Breaking RSA May Be As Difficult As Factoring

If factoring is hard, this paper shows that straight line programs cannot efficiently solve the low public exponent RSA problem. More precisely, no efficient algorithm can take an RSA public key as input and then output a straight line program that efficiently solves the low public exponent RSA problem for the given public key --- unless factoring is easy

Longitud de la clave RSA vs poder computacional

Millions Instructions Per Second (MIPS) es una, aunque no la única, de las métricas tradicionales de performance de los procesadores. Por otro lado Bit Length (BL) puede ser considerado como una métrica para medir la fortaleza de un método de encriptación asimétrico. Dentro del contexto de desarrollo de sistemas y métodos de seguridad, esta investigación tiene como objetivo el concretar un análisis integral de las fortalezas y debilidades de métodos de encriptación asimétricos que permita predecir el nivel de seguridad que dichos métodos presentan hacia el futuro, considerando la longitud de la clave con relación al poder computacional existente. Proponemos estudiar la seguridad, en un lapso de tiempo dado, de un método de encriptación basado en factorización, tal como RSA, estableciendo una relación entre el poder computacional necesario para quebrar una clave y el BL usado en la encriptación. Esta relación permitirá una estimación del lapso de tiempo en que una encriptación con un BL dado será segura frente a posibles ataques.Eje: Seguridad Informática.Red de Universidades con Carreras en Informática (RedUNCI

Longitud de la clave RSA vs poder computacional

Millions Instructions Per Second (MIPS) es una, aunque no la única, de las métricas tradicionales de performance de los procesadores. Por otro lado Bit Length (BL) puede ser considerado como una métrica para medir la fortaleza de un método de encriptación asimétrico. Dentro del contexto de desarrollo de sistemas y métodos de seguridad, esta investigación tiene como objetivo el concretar un análisis integral de las fortalezas y debilidades de métodos de encriptación asimétricos que permita predecir el nivel de seguridad que dichos métodos presentan hacia el futuro, considerando la longitud de la clave con relación al poder computacional existente. Proponemos estudiar la seguridad, en un lapso de tiempo dado, de un método de encriptación basado en factorización, tal como RSA, estableciendo una relación entre el poder computacional necesario para quebrar una clave y el BL usado en la encriptación. Esta relación permitirá una estimación del lapso de tiempo en que una encriptación con un BL dado será segura frente a posibles ataques.Eje: Seguridad Informática.Red de Universidades con Carreras en Informática (RedUNCI

Просіювання пробних значень в методі множинного квадратичного k-решета на основі сигнальних остач

A method for the thining of the test values of X for the method of the multiple quadratic k-sieve (MQkS), which is a modification of the quadratic sieve (QS) method. Important characteristics of the QS method and its modifications are the size of the factor base and the screening interval that significantly affect the rate of obtaining B-smooth numbers. The search for these figures is carried out using a screening procedure in which the searches for those of the trial X are, for the remainder , the values are close to and , where pj - are prime numbers (elements of the quotient base). At the same time, since the possible values sj > 1, it is necessary to determine the value of X, under which , in the case of frequent polynomial changes, it leads to appreciable growth of computational costs. This article is devoted to the development of a method for screening test X for a modified algorithm of the MQkS method, which is characterized by a frequent change of the polynomial. Tpreliminary thining of X is carried out on the basis of comparisons of the signal remains Y*(X) with the remainders Y(X) = X2 – kN, where the signal remains is a product of the first powers of the factors Y(X). An estimate of the quantity B-smooth for which the condition Y*(X) > h ×Y(X) is satisfied. It is established that the time of computing a sufficient number of B-smooth depends on the value of the parameter h in the condition Y*(X) > h ×Y(X) where the best time values are obtained at h ³ 0,7, which is almost twice less than the time corresponding to h = 0. At the same time, with the growth of N it is expedient to increase the value of h.. It is shown that further reduction of computational complexity can be attained by the search of only those B-smooth, for which the indicators of the degree of divisors of B-smooth can exceed the element only with relatively small values of elements of the factor base, whose maximal value is determined on the basis of the values of the parameter kff. It has been established that in comparison with the experimental results for the value of the parameter kff = 1 (no restrictions), the calculation time was reduced by a value from 1,128 (for numbers N size of 1018) to 1,541 (for N numbers size of 1032) times with its monotone growth with increasing N.Предложено способ прореживания пробных значений Х для метода множенственного квадратичного k-решета (MQkS), который является модификацией квадратичного решета (QS), в котороем выполняеэтся предварительное просеивание Х но основе сравнения сигнальних остатков Y*(X) с остатками Y(X) = X2 – kN, где сигнальные остатки - это произведение первых степеней множителей Y(X). Установлено, что время расчета достаточного количества В-гладких зависит от значения параметра h в условии Y*(X) > h ×Y(X) где лучние значения времени были получены при h ³ 0,7, которые почти в двое меньше чем время которое было получено при h = 0. При этом, с ростом N целесообразно увеличивать значение h. Показано, что дальнейшее снижение вычислительной сложности можно достич за счёт поиска только тех В-гладких, для которых показатели степени делителей В-гладкого могут превышать еденицу только при отностительно малых значениях элементов факторной базы, макимальная величина которых определяется на основе значений параметра kff. Установлено, что в сравнении з результатами экспериментов для значения параметра kff = 1 (ограничения отсутствуют) время расчёта уменьшалось на величину от 1.128 (для чисел N порядка 1018) до 1,541 (для чисел N порядка 1032) раз при его монотонном росте с ростом N.Запропоновано спосіб проріджування пробних значень Х для методу множинного квадратичного k-решета (MQkS), що є модифікацією методу квадратичного решета (QS), в якій здійснюється попереднє просіювання Х на основі порівнянь сигнальних остач Y*(X) з остачами Y(X) = X2 – kN, де сигнальні остачі – це добуток перших степенів множників Y(X). Встановлено, що час обчислення достатньої кількості В-гладких залежить від значення параметра h в умові Y*(X) > h ×Y(X) де кращі значення часу отримуються при h ³ 0,7, які майже вдвічі менші за час, що відповідає h = 0. При цьому з ростом N доцільно збільшувати значення h. Показано, що подальше зниження обчислювальної складності можна досягнути за рахунок пошуку тільки тих В-гладких, для яких показники степенів дільників В-гладкого можуть перевищувати одиницю лише при відносно малих значеннях елементів факторної бази, максимальна величина яких визначається на основі значення параметра kff. Встановлено, що в порівнянні з даними розрахунків для значення параметра kff = 1 (обмеження відсутні) час розрахунку зменшувався на величину від 1,128 (для чисел N порядку 1018) до 1,541 (для чисел N порядку 1032) разів при його монотонному рості з ростом N.

Breaking RSA Generically is Equivalent to Factoring

We show that a generic ring algorithm for breaking RSA in $\mathbb{Z}_N$ can be converted into an algorithm for factoring the corresponding RSA-modulus $N$. Our results imply that any attempt at breaking RSA without factoring $N$ will be non-generic and hence will have to manipulate the particular bit-representation of the input in $\mathbb{Z}_N$. This provides new evidence that breaking RSA may be equivalent to factoring the modulus

Використання базової основи модуля для факторизації великих чисел методом Ферма

The Fermat method is considered to be the best for factorization of numbers N=p×q in case of close p and q. Computational complexity of the basic algorithm of the method is determined by the number of check values of X when solving equation Y2=X2‑N, as well as by complexity of the arithmetic operations. To reduce it, it is proposed to consider admissible those of test values X, for which (X2–N)modbb is quadratic residue modulo bb, called basic. Application of basic foundation of module bb makes it possible to decrease the number of check X by the number of times, close to Z=bb/bb*, where bb* is the number of elements of set Т of the roots of equation (Ymodb)2modb=((Xmodb)2–Nmodb)modb, and Z is the acceleration coefficient.It was determined that magnitude Z(N, bb) is affected by the value of residues Nmodp (at p=2, Nmod8 residues are used). The statement of the problem of finding bb with a maximum Z(N, bb) at restrictions for the amount of memory of the computer, where exponents of prime numbers – multipliers bb – are determined, and the method of its solution were proposed.To decrease the number of arithmetic operations with big numbers, it was proposed that instead of them to perform the operations with the values of differences between the nearest values of elements T. Then arithmetic operations of multiplication and addition with big numbers are performed only in rare cases. And if we derive the square root of X2–N only in cases, where the values of (X2–N)modb will be quadratic residues for many foundations of module b, other than bb, the computational complexity of this operation can be neglected.It was established that the proposed modified algorithm of the Fermat method for numbers 21024 ensures a decrease in computational complexity compared to the basic algorithm on average by 107 timesМетод Ферма считается лучшим при факторизации чисел N=p×q в случае близьких p и q. Вычислительная сложность базового алгоритма метода определяется количеством пробных значений Х при решении уравнения Y2=X2‑N, а также сложностью арифметических операций. Для ее снижения предлагается в качестве допустимых рассматривать те из пробных Х, для которых (X2-N)modbb является квадратичным остатком по модулю bb, названного базовым. Применение базового основания модуля bb позволяет уменшить число пробных Х в число раз, близкое к Z=bb/bb*, где bb* – число элементов множества Т корней уравнения (Ymodb)2modb=((Xmodb)2-Nmodb)modb, а Z – коэффициент ускорения.Определено, что на величину Z(N,bb) влияют значения остатков Nmodp (при р=2 используются остатки Nmod8). Предложена постановка задачи поиска bb с максимальным Z(N,bb) при ограничениях на объем памяти ЭВМ, где определяются показатели степеней простых чисел – множителей bb, и способ ее решения.Для уменьшения числа арифметических операций с большими числами предложено вместо таких выполнять операции со значениями разностей между ближайшими значениями элементов Т. Тогда арифметические операции умножения и сложения с большими числами выполняются только в редких случаях. А если квадратный корень из X2-N определять только в случаях, когда значения (X2-N)modb будут квадратичными остатками для многих оснований модуля b, отличных от bb, то вычислительной сложностью этой операции можно пренебречь.Установлено, что тогда предложенный модифицированный алгоритм метода Ферма для чисел 21024 обеспечивает снижение вычислительной сложности по сравнению с базовым алгоритмом в среднем в 107 разМетод Ферма вважається кращим при факторизації чисел N=p×q у випадку близьких p і q. Обчислювальна складність базового алгоритму методу визначається кількістю пробних значень Х при вирішенні рівняння Y2=X2‑N, а також складністю арифметичних операцій. Для її зниження запропоновано в якості допустимих розглядати ті з пробних Х, для яких (X2-N)modbb є квадратним залишком по модулю bb, названого базовым. При використанні базової основи модуля bb число пробних Х зменшується в число раз, близьке до Z(N,bb)=bb/bb*, де bb* – число елементів множини Т коренів рівняння (Ymodb)2modb=((Xmodb)2-Nmodb)modb, а Z – коефіцієнт прискорення.Визначено, що на величину Z(N,bb) впливають значения залишків Nmodp (при р=2 використовуються залишки Nmod8). Запропоновано постановку задачі пошуку bb з максимальным Z(N,bb) при обмеженях на обсяг пам’яті ЕОМ, де визначаються показники степенів простих чисел – множників bb, та спосіб її вирішення.Для зменшення числа арифметичних операцій з великими числами попонується замість таких виконувати операції зі значеннями різниць між найближчими значеннями елементів множини Т. Тоді арифметичні операції множення і додавання з великими числами виконуються рідко. А якщо квадратний корінь з X2-N визначати тільки у випадках, коли значення (X2-N)modb будуть квадратними залишками для багатьох різних основ модуля b, то обчислювальною складністю цієї операції можна знехтувати.Встановлено, що тоді запропонований модифікований алгоритм методу Ферма для чисел 21024 забезпечує зниження обчислювальної складності в порівнянні з базовим алгоритмом в середньому в 107 ра

Використання базової основи модуля для факторизації великих чисел методом Ферма

The Fermat method is considered to be the best for factorization of numbers N=p×q in case of close p and q. Computational complexity of the basic algorithm of the method is determined by the number of check values of X when solving equation Y2=X2‑N, as well as by complexity of the arithmetic operations. To reduce it, it is proposed to consider admissible those of test values X, for which (X2–N)modbb is quadratic residue modulo bb, called basic. Application of basic foundation of module bb makes it possible to decrease the number of check X by the number of times, close to Z=bb/bb*, where bb* is the number of elements of set Т of the roots of equation (Ymodb)2modb=((Xmodb)2–Nmodb)modb, and Z is the acceleration coefficient.It was determined that magnitude Z(N, bb) is affected by the value of residues Nmodp (at p=2, Nmod8 residues are used). The statement of the problem of finding bb with a maximum Z(N, bb) at restrictions for the amount of memory of the computer, where exponents of prime numbers – multipliers bb – are determined, and the method of its solution were proposed.To decrease the number of arithmetic operations with big numbers, it was proposed that instead of them to perform the operations with the values of differences between the nearest values of elements T. Then arithmetic operations of multiplication and addition with big numbers are performed only in rare cases. And if we derive the square root of X2–N only in cases, where the values of (X2–N)modb will be quadratic residues for many foundations of module b, other than bb, the computational complexity of this operation can be neglected.It was established that the proposed modified algorithm of the Fermat method for numbers 21024 ensures a decrease in computational complexity compared to the basic algorithm on average by 107 timesМетод Ферма считается лучшим при факторизации чисел N=p×q в случае близьких p и q. Вычислительная сложность базового алгоритма метода определяется количеством пробных значений Х при решении уравнения Y2=X2‑N, а также сложностью арифметических операций. Для ее снижения предлагается в качестве допустимых рассматривать те из пробных Х, для которых (X2-N)modbb является квадратичным остатком по модулю bb, названного базовым. Применение базового основания модуля bb позволяет уменшить число пробных Х в число раз, близкое к Z=bb/bb*, где bb* – число элементов множества Т корней уравнения (Ymodb)2modb=((Xmodb)2-Nmodb)modb, а Z – коэффициент ускорения.Определено, что на величину Z(N,bb) влияют значения остатков Nmodp (при р=2 используются остатки Nmod8). Предложена постановка задачи поиска bb с максимальным Z(N,bb) при ограничениях на объем памяти ЭВМ, где определяются показатели степеней простых чисел – множителей bb, и способ ее решения.Для уменьшения числа арифметических операций с большими числами предложено вместо таких выполнять операции со значениями разностей между ближайшими значениями элементов Т. Тогда арифметические операции умножения и сложения с большими числами выполняются только в редких случаях. А если квадратный корень из X2-N определять только в случаях, когда значения (X2-N)modb будут квадратичными остатками для многих оснований модуля b, отличных от bb, то вычислительной сложностью этой операции можно пренебречь.Установлено, что тогда предложенный модифицированный алгоритм метода Ферма для чисел 21024 обеспечивает снижение вычислительной сложности по сравнению с базовым алгоритмом в среднем в 107 разМетод Ферма вважається кращим при факторизації чисел N=p×q у випадку близьких p і q. Обчислювальна складність базового алгоритму методу визначається кількістю пробних значень Х при вирішенні рівняння Y2=X2‑N, а також складністю арифметичних операцій. Для її зниження запропоновано в якості допустимих розглядати ті з пробних Х, для яких (X2-N)modbb є квадратним залишком по модулю bb, названого базовым. При використанні базової основи модуля bb число пробних Х зменшується в число раз, близьке до Z(N,bb)=bb/bb*, де bb* – число елементів множини Т коренів рівняння (Ymodb)2modb=((Xmodb)2-Nmodb)modb, а Z – коефіцієнт прискорення.Визначено, що на величину Z(N,bb) впливають значения залишків Nmodp (при р=2 використовуються залишки Nmod8). Запропоновано постановку задачі пошуку bb з максимальным Z(N,bb) при обмеженях на обсяг пам’яті ЕОМ, де визначаються показники степенів простих чисел – множників bb, та спосіб її вирішення.Для зменшення числа арифметичних операцій з великими числами попонується замість таких виконувати операції зі значеннями різниць між найближчими значеннями елементів множини Т. Тоді арифметичні операції множення і додавання з великими числами виконуються рідко. А якщо квадратний корінь з X2-N визначати тільки у випадках, коли значення (X2-N)modb будуть квадратними залишками для багатьох різних основ модуля b, то обчислювальною складністю цієї операції можна знехтувати.Встановлено, що тоді запропонований модифікований алгоритм методу Ферма для чисел 21024 забезпечує зниження обчислювальної складності в порівнянні з базовим алгоритмом в середньому в 107 ра

On the Analysis of Cryptographic Assumptions in the Generic Ring Model

The generic ring model considers algorithms that operate on elements of an algebraic ring by performing only the ring operations and without exploiting properties of a given representation of ring elements. It is used to analyze the hardness of computational problems defined over rings. For instance, it is known that breaking RSA is equivalent to factoring in the generic ring model (Aggarwal and Maurer, Eurocrypt 2009). Do hardness results in the generic ring model support the conjecture that solving the considered problem is also hard in the standard model, where elements of $\Z_n$ are represented by integers modulo $n$? We prove in the generic ring model that computing the Jacobi symbol of an integer modulo $n$ is equivalent to factoring. Since there are simple and efficient non-generic algorithms which compute the Jacobi symbol, this provides an example of a natural computational problem which is hard in the generic ring model, but easy to solve if elements of $\Z_n$ are given in their standard representation as integers. Thus, a proof in the generic ring model is unfortunately not a very strong indicator for the hardness of a computational problem in the standard model. Despite this negative result, generic hardness results still provide a lower complexity bound for a large class of algorithms, namely all algorithms solving a computational problem independent of a given representation of ring elements. Thus, from this point of view results in the generic ring model are still interesting. Motivated by this fact, we show also that solving the quadratic residuosity problem generically is equivalent to factoring

Why Fiat-Shamir for Proofs Lacks a Proof

The Fiat-Shamir heuristic (CRYPTO \u2786) is used to convert any 3-message public-coin proof or argument system into a non-interactive argument, by hashing the prover\u27s first message to select the verifier\u27s challenge. It is known that this heuristic is sound when the hash function is modeled as a random oracle. On the other hand, the surprising result of Goldwasser and Kalai (FOCS \u2703) shows that there exists a computationally sound argument on which the Fiat-Shamir heuristic is never sound, when instantiated with any actual efficient hash function. This leaves us with the following interesting possibility: perhaps there exists a hash function that securely instantiates the Fiat-Shamir heuristic for all 3-message public-coin statistically sound proofs, even if it can fail for some computationally sound arguments. Indeed, the existence of such hash functions has been conjectured by Barak, Lindell and Vadhan (FOCS \u2703), who also gave a seemingly reasonable and sufficient condition under which such hash functions exist. However, we do not have any provably secure construction of such hash functions, under any standard assumption such as the hardness of DDH, RSA, QR, LWE, etc. In this work we give a broad black-box separation result, showing that the security of such hash functions cannot be proved under virtually any standard cryptographic assumption via a black-box reduction