Partial key exposure and RSA vulnerabilities

Abstract

We choose (N, e, d) be an RSA key. Suppose by some means Olga is able to expose a fraction of the bits of d. Can she reconstruct the rest of d ? Surprisingly the answer is positive when the corresponding e is small. Recently Boneh, Durfee and Frankel showed that as long as e < N^(1/2), it is possible to reconstruct all of d from a quarter of them. And Blo¨mer and May approach for larger values of e < N^(0.725) in case known MSBs of d and e < N^(7/8) in case known LSBs of d. We show that she succeeds to obtain all of d for arbitrary e < N whenever d ≤ N^(0.833). ;RSA 의 비밀키 d 가 저장되어 있는 컴퓨터시스템에서 나쁜 여인 Olga 는 d 를 복원하기 위해 다양한 방법으로 어택을 시도한다. 이때Olga 에게 d 의 어떤 연속적인 부분 bit가 주어진다고 가정하면 그녀는 과연 d의 나머지 부분까지 모두 복원할 수 있을까? 놀라웁게도 d 에 대응하는 공개키 e 가 작을 때 해답은 긍정적이다. 최근에 Boneh, Durfee, Frankel은 e＜N^(1/2) 일 때 d 의 노출된 조각 bit 로 d 전체를 알 수 있다고 보였고 Blo˝mer 와 May 는 e 의 범위를, d 의 MSBs 가 노출된 경우엔 e＜N^(0.725) 으로, d의 LSBs가 노출된 경우엔 e＜N^(7/8) 까지 확장시켰다. 본 논문에서는 d≤N^(0.833)인 조건에서 d 의 LSBs가 노출된 경우에 d 전체를 복원하는 범위를 e＜N 인 모든 e 로 확장시킨다.