấp thiết Mục đích, nhiệm vụ nghiên cứu 3 Đối tượng, phạm vi nghiên cứu 4 Cơ sở lý luận, thực tiễn phương pháp nghiên cứu Bố cục Luận án CHƯƠNG CƠ SỞ VỀ BACKDOOR TRONG SINH KHÓA 1.1 Giới thiệu backdoor mật mã 1.2 Cơ sở backdoor sinh cặp khóa 12 1.3 Phương pháp phân tích nhân tử Coppersmith 25 1.4 Một số kết hệ mật RSA 31 1.5 Một số kết nghiên cứu backdoor sinh khóa RSA 35 1.6 Những vấ n đề luâ ̣n án cầ n tâ ̣p trung nghiên cứu giải quyế t 41 1.7 Kết luận chương 42 CHƯƠNG ĐỀ XUẤT THUẬT TOÁN BACKDOOR BD1, BD2 43 2.1 Cơ sở cài đánh giá backdoor 43 2.2 Đề xuất thuật toán backdoor BD1 49 2.3 Đề xuất thuật toán backdoor BD2 60 2.4 Thử nghiệm thuật toán backdoor BD1, BD2 71 2.5 Ứng dụng backdoor BD1, BD2 78 2.6 Kết luận chương 80 iii CHƯƠNG ĐỀ XUẤT THUẬT TỐN BACKDOOR BD3 81 3.1 Thuật tốn sinh khóa trung thực tuân thủ điều kiện “P2” 81 3.2 Đề xuất thuật toán backdoor BD3 86 3.3 Thử nghiệm thuật toán backdoor BD3 98 3.4 Ứng dụng backdoor BD3 102 3.5 Đánh giá thuật toán backdoor đề xuất 102 3.6 Kết luận chương 105 KẾT LUẬN 106 A Kết đạt Luận án 106 B Những đóng góp Luận án 106 C Hướng nghiên cứu 107 CÁC CƠNG TRÌNH KHOA HỌC ĐÃ CÔNG BỐ 108 TÀI LIỆU THAM KHẢO 109 iv DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DG1 Khoảng cách thống kê thống kê khóa cơng khai G1 thống kê khóa cơng khai G0 E Hàm mã mật hóa thơng tin backdoor G0 Thuật tốn sinh khóa trung thực G1 Thuật tốn sinh khóa chứa backdoor I Hàm trích thơng tin từ khóa riêng kpriv Khóa riêng kpub Khóa cơng khai 𝐺 Khóa riêng thuật tốn sinh khóa trung thực 𝑘𝑝𝑢𝑏 𝐺 Khóa cơng khai thuật tốn sinh khóa trung thực 𝐺 Khóa riêng thuật tốn sinh khóa chứa backdoor 𝑘𝑝𝑢𝑏 𝐺 Khóa cơng khai thuật tốn sinh khóa chứa backdoor nlen Độ dài theo bit số modulus n NG1() Số lượng khóa (lực lượng khóa) thuật tốn G1 M Hàm nhúng thơng tin backdoor vào khóa cơng khai p⌉k k bit cao p RG1 () Tỷ lệ lực lượng khóa thuật tốn G1 thuật toán G0 T(G0) Độ phức tạp thuật toán G0 t(n) Độ phức tạp hàm tính n ‖𝑓‖2 Chuẩn Euclide đa thức f #{p} Lực lượng tập phần tử p 𝑘𝑝𝑟𝑖𝑣 𝑘𝑝𝑟𝑖𝑣 v AES Chuẩn mã mật tiên tiến (Advanced Standard) API Giao diện lập trình ứng dụng (Application Programming Interface) CRT Định lý phần dư Trung Hoa Chinese Remainder Theorem Encryption Dual_EC_DRBG Bộ tạo bit ngẫu nhiên xác định dựa đường cong Elip kép (Dual Elliptic Curve Deterministic Random Bit Generator) ECIES Lược đồ mã mật tích hợp đường cong Elip (Elliptic Curve Integrated Encryption Scheme) ECDH Trao đổi khóa Diffie-Hellman dựa đường cong Elip (Elliptic Curve Diffie-Hellman) FIPS Chuẩn xử lý thông tin liên bang (Federal Information Processing Standard) HSM Module an toàn phần cứng (Hardware Security Module) LCM Bội số chung nhỏ (Least Common Multiple) LLL Lenstra, Lenstra, Lovasz (Tên người) NM Bộ nhớ không liệu (Non-volatile Memory) PAP Sự riêng tư lớn hay (Pretty Awful Privacy) PKCS Chuẩn mật mã khóa cơng khai (Public Key Cryptography Standards) PKI Hạ tầng mật mã khóa cơng khai (Public Key Infrastructure) RSA Rivest - Shamir - Adleman (tên người) SETUP (Bẫy nhúng bí mật với bảo vệ tồn cục) Secretly Embedded Trapdoor with Universal Protection SSH Vỏ an toàn (Secure Shell) SSL Lớp ổ cắm an toàn (Secure Sockets Layer) TLS An toàn lớp giao vận (Transport Layer Security) VM Bộ nhớ liệu điện (Volatile Memory) vi DANH MỤC CÁC BẢNG Bảng 1.1 Tổng hợp tiêu chí đánh giá thuật tốn sinh khóa chứa backdoor 25 Bảng 1.2 So sánh chiều dài khóa hệ mật 31 Bảng 1.3 Chiều dài tối thiểu tối đa số nguyên tố phụ 33 Bảng 1.4 Các phương thức sinh số nguyên tố phép 33 Bảng 2.1 Các điểm khác biệt thuật toán BD1 với thuật toán PAP PHP 58 Bảng 2.2 Các điểm khác biệt thuật toán BD2 với Hidden Prime Factor 69 Bảng 2.3 Kịch thử nghiệm thuật toán backdoor BD1, BD2 73 Bảng 2.4 Kết thử nghiệm độ phức tạp thuật toán backdoor BD1 75 Bảng 2.5 Kết thử nghiệm độ phức tạp thuật toán backdoor BD2 76 Bảng 3.1 Kịch thử nghiệm thuật toán backdoor BD3 97 Bảng 3.2 Kết thử nghiệm độ phức tạp thuật toán backdoor BD3 98 Bảng 3.3 Các điểm khác 03 thuật toán backdoor đề xuất 101 vii DANH MỤC CÁC HÌNH VẼ Hình 1.1 Q trình phát triển backdoor mật mã Hình 1.2 Mơ hình phân tích backdoor 14 Hình 2.1 Sơ đồ khối thuật tốn sinh khóa trung thực tn thủ điều kiện 44 Hình 2.2 Sơ đồ khối thuật tốn sinh khóa trung thực tn thủ điều kiện “P1” 46 Hình 2.3 Sơ đồ khối phần thuật tốn sinh khóa backdoor BD1 51 Hình 2.4 Sơ đồ khối phần thuật tốn khơi phục khóa backdoor BD1 53 Hình 2.5 Sơ đồ khối phần thuật tốn sinh khóa backdoor BD2 63 Hình 2.6 Sơ đồ khối phần thuật tốn khơi phục khóa backdoor BD2 65 Hình 2.7 Thiết bị T-Token 71 Hình 2.8 Biểu đồ kết thử nghiệm độ phức tạp thuật tốn backdoor BD1 75 Hình 2.9 Biểu đồ kết thử nghiệm độ phức tạp thuật toán backdoor BD2 76 Hình 3.1 Sơ đồ khối thuật tốn sinh khóa trung thực tuân thủ điều kiện “P2” 83 Hình 3.2 Sơ đồ khối phần thuật tốn sinh khóa backdoor BD3 90 Hình 3.3 Sơ đồ khối phần thuật tốn khơi phục khóa backdoor BD3 92 Hình 3.4 Biểu đồ kết thử nghiệm độ phức tạp thuật toán backdoor BD3 102 viii DANH MỤC CÁC THUẬT TỐN Thuật tốn 2.1 Thuật tốn sinh khóa RSA tn thủ điều kiện “P1”……… 47 Thuật tốn 2.2 Phần thuật tốn sinh khóa backdoor BD1 53 Thuật toán 2.3 Phần thuật tốn khơi phục khóa backdoor BD1 54 Thuật tốn 2.4 Phần thuật tốn sinh khóa backdoor BD2 64 Thuật toán 2.5 Phần thuật tốn khơi phục khóa backdoor BD2 65 Thuật tốn 3.1 Thuật tốn sinh khóa RSA tn thủ điều kiện “P2”…………82 Thuật tốn 3.2 Phần thuật tốn sinh khóa backdoor BD3 90 Thuật toán 3.3 Phần thuật tốn khơi phục khóa backdoor BD3 91 102 3.4 Ứng dụng backdoor BD3 Từ mục tiêu thiết kế backdoor BD3 nhằm tạo cặp khóa với tham số mạnh để sử dụng trường hợp đặc biệt kết thuật toán BD3 có tham số tuân thủ điều kiện “P2” theo chuẩn FIPS 186-4 nên có tham số chất lượng cao, bền vững trước cơng, sử dụng lâu dài Bên cạnh tuân thủ điều kiện “P2” theo chuẩn FIPS 186-4, nên thời gian tạo cặp khóa thuật tốn backdoor BD3 lâu chút so với thời gian tạo khóa thuật tốn backdoor BD1, BD2 Do mơi trường ứng dụng tốt backdoor BD3 module tạo khóa thiết bị HSM 3.5 Đánh giá thuật toán backdoor đề xuất Với backdoor đề xuất BD1, BD2, BD3, có đánh giá cụ thể, chi tiết phần trình bày thuật tốn (tại mục 2.2, 2.3, 3.2), để làm rõ ưu, nhược điểm, backdoor đề xuất cần phân tích, so sánh backdoor đề xuất với phân tích, so sánh backdoor đề xuất với backdoor tương đương tác giả khác 3.5.1 So sánh 03 thuật toán backdoor đề xuất với 3.5.1.1 Các điểm giống - Tham số đầu vào/ra tuân thủ chuẩn FIPS 186-4 - Thông tin backdoor: nửa bit số nguyên tố p (BD1, BD3) - Vị trí giấu thơng tin backdoor: số modulus n - Khơi phục khóa riêng: sử dụng phương pháp phân tích nhân tử Coppersmith (mục 1.3) - Không sử dụng nhớ (NM, VM) 3.5.1.2 Các điểm khác Các điểm khác 03 thuật toán đề xuất tóm tắt bảng 3.3 103 Bảng 3.3 Các điểm khác 03 thuật toán backdoor đề xuất TT Nội dung Hệ mật người thiết kế Thuật tốn BD1 Hệ mật khóa cơng khai: ECIES 128 Thuật toán BD2 Thuật toán BD3 Hệ mật đối xứng, vd Hệ mật đối xứng AES 128 hàm băm có khóa AES 128, HMAC_SHA 256 Thơng tin p⌉k/2, nửa ((p⌉k/2)⌋s - k/2), p⌋k/2, nửa backdoor, bit cao số nửa bit bit thấp số 𝐺1 nguyên tố p nguyên tố p p, k = nlen/2, k I(𝑘𝑝𝑟𝑖𝑣 ) > s ≥ k – 100 Vị trí nhúng thơng tin backdoor Tồn bit Các bit cao số số modulus n modulus n Tuân thủ Điều kiện “P1” FIPS 186-4 Lực lượng khóa 𝑅𝐺1 Tính tương quan Một nửa bit thấp số nguyên tố p Điều kiện “P1” Điều kiện “P2” “Tốt” “Tốt”, “Tốt”, 𝑛𝑙𝑒𝑛 − 2 +2 𝑛𝑙𝑒𝑛 − 2 “Trung bình” “Trung bình” 𝑛𝑙𝑒𝑛 2−2 “Tốt” 3.5.1.3 Đánh giá chung 03 thuật toán đề xuất Cả ba thuật tốn backdoor đề xuất có tiêu chí phần lớn đánh giá tốt, khả thi triển khai ứng dụng Thuật toán backdoor BD1 sử dụng kỹ thuật nhúng thơng tin backdoor vào tồn bit số modulus n, nên tham số có tính tương quan tốt nâng cao độ an tồn Thuật tốn backdoor BD2 sử dụng lượng thơng tin backdoor nửa bit số nguyên tố p, nên có lực lượng khóa lớn (so với hai thuật tốn lại), có 104 thể áp dụng vào trường hợp cần lực lượng khóa lớn (có nhiều người dùng) Do tuân thủ điều kiện “P2” nên thuật tốn backdoor BD3 áp dụng trường hợp có ràng buộc kích thước số modulus nhỏ (1024 bit), lại có lực lượng nhỏ (so với hai thuật tốn lại) kỹ thuật nhúng thông tin backdoor vào bit thấp số nguyên tố p nâng cao độ an tồn cho backdoor Cả ba thuật tốn có phần khơi phục khóa sử dụng phương pháp phân tích nhân tử Coppersmith nên phần khơi phục khóa tương đối đơn giản thực nhanh 3.5.2 So sánh với thuật toán backdoor tác giả khác Ba thuật toán backdoor đề xuất so sánh với thuật tốn backdoor cơng bố tác giả khác (mục 1.5.2.) có số điểm sau: 3.5.2.1 Các điểm giống - Vị trí giấu thơng tin backdoor: vào số modulus n - Thông tin backdoor: nửa bit số nguyên tố p (BD1 BD3) - Khơi phục khóa: dùng phương pháp phân tích nhân tử Coppersmith - Hệ mật người thiết kế: hệ mật khóa cơng khai RSA, ECIES, hệ mật đối xứng (AES) 3.5.2.2 Các điểm khác - Kỹ thuật nhúng thơng tin backdoor vào tồn bit số modulus n (BD1) - Kỹ thuật trích thơng tin backdoor nhỏ nửa bit số nguyên tố p (BD2) - Kỹ thuật tạo thông tin backdoor từ số mũ công khai e nhúng thông tin backdoor vào bit thấp số nguyên tố p (BD3) - Tham số đầu vào/ra: tuân thủ điều kiện chuẩn FIPS 186-4 105 3.5.2.3 Đánh giá chung Cả ba thuật toán backdoor đề xuất kế thừa ưu điểm hạn chế nhược điểm cơng trình nghiên cứu backdoor cơng bố tác giả trước Ưu điểm lớn độc đáo ba thuật toán backdoor đề xuất tham số tuân thủ điều kiện chuẩn FIPS 186-4 Bên cạnh đó, backdoor BD1, BD2, BD3 áp dụng kỹ thuật riêng khác biệt so với thuật toán backdoor tác giả khác mang lại hiệu rõ ràng 3.6 Kết luận chương Chương giải vấn đề đặt Luận án - đề xuất 01 thuật toán backdoor đối xứng BD3 tuân thủ điều kiện “P2” theo chuẩn FIPS 186-4 với tất tiêu chí đánh giá tốt Điểm cốt lõi phần sinh khóa thuật tốn backdoor BD3 dựa thuật tốn tìm số ngun tố mạnh John Gordon để xây dựng số nguyên tố (p, q), dựa thuật toán sinh số nguyên tố chứng minh Maurer để tạo số nguyên tố phụ Điểm độc đáo thuật toán BD3 kỹ thuật trích chọn thơng tin backdoor từ số mũ cơng khai e kỹ thuật nhúng thông tin backdoor vào bit thấp số nguyên tố p làm tăng thêm tính bảo mật backdoor Thuật tốn BD3 thử nghiệm thiết bị tự chế tạo T-Token 03 tiêu chí có kết thử nghiệm phù hợp với đánh giá Backdoor BD3 đề xuất ứng dụng tốt phần (module) tạo khóa thiết bị HSM 106 KẾT LUẬN Mật mã ứng dụng ngày rộng rãi để đảm bảo an tồn cho giao dịch điện tử vấn đề đảm bảo an ninh cho cộng đồng sử dụng mật mã (PKI) trở nên cấp thiết, giai đoạn Ứng dụng backdoor để đảm bảo an ninh cho cộng đồng sử dụng mật mã giải pháp hiệu với chi phí thấp, thời gian thực nhanh, khó bị phát hiện, dễ dàng cài đặt Việc nghiên cứu thuật tốn sinh khóa chứa backdoor hệ mật RSA với tham số vào/ra thỏa mãn chuẩn FIPS 186-4 có tính thực tiễn cao ứng dụng nhằm đảm bảo an ninh cho hạ tầng PKI cụ thể A Kết đạt Luận án Trên sở nội dung nghiên cứu Luận án đạt kết sau: Khảo sát, phân tích, đánh giá cơng cụ hình hình thức thuật tốn sinh khóa RSA chứa backdoor Tập trung nghiên cứu cơng cụ hình thức Arboit [4] phương pháp phân tích nhân tử Coppersmith [20] để phân tích, đánh giá backdoor khơi phục khóa riêng từ khóa cơng khai tương ứng Đề xuất 03 thuật tốn sinh khóa chứa backdoor hệ mật RSA có tham số đầu vào đầu tuân thủ chuẩn FIPS 186-4 với tiêu chí đánh giá tốt 03 thuật tốn sinh khóa chứa backdoor đề xuất thử nghiệm thiết bị phần cứng tự chế tạo T-Token có kết phù hợp với đánh giá mặt lý thuyết B Những đóng góp Luận án Với kết đạt trên, Luận án có đóng góp sau: Đề xuất thuật toán backdoor bất đối xứng BD1 tuân thủ điều kiện “P1” theo chuẩn FIPS 186-4 với 06 tiêu chí đánh giá tốt, 01 tiêu chí (tính tương quan) đánh giá mức trung bình kỹ thuật nhúng thơng tin backdoor 107 vào tồn số modulus n làm tăng tính phân phối tính bảo mật cho backdoor Đề xuất thuật toán backdoor đối xứng BD2 tuân thủ điều kiện “P1” theo chuẩn FIPS 186-4 với 06 tiêu chí đánh giá tốt, 01 tiêu chí (tính tương quan) đánh giá mức trung bình phương pháp rút gọn thông tin backdoor nhỏ nửa số bit số nguyên tố p , làm tăng lực lượng khóa backdoor Đề xuất thuật tốn backdoor đối xứng BD3 tuân thủ điều kiện “P2” theo chuẩn FIPS 186-4 với 07 tiêu chí đánh giá tốt kỹ thuật trích thơng tin backdoor từ số mũ cơng khai e nhúng vào bit thấp số nguyên tố p, làm tăng tính bảo mật backdoor C Hướng nghiên cứu Nghiên cứu mơ hình, cơng cụ hình thức để phân tích đánh giá backdoor an toàn, sâu sắc hiệu Nghiên cứu phương pháp rút gọn thơng tin backdoor nửa bit số nguyên tố p Nghiên cứu phương pháp sử dụng thơng tin backdoor khác ngồi hai số ngun tố p, q Nghiên cứu kỹ thuật nhúng thông thông tin backdoor vào số modulus n e cho tham số thuật tốn sinh khóa chứa backdoor thỏa mãn chuẩn FIPS 186-4 tiêu chí thuật tốn sinh khóa chứa backdoor đánh giá tốt Nghiên cứu thuật toán sinh khóa chứa backdoor an tồn với hệ mật mã người dùng khác như: Elliptic, Trên sở kiến thức, kỹ thuật tạo backdoor an toàn, nghiên cứu phương pháp, kỹ thuật phòng chống backdoor sản phẩm mật mã hộp đen 108 CÁC CƠNG TRÌNH KHOA HỌC ĐÃ CƠNG BỐ [1] Bạch Nhật Hồng, Lê Quang Huy, 2017, “Về backdoor đối xứng sinh khóa RSA”, Tạp chí Khoa học Cơng nghệ Thông tin Truyền thông, Học viện Công nghệ Bưu viễn thơng, số 01, 2017, tr 03-07 [2] Lê Quang Huy, 2017, “Về backdoor sinh khóa RSA tuân thủ điều kiện “chặt” theo chuẩn FIPS 186-4”, Tạp chí Nghiên cứu Khoa học Cơng nghệ qn sự, Viện KH&CNQS, số 52, 12 - 2017, tr 131 - 137 [3] Lê Quang Huy, 2017, “Về backdoor bất đối xứng sinh khóa RSA tuân thủ điều kiện “lỏng” theo chuẩn FIPS 186-4”, Tạp chí Nghiên cứu Khoa học Công nghệ quân sự, Viện KH&CNQS, số Đặc san CNTT, 12 - 2017, tr 162 - 169 [4] Bạch Nhật Hồng, Lê Quang Huy, 2018, Về backdoor đối xứng sinh khóa RSA tuân thủ điều kiện “lỏng” theo chuẩn FIPS 186-4, Tạp chí Khoa học Đại học Sư phạm Hà Nội, Trường Đại học Sư phạm Hà Nội, volume 63, số 03 - 2018, tr 99-107 109 TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Nguyễn Thành Trung, (2016), Báo cáo tổng hợp đề tài “Nghiên cứu thiết kế, chế tạo thiết bị PKI Token phục vụ triển khai hệ thống chứng thực điện tử chuyên dùng Chính phủ”, Ban Cơ yếu Chính phủ Tiếng Anh: [2] Achim Pietig, (2015), Functional Specification of the OpenPGP application on ISO Smart Card Operating Systems, Available online at https://g10code.com/docs/openpgp-card-3.0.pdf [3] Anderson R, (1993), A practical rsa trapdoor, Electronics Letters, Volume: 29, Issue: 11, 27 May 1993, Available online at https://www.researchgate.net/publication/3371179_Practical_RSA_trapdoor [4] Arboit G, (2008), Two mathematical security aspects of the RSA cryptosystem, PhD thesis, McGill University, Montreal, Canada, Available online at http://crypto.cs.mcgill.ca/~crepeau/PDF/these-Genevieve.pdf [5] Berlekamp E R, (1970), “Factoring polynomials over large finite fields”, Mathematics of Computation, Vol.24, No.111, pp 713–735, Available online at: http://www.ams.org/journals/mcom/1970-24-111/S0025-57181970-0276200-X/ [6] Bernhard Esslinger, (2013), The Dark Side of Cryptography: Kleptography in Black-Box Implementations, InfoSecurity Magazine, Available online at: https://www.infosecurity-magazine.com/magazinefeatures/the-dark-side-of-cryptography-kleptography-in/ [7] Black Market Reloaded, (2016), The Biggest Darknet Markets, Available online at: https://blackmarketreloaded.org/ [8] Bleichenbacher D, (1997), On the Security of the KMOV public key cryptosystem, Advances in Cryptology – Crypto ’97, Lecture Notes in Computer Science Vol 1294, Springer-Verlag, pp 235–248, Available online at: https://link.springer.com/chapter/10.1007/BFb0052239 110 [9] Boneh D, Durfee G, Frankel Y, (1998), An attack on rsa given a small fraction of the private key bits, Proceedings AsiaCrypt '98, Lecture Notes in Computer Science, Vol 1514, pp: 25 34, Available online at: https://link.springer.com/content/pdf/10.1007%2F3-540-49649-1_3.pdf [10] Boneh D, Durfee G, Howgrave-Graham N, (1999), Factoring N = prq for large r, Advances in Cryptology – Crypto ’99, Lecture Notes in Computer Science Vol 1666, Springer-Verlag, pp 326–337, Available online at: http://crypto.stanford.edu/~dabo/papers/prq.ps [11] Boneh D, Durfee G, (2000), Cryptanalysis of RSA with private key d less than N0.292, IEEE Trans on Information Theory, Vol 46(4), pp 1339– 1349, Available online at: https://link.springer.com/content/pdf/10.1007/3540-48910-X_1.pdf [12] Bruce Schneier, (1996), Applied Cryptography: Second Edition, Wiley Computer Publishing, John Wiley & Sons, Inc [13] Bruce Schneier, (2013), Defending Against Crypto Backdoors, Schneier on Security Blog, Available online at: https://www.schneier.com/blog/archives/2013/10/defending_again_1.html [14] Bruce Schneier, (2015), Surreptitiously Weakening Cryptographic Systems, Available online at: https://eprint.iacr.org/2015/097.pdf [15] Cantor David G, Zassenhaus Hans, (1981), “A new algorithm for factoring polynomials over finite fields”, Mathematics of Computation, Vol.36, No.154, pp 587–592, Available online at: http://web.boun.edu.tr/yilmhuse/ birkmath/20042005spr/483/docs/cantorbaba.pdf [16] Carlisle Adams, Steve Lloyd, (2002), Understanding PKI: Concepts, Standards, and Deployment Considerations, Second Edition, Addison-Wesley Professional Longman Publishing Co, Inc Boston, MA, USA [17] Chuck Easttom, (2017), An Overview of Cryptographic Backdoors, Journal of Information System Security, Vol 13, Issue 3, p175-183, Available online at: https://dokupdf.com/download/cryptographic-backdoors_5a01d810d64ab2b9bd783f49_pdf 111 [18] Claude Crepeau and Alain Slakmon, (2003), Simple Backdoors for RSA Key Generation, CT-RSA, Lecture Notes in Computer Science, SpringerVerlag Berlin Heidelberg, Available online at https://pdfs.semanticscholar.org/ 0428/db02e8c46cd4b1b8a43359503bd9509034f6.pdf [19] Constantinos Patsakis, (2012), Number Theoretic SETUPs for RSA Like Factoring Based Algorithms, Journal of Information Hiding and Multimedia Signal Processing, Volume 3, Number 2, 2012, Available online at: https://pdfs.semanticscholar.org/0d8e/83be56f812efc2cf00464279f24017a ebc6a.pdf [20] Coppersmith, (1995), Small Solutions to Polynomial Equations, and Low Exponent RSA Vulnerabilities, Journal of Cryptology: Volume 10 Issue 4, Pages 233-260, Available online at https://www.di.ens.fr/~fouque/ensrennes/coppersmith.pdf [21] Dan Shumow, Niels Ferguson, (2007), On the possibility of a back door in the NIST SP800-90 DUAL EC PRNG, Available online at: https://rump2007.cr.yp.to/15-shumow.pdf [22] David Wong, (2015), Survey: Lattice Reduction Attacks on RSA, Available online at: https://www.davidwong.fr/papers/david_wong_rsa_lll_boneh_durfee 2015 pdf [23] Desmedt Y, (1988), Abuses in cryptography and how to fight them, Advances in Cryptology, CRYPTO 88 pp: 375-389, Available online at: https://static.aminer.org/pdf/PDF/000/119/960/abuses_in_cryptography_and_ how_to_fight_them.pdf [24] Domingo Gomez, Jaime Gutierrez, Alvar Ibeas, (2014), Integer Factoring with Extra Information, Available online at: https://pdfs.semanticscholar.org/4aac/e6c842ef7be886f1eb3caabfe3159711dc d3.pdf [25] Dorothy E Denning and William E Baugh, Jr, (1999), Hiding Crimes in Cyberspace, Information, Communication and Society, Vol 2, No 3, Available online at: https://cryptome.org/hiding-db.htm 112 [26] Durfee G, Nguyen P, (2000), Cryptanalysis of the RSA Schemes with Short Secret Exponent from Asiacrypt ’99, Advances in Cryptology – Asiacrypt 2000, Lecture Notes in Computer Science Vol 1976, Springer, pp 14–29, Available online at: http://theory.stanford.edu/~gdurf/pubs/subrsa.ps [27] FIPS, (2013), FIPS PUB 186-4; Digital Signature Standard, Available online at: http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.1864.pdf [28] Hoeij Mark Van, (2002), “Factoring polynomials and the knapsack problem”, Journal of Number Theory, Vol.95, No.2, pp 167–189, Available online at: https://www.math.fsu.edu/~hoeij/knapsack/paper/knapsack.pdf [29] Hung-Min SUN, Mu-En WU, Cheng-Ta YANG, (2009), Simple Backdoors on RSA Modulus by Using RSA Vulnerability, Available online at: https://www.researchgate.net/publication/220238838_Simple_backdoors_on_ RSA_modulus_by_using_RSA_vulnerability [30] Jean-Loup Richet, (2015), Extortion on the Internet : the Rise of Crypto-Ransomware, Available online at: https://pdfs.semanticscholar.org /a21a/af1ef6b142556212f40279b745cf70db55ca.pdf [31] John Gordon, (1984), Strong Primes are Easy to Find, EUROCRYPT 1984: Advances in Cryptology pp 216-223, Available online at: https://link.springer.com/chapter/10.1007/3-540-39757-4_19 [32] Kaliski Jr, B.S, (1994), Anderson’s RSA trapdoor can be broken, Available online at: http://citeseerx.ist.psu.edu/viewdoc/ download? doi=10.1.1.45.1789&rep=rep1&type=pdf [33] Kleinjung Thorsten, (2006), “On polynomial selection for the general number field sieve”, Mathematics of Computation Vol 75, No 256, pp 2037–2047, Available online at: http://www.ams.org/journals/mcom/2006-75256/S0025-5718-06-01870-9/home.html [34] Knuth, (1997), The Art of Computer Programming, Third Edition, Addison-Wesley 113 [35] Lenstra A K, Lenstra H W, and Lovasz L, (1982), Factoring polynomials with rational coefficients, Journal Mathematische Annalen, Volume 261, Pages 515-534, Available online at https://www.math.leidenuniv.nl/~hwl/PUBLICATIONS/1982f/art.pdf [36] Lenstra H W, (1987), “Factoring integers with elliptic curves”, Annals of Mathematics Vol 126, No pp 649–673, Available online at: https://wstein.org/edu/124/lenstra/lenstra.pdf [37] May Alexander, (2007), Using LLL-Reduction for Solving RSA and Factorization Problems, The LLL Algorithm: Survey and Applications, pp 315-348, Available online at https://pdfs.semanticscholar.org/ 7c79/49a3c36b2cf625fd39335ff5aaedf74e73d4.pdf [38] May Alexander, (2003), New RSA Vulnerabilities Using lattice Reduction Methods, PhD thesis (Dissertation), http://www.math.unifrankfurt.de/~dmst/teaching/WS2014/Vorlesung/Alex.May.pdf [39] Marcin Gogolewski, Marek Klonowski, Przemysław Kubiak, Mirosław Kutyłowski, Anna Lauks, Filip Zagórski, (2006), Kleptographic Attacks on E-Voting Schemes, Proceedings Conference: Emerging Trends in Information and Communication Security, pp 494-508, Available online at: https://kutylowski.im.pwr.wroc.pl/articles/wele-folie.pdf [40] Margaret Rouse, (2017), Backdoor, SearchSecurity, Available online at: https://searchsecurity.techtarget.com/definition/back-door [41] Maurer U, (1994), Fast Generation of Prime Numbers and Secure Public Key Cryptographic Parameters, Journal of Cryptology, Volume 8, Issue 3, pp 123–155 Available online at https://pdfs.semanticscholar.org/ e156/f237087fed1710c6f959f1e762432f3f38fa.pdf [42] Menezes A, Oorschot P van, Vanstone S, (2001), Handbook of Applied Cryptography, CRC Press [43] Miller, Gary L, (1976), “Riemann's Hypothesis and Tests for Primality”, Journal of Computer and System Sciences, 13 (3): 300–317, Available online at: https://www.cs.cmu.edu/~glmiller/Publications/ Papers/Mi76.pdf 114 [44] Nicholas Howgrave-Graham, (1997), Finding Small Roots of Univariate Modular Equations Revisited, Cryptography and Coding 1997: pp 131-142, Available online at https://link.springer.com/chapter/ 10.1007/BFb0024458 [45] Nicholas Howgrave-Graham, (2001), Approximate integer common divisors, Cryptography and Lattices, pp 51-66, Available online at , http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.144.4244&rep=rep 1&type=pdf [46] Nguyen P, D Stehl´e, (2005), Floating-Point LLL Revisited, Advances in Cryptology – Eurocrypt, Lecture Notes in Computer Science Vol 3494, pp 215–233, Available online at: https://iacr.org/archive/ eurocrypt2005/34940217/34940217.pdf [47] Rabin, Michael O, (1980), “Probabilistic algorithm for testing primality”, Journal of Number Theory, 12 (1): 128–138, Available online at: http://www.sciencedirect.com/science/article/pii/0022314X80900840?via%3 Dihub# [48] RSA Laboratory, (2012), PKCS #1: RSA Cryptography Standard v2.2, EMC, Available online at: http://www.emclink.net/emc-plus/rsalabs/standards-initiatives/pkcs-rsa-cryptography-standard.htm [49] RSA Laboratory, (2004), PKCS #11: Cryptographic Token Interface Standard v2.2, EMC, Available online at http://www.emclink.net/emc-plus/rsa-labs/standards-initiatives/pkcs-11cryptographic-token-interface-standard.htm [50] Russell Brandom, (2013), NSA paid $10 million to put its backdoor in RSA encryption, according to Reuters report, The Verge magazine, Available online at: https://www.theverge.com/2013/12/20/5231006/nsa-paid10-million-for-a-back-door-into-rsa-encryption-according-to [51] Ruxandra F Olimid, (2016), SETUP in Secret Sharing Schemes using Random Values, Available online at: https://eprint.iacr.org/2014/184.pdf 115 [52] Ryan Martin, (2013), NSA May Have Backdoors Built Into Intel And AMD Processors, eTeknix Magazine, Available online at: https://www.eteknix.com/nsa-may-backdoors-built-intel-amd-processors/ [53] SageMath, (2017), SageMath Library 8.0, Available online at: https://www.sagemath.org/download-windows.htm [54] Simmons Gustavus J, (1984), The prisoner's problem and the subliminal channel, Advances in Cryptology 84, pp 51-67, Available online at: http://www.cs.nccu.edu.tw/~raylin/UndergraduateCourse/ComtenporaryCrypt ography/Spring2009/ThePrisonerProblem.pdf [55] Stehlé D, (2007), Floating-Point LLL: Theoretical and Practical Aspects, LLL+25 Conference, The LLL Algorithm, pp 179-213, Available online at: http://perso.ens-lyon.fr/damien.stehle/downloads/LLL25.pdf [56] Stefan Wüller, Marián Kühnel, Ulrike Meyer, (2016), Information Hiding in the RSA Modulus, IH&MMSec '16 Proceedings of the 4th ACM Workshop on Information Hiding and Multimedia Security, Pages 159-167, Available online at: https://dl.acm.org/citation.cfm?id=2909827.2930804 [57] Shoup V, (1998), OAEP Reconsidered, Advances in Cryptology – Crypto 2001, Lecture Notes in Computer Science Vol 2139, Springer-Verlag, pp 239-259, Available online at: http://www.shoup.net/papers/oaep.pdf [58] Ting-Yu Lin, Hung-Min Sun and Mu-En Wu, (2006), A Comprehensive Study of Backdoors for RSA Key Generation, Available online at: https://pdfs.semanticscholar.org/ 81ba/54b69761972e256fa67ad833d7f15 b2a1b9d.pdf [59] Young A and Yung M, (1996), The Dark Side of “Black-Box” Cryptography or: Should We Trust Capstone?, CRYPTO 1996: Advances in Cryptology, pp 89-103, Available online at http://citeseerx.ist.psu.edu/ viewdoc/download?doi=10.1.1.54.616&rep=rep1&type=pdf [60] Young A and Yung M, (1997), Kleptography: Using Cryptography Against Cryptography, EUROCRYPT 1997: Advances in Cryptology, pp 6274, Available online at: https://link.springer.com/content/pdf/10.1007/3-54069053-0_6.pdf 116 [61] Young A and Yung M, (1997), The Prevalence of Kleptographic Attacks on Discrete-Log Based Cryptosystems, CRYPTO 1997: Advances in Cryptology, pp 264-276, Available online at: https://link.springer.com/ content/pdf/10.1007/BFb0052241.pdf [62] Young A and Yung M, (2004), Malicious Cryptography, Exposing Cryptovirology, John Wiley & Sons, Available online at: http://as.wiley.com/WileyCDA/WileyTitle/productCd-0764549758.html [63] Young A and Yung M, (2005), Malicious Cryptography Kleptographic Aspects, CT-RSA 2005: Topics in Cryptology, pp 7-18, Available online at: http://citeseerx.ist.psu.edu/ viewdoc/download? doi=10.1.1.120.6265&rep=rep1&type=pdf [64] Young A and Yung M, (2005), A Space Efficient Backdoor in RSA and Its Applications, SAC 2005: Selected Areas in Cryptography, pp 128-143, Available online at: https://link.springer.com/chapter/10.1007/11693383_9 [65] Wiener M, (1990), Cryptanalysis of short RSA secret exponents, EUROCRYPT 1989: Advances in Cryptology, pp 372-372, Available online at: http://www.woodmann.com/yates/Cryptography/ShortSecretExponents.pdf [66] Zbigniew Golebiewski, Miroslaw Kutylowski, and Filip Zagórski, (2006), Stealing Secrets with SSL/TLS and SSH - Kleptographic Attacks, CANS 2006: Cryptology and Network Security, pp 191-202, Available online at: https://link.springer.com/chapter/10.1007/11935070_13 ... chuẩn FIPS 186-4 hệ mật RSA số kết nghiên cứu backdoor sinh khóa RSA Chương 2: Đề xuất thuật tốn backdoor BD1, BD2 Chương trình bày đề xuất 02 thuật tốn sinh khóa RSA chứa backdoor, BD1, BD2, với... cứu backdoor sinh khóa RSA Dựa sở backdoor phân tích, đánh giá kết nghiên cứu backdoor tác giả trước, chương nêu vấn đề cần nghiên cứu, giải luận án 1.1 Giới thiệu backdoor mật mã 1.1.1 Backdoor. .. (mục 12.9 [62]) Backdoor mật mã sau gọi tắt backdoor tùy theo hệ mật sử dụng nên gọi backdoor đối xứng backdoor bất đối xứng Với backdoor đối xứng, người tìm thấy backdoor sử dụng Backdoor bất đối