<h1><span style="text-decoration: underline;">RSA</span></h1>



* Rivest, R.; A. Shamir; L. Adleman **(1978)**. *A Method for Obtaining Digital Signatures and Public-Key Cryptosystems* . Communications of the ACM 21 (2): 120–126

* The Original RSA Patent as filed with the U.S. Patent Office by Rivest; Ronald L. (Belmont, MA), Shamir; Adi (Cambridge, MA), Adleman; Leonard M. (Arlington, MA), **December 14, 1977**, U.S. Patent 4,405,829.

---


1. Criptosistema RSA
    * Puesta en funcionamiento
    * Cifrado y descifrado de mensajes
2. Seguridad
    * Factorización
        - Factorización de Fermat
        - Método p − 1 
        - Criba cuadrática
        - Otros métodos de factorización
        - [RSA Factoring Challenge](https://en.wikipedia.org/wiki/RSA_Factoring_Challenge)
    * Algunos ataques al uso del RSA
         - Exponente compartido
         - Módulo compartido
         - Timing / Power attacks
         - Primos no aleatorios
         - Criptograma escogido (reto-respuesta)
         - Insuficiente control del formato
         - Error provocado
         - [Recovering cryptographic keys from partial information, by example](https://eprint.iacr.org/2020/1506)
         - Primos no aleatorios
         - Cajas negras
3. Recomendaciones

---

## Criptosistema RSA

Criptosistema RSA: $({\cal M},{\cal C},{\cal K},{\cal E},{\cal D})$

* ${\cal M}=\mathbb Z_n$.
* ${\cal C}=\mathbb Z_n$.
* ${\cal K}=\{ (n,p,q,e,d)\,:\, n=pq,\quad p,q$ primos impares diferentes, $ed\equiv 1 \mod \phi(n)\}$.
* Para $k=(n,p,q,e,d)\in{\cal K}$, $x,y\in\mathbb Z_n$:
  - $e_k(x)=x^e\mod n$,
  - $d_k(y)=y^d\mod n$.

---


[RFC3447 Public-Key Cryptography Standards (PKCS) \#1: RSA Cryptography](https://datatracker.ietf.org/doc/html/rfc3447)

---
### Puesta en funcionamiento


Cada usuario realiza los siguientes pasos:


* Elige $e$. Generalmente se toma $e$ primo e
  * igual a  65537 ($2^{16}+1$) si su uso es para cifrar
  * igual a  3 ($2^{1}+1$) si su uso es para firmar
* Genera dos números primos aleatorios diferentes, $p$ y $q$ tales que $(e,p-1)=1$, $(e,q-1)=1$.
* Calcula $n=pq$.
* Calcula $d=e^{-1}\mod MCM(p-1,q-1)$. (Algoritmo extendido de Euclides)
* Calcula 
    * $d_p\equiv d \mod (p-1)$,
    * $d_q\equiv d \mod (q-1)$,
    * $p_{inv}\equiv p^{-1}\mod q$
    * $q_{inv}\equiv q^{-1}\mod p$

**Clave pública**: $\{e,n\}$. 
**Clave privada**: $\{d,p,q,d_p,d_q,q_{inv}\}$.


In [49]:
e=2^16+1;
NdeBits=1024*(4); # bits del módulo
r1=randint(0,2^(NdeBits/2));
r2=randint(0,2^(NdeBits/2));
p=next_probable_prime(r1);
while gcd(e,p-1)!=1:
    print( ".");
    p=next_probable_prime(p+2);
    
q=next_probable_prime(r2);
while gcd(e,q-1)!=1:
    print( "+");
    q=next_probable_prime(q+2);
    
n=p*q;
phi=(p-1)*(q-1);
d=mod(e^-1,phi);
dp=mod(d,p-1);
dq=mod(d,q-1);
q_inv=mod(q^-1,p);

print( "n=",n);
print( "e=",e);
print()
print( "p=",p);
print( "q=",q);
print( "d=",d);
print( "dp=",dp);
print( "dq=",dq);
print( "q_inv=",q_inv);

n= 6482540160545944582904321179328416724556119920977114176301410096255777756921191726860866655974905671339227526210915968653669500337191235609172973008779010748951796212082826833002829639958450196677268582114937084771191800890392938306311318310854339324646976164963401955241973287107617792099309147208945836817721933711896269446839900689111235424163953849184556626921615069861980036103985562295808207547213457870782667445137471613225052887034899626559076459502615032991268458394319884349739647480304721874424181477356824513942909590284745313743300906783612290580427034246850875020801771783589484027182892451362427504440196195705530753735321594723665544794773927382900212414903507457656565521905837839999786957813748131243450947120834363478477987942494868131110216885084607048669427233870161721264099446694749095736749350342632965557225419154192677682245628023503627558691666001964991920218288947473599385890762010209374732097024516078099105630352025068774117122480904244949463628374632119323193181629

### Cifrado (Primitiva)

Sea $m$ una cadena de bits interpretada como un entero $0\leq m < n$: 

$$c=m^e\mod n$$

### Descifrado (Primitiva usando TCR)

Para recuperar $m$ se calcula:
    $$M_p=c^{d_p}\mod p, \qquad M_q=c^{d_q}\mod q$$
    y  se resuelve el sistema de congruencias:
    $$
    \left. \begin{array}{rl}
        &m\equiv M_p \mod p \\
        &m\equiv M_q \mod q
      \end{array}\right\}
    $$
    cuya solución es
    $$
    m=M_p q_{inv}q+M_q p_{inv}p \mod n.
    $$
    
Resolver el sistema de congruencias es equivalente a calcular:
    $$
    h= (M_p-M_q)q_{inv} \mod p
    $$
    y 
    $$
    m=M_q+q\,h \mod n
    $$




In [50]:
from time import time

m=randint(0,2^NdeBits);

m=mod(m,n); #Necesario para que trabaje en Zn, si no tarda mucho

c=mod(m^e,n);
cp_aux=mod(c,p); #Necesario para que trabaje en Zp, si no tarda mucho
cq_aux=mod(c,q); #Necesario para que trabaje en Zq, si no tarda mucho

numero_de_iteraciones=100
print('Número de iteraciones:', numero_de_iteraciones)
inicio=time();
for i in range(numero_de_iteraciones):
    c=mod((m+i)^e,n);
    m_rsa=mod(c^d,n);
    if m+i!=m_rsa:
        print ("Error RSA")
print ("Tiempo RSA c^d mod n:",time()-inicio);

inicio=time()
for i in range(numero_de_iteraciones):
    c=mod((m+i)^e,n);    
    cp_aux=mod(c,p); #Necesario para que trabaje en Zp, si no tarda mucho
    cq_aux=mod(c,q); #Necesario para que trabaje en Zq, si no tarda mucho
    mp=Integer(mod(cp_aux^dp,p));
    mq=Integer(mod(cq_aux^dq,q));
    h=mod((mp-mq)*Integer(q_inv),n);
    m_tcr=mod((mq+q*h),n);
    if m+i!=m_tcr:
        print( "Error TCR")
    hp=mod((mp-mq)*Integer(q_inv),p);
    mp_tcr=mod((mq+q*Integer(hp)),n);
    if m+i!=mp_tcr:
        print( "Error Mp TCR")

print( "Tiempo RSA CRT:      ",time()-inicio);



Número de iteraciones: 100
Tiempo RSA c^d mod n: 3.7952663898468018
Tiempo RSA CRT:       1.0160365104675293


---

### RSA-OAEP Optimal asymmetric encryption padding
![RSA-OAEP Optimal asymmetric encryption padding](rsa-oaep1.png)

* El padding consiste en una cadena de 0 o más bytes 0x00 acabada necesariamente con el byte 0x01.
* pHash es el hash de los parámetros que se le pasan, si no hay parámetros es el hash de una cadena vacía.
* mask generation function MGF($Z$,$l$) devuelve una cadena de $l$ bytes generados de la siguiente forma:
    * Sea $T$ una cadena vac\'ia
    * Para $i=0,...,\frac{l}{hLen-1}$  
    
        $T=T\|Hash(Z\|i)$ $\quad$ ($i$ entero de 32 bits)
        
    * Salida los primeros $l$ bytes de $T$.         
* La función $Hash(\cdot)$ que devuelve $hLen$ bytes se ha de acordar previamente al igual que el tamaño de la semilla. 
            
* $EM$ se considera un elemento de  $\mathbb Z_n$ y se cifra usando la primitiva criptográfica.


Para descifrar un mensaje cifrado recibido se siguen los pasos:

* Se descifra $c$ utilizando la primitiva criptográfica (se recomienda la versión TCR) 
    y la clave privada del receptor del mensaje.
    
    
* Se comprueba que $EM$ tiene el formato adecuado (el padding y pHash recuperados son los correctos). Si es así, se extrae $M$.


---
<h3><span style="text-decoration: underline;">Factorización</span></h3>
<h4><span style="text-decoration: underline;">Factorización de Fermat</span></h4>

Sea $n$ un  entero positivo impar tal que se puede escribir
como producto de dos enteros positivos, $n=ab$. Entonces 
$$
n=ab=s^2-t^2, \hskip1cm s=\frac{a+b}{2}, \hskip.3cm t=\frac{a-b}{2}.
$$

Por otra parte si $n$ es un entero positivo impar tal que se 
puede escribir como $n=s^2-t^2$, entonces
$$
n=s^2-t^2=ab, \hskip1cm a=s+t, \hskip.3cm b=s-t.
$$

Para que este método de factorización sea útil $t$ ha de ser pequeño.



[**Algorithm for factoring some RSA and Rabin moduli**](http://arxiv.org/abs/1303.5226) Omar Khadir

Si $\vert p-q\vert\leq 2^{\frac{k+5}{4}}$, $k$ tamaño del módulo en bits, entonces, si $n_0=\lfloor\sqrt{n}\rfloor+1$, $I=n_0^2-n$ es un cuadrado prefecto y $p=n_0-\sqrt{I}$, $q=n_0+\sqrt{I}$.

In [51]:
NdeBits=1024*2;
r1=randint(0,2^NdeBits);
k=randint(0,2^(NdeBits/2));
p1=next_probable_prime(r1);
p2=next_probable_prime(r1+k);
n=p1*p2;

n0=floor(sqrt(n))+1;
I=n0^2-n;
q1=n0-sqrt(I);
q2=n0+sqrt(I);

print(p1)
print(p2)
print("\n-------------------------- diferencia entre p y q: ", p2-p1)
print("\nPrimos calculados:")
print(q1)
print(q2)
print(q1-p1)
print(q2-p2)

14401416251211661444010762562325533270655808645802949321346893148666823237561555366975579857799907430058802365636629549373072028568356160875259708350887565555027335543880287326845535470868161833517203705230938271170030072287129740060970211038453636481804428781977792306690182854658156488790531987358990216080287242006978813903957532139057517897067548564534074023249951157563767148879197380879197473976574881992138888637081542436337483603217628467879461553959148851052745582385205966344944907072678739711319991890604094726230253195571472888086661183325995766010568638333565475472556854731654818370092998199026367235283
1440141625121166144401076256232553327065580864580294932134689314866682323756155536697557985779990743005880236563662954937307202856835616087525970835088756555502733554388028732684553547086816183351720370523093827117003007228712974006097021103845363648180442878197779230669018285465815648879053198735899021608034680978105284623281653904008407318081533728836563957690717724895636886562

<h4><span style="text-decoration: underline;">Método</span>  $p-1$</h4>

Sea $p$ primo un factor de $n$ tal que todas las potencias de primo divisoras de $p-1$ son menores que un cierto $B$.

Entonces $(p-1)\vert B!$

Calculemos ahora $a\equiv 2^{B!} \mod n$. Como $p\vert n$ tenemos que $a\equiv 2^{B!} \mod p$.

Por el teorema de Fermat $1\equiv 2^{p-1} \mod p$ y como $(p-1)\vert B!$ entonces $a\equiv 1 \mod p$ y por lo tanto $p\vert (a-1)$. Teniendo en cuenta que $p\vert n$ podemos concluir que $p$ divide al máximo común divisor de $a-1$ y $n$, $p\vert d=(a-1,n)$.

En consecuencia $d$ es un factor no trivial de $n$. Hemos reducido el problema de factorizar $n$ al problema de factorizar $d$ y $\frac{n}{d}$.

La complejidad de este algoritmo es ${\cal O}(B\log B\log^2 n +\log^3 n)$. Si $B\simeq \sqrt n$ su complejidad es la misma que si nos dedicáramos a dividir por todos los posibles divisores.

Para que este método de factorización sea útil $p-1$ ha de tener solamente factores pequeños. 

Una forma de evitar este ataque es elegir los primos del RSA  de la forma
$p=2p_1+1$, $q=2q_1+1$, $p_1$ y $q_1$ primos.



In [59]:
NdeBits=32;
r1=randint(0,2^NdeBits);
r2=randint(0,2^NdeBits);
p=next_probable_prime(r1);
q=next_probable_prime(r2);
n=p*q;

print("p-1=", factor(p-1))
print("q-1=", factor(q-1))

a=2;
x=1;
B=2^20;
print("Tomo B = 2^20 =",B);

while x<B and gcd(a-1,n)==1:
    x=x+1;
    a=mod(a^x,n);    


if x<B:
    print("Factorizado!")
else:
    print("Error!")
    
print('a=', a);
print('mcd(a-1,n)=',gcd(a-1,n));
print( p);
print( q);


p-1= 2^8 * 3 * 257 * 13127
q-1= 2 * 3 * 349 * 434249
Tomo B = 2^20 = 1048576
Factorizado!
a= 875054730298435911
mcd(a-1,n)= 2590954753
2590954753
909317407


<h4><span style="text-decoration: underline;">Criba cuadrática</span></h4>

Dados $n=pq$, $y$ y $z$ tales que $y\not\equiv \pm z\mod n$ y 
$y^2\equiv z^2 \mod n$ entonces $(y-z,n)=p\ \textrm{ó}\ q$.

Se generan $x_1,\ldots,x_m$. Para cada número se calcula 
$x_i^2\mod n$ que se intenta factorizar sobre una base de primos 
$\{2,3,\ldots,p_k\}$. En el caso de ser posible tendremos
$$
x_i^2\mod n=\Pi_{j=1}^k p_j^{e_j}.
$$

Cuando obtengamos $k+1$, por eliminación gausiana podremos escribir
uno de los vectores $(e_1,\ldots,e_k)$ como combinación lineal 
(módulo 2) de los otros. Entonces 
$$
\Pi_{i=1}^m \left(x_i^{2}\right)^{b_i} \equiv 
\Pi_{j=1}^k p_j^{c_j}\mod n,
$$ 
siendo $b_i$ 0 ó 1 (dependiendo
de si pertenece o no a la combinación lineal) y $c_j$ la suma de
las multiplicidades de los primos.


Definiendo 
$$
y\equiv\Pi_{i=1}^m x_i^{b_i} \mod n
\hskip1cm \textrm{y} \hskip1cm 
z\equiv  \Pi_{j=1}^k p_j^{c_j/2}\mod n
$$ entonces 
$$
y^2\equiv z^2 \mod n.
$$


Con $m=100\,000\,000$ y $k=200\,000$ la criba se puede realizar 
en unos pocos segundos (5-10) obteniendo poquísimos números 
cuyo cuadrado sea factorizable.

La complejidad del algoritmo es 
${\cal O}\left(\mbox{e}^{\left(1+\circ(1)\right)
\sqrt{\log n\log\log n}}\right)$.


In [62]:
p=3571;
q=4409;
n=p*q;
print("n=", n);

Base=list(primes(1,12));
print('Base de primos:', Base)
print()
NumeroDePrimos=len(Base);
NumeroDeFactorizacionesABuscar=NumeroDePrimos+4
NumeroDeFactorizaciones=0;
NumeroDeIntentos=0;

exponenteMatrix = [[0 for i in range(0,NumeroDePrimos+2)] for i in range(0,NumeroDeFactorizacionesABuscar)] 
exponenteMatrixBinaria = [[0 for i in range(0,NumeroDePrimos)] for i in range(0,NumeroDeFactorizacionesABuscar)] 

while NumeroDeFactorizaciones<NumeroDeFactorizacionesABuscar:
    NumeroDeIntentos=NumeroDeIntentos+1;
    exponente=list([0 for i in  range(0,NumeroDePrimos)]);
    x=randint(1,n);
    x2=mod(x^2,n);
    for i in range(NumeroDePrimos):
        p=Base[i];
        while mod(x2,p)==0:
            exponente[i]=exponente[i]+1;
            x2=x2/p;
    if x2==1:
        print( "Numero de Intentos: ", NumeroDeIntentos, "; X=",x, "; X^2 mod n =",mod(x^2,n));
        for i in range(len(Base)):
            p=Base[i];
            exponenteMatrix[NumeroDeFactorizaciones][i]=exponente[i];
            exponenteMatrixBinaria[NumeroDeFactorizaciones][i]=exponente[i]%2;
            #print p, "^", exponente[i];
        exponenteMatrix[NumeroDeFactorizaciones][NumeroDePrimos]=x;
        exponenteMatrix[NumeroDeFactorizaciones][NumeroDePrimos+1]=Integer(mod(x^2,n));
        NumeroDeFactorizaciones=NumeroDeFactorizaciones+1;
        
print( "\n Numero de Intentos: ", NumeroDeIntentos);
for i in range(NumeroDeFactorizacionesABuscar):
    print( i,  exponenteMatrixBinaria[i], exponenteMatrix[i],"   ", factor(exponenteMatrix[i][NumeroDePrimos+1]));

n= 15744539
Base de primos: [2, 3, 5, 7, 11]

Numero de Intentos:  2049 ; X= 1026087 ; X^2 mod n = 1464100
Numero de Intentos:  6314 ; X= 4254926 ; X^2 mod n = 1782000
Numero de Intentos:  9450 ; X= 1434100 ; X^2 mod n = 12403125
Numero de Intentos:  16575 ; X= 10909982 ; X^2 mod n = 50820
Numero de Intentos:  22784 ; X= 6528310 ; X^2 mod n = 1815156
Numero de Intentos:  30325 ; X= 8916281 ; X^2 mod n = 1002375
Numero de Intentos:  35805 ; X= 7133339 ; X^2 mod n = 1607445
Numero de Intentos:  39550 ; X= 10345581 ; X^2 mod n = 740880
Numero de Intentos:  40257 ; X= 15741467 ; X^2 mod n = 9437184

 Numero de Intentos:  40257
0 [0, 0, 0, 0, 0] [2, 0, 2, 0, 4, 1026087, 1464100]     2^2 * 5^2 * 11^4
1 [0, 0, 1, 0, 1] [4, 4, 3, 0, 1, 4254926, 1782000]     2^4 * 3^4 * 5^3 * 11
2 [0, 0, 1, 0, 0] [0, 4, 5, 2, 0, 1434100, 12403125]     3^4 * 5^5 * 7^2
3 [0, 1, 1, 1, 0] [2, 1, 1, 1, 2, 10909982, 50820]     2^2 * 3 * 5 * 7 * 11^2
4 [0, 1, 0, 1, 0] [2, 3, 0, 5, 0, 6528310, 1815156]     2^2 * 3^3 * 

In [63]:
solucion=[0,8]
X=1
exponenteSolucion = Matrix([0 for i in range(0,NumeroDePrimos)])
for i in solucion:
    X=X*exponenteMatrix[i][len(Base)]
    exponenteSolucion=exponenteSolucion+Matrix(exponenteMatrix[i][:-2])
Y=1
for i in range(len(Base)):
    Y=Y*(Base[i]**(exponenteSolucion[0][i]/2))
gcd(n,X-Y)

4409

<h4><span style="text-decoration: underline;">Otros métodos de factorización</span></h4>

* **Curvas elípticas** ${\cal O}\left(\mbox{e}^{\left(1+\circ(1)\right)
    \sqrt{2\log p\log\log p}}\right)$ siendo $p$ el menor divisor 
    primo de $n$.
* **Criba del cuerpo de números**
    ${\cal O}\left(\mbox{e}^{\left(1.92+\circ(1)\right)
    (\log n)^{1/2} (\log\log n)^{2/3}}\right)$. Es el que mejor se comporta 
    cuando $n$ crece.



---
<h3><span style="text-decoration: underline;">Ataques al uso del RSA</span></h3>
<h4><span style="text-decoration: underline;">Exponente compartido</span></h4>

Supongamos que enviamos el mismo mensaje $m$ a tres personas cuyo
exponente público es $e=3$:
$$
c_1\equiv m^3 \mod n_1,
$$
$$
c_2\equiv m^3 \mod n_2,
$$
$$
c_3\equiv m^3 \mod n_3.
$$

Si $(n_1,n_2)=((n_1,n_3)=n_2,n_3)=1$ por el teorema chino 
existe una única solución del sistema
$$
x\equiv c_1 \mod n_1,
$$
$$
x\equiv c_2 \mod n_2,
$$
$$
x\equiv c_3 \mod n_3,
$$
módulo $n=n_1n_2n_3$. 

La solución es **exactamente igual a** (no solo
congruente con) $m^3$. Podemos hallar $m$ calculando la raíz
cúbica en los reales (es fácil y rápido) del resultado 
obtenido aplicando el teorema chino de los restos.


El coste para hallar $m$ a partir de los
criptogramas y las claves públicas es
${\cal O}\left(\log^3(n_1)+\log^2(n)\right)$ siendo $n=\prod_{i=1}^e
n_i$. 


Si los módulos no son relativamente primos, cosa altamente 
improbable, podemos factorizarlos (su $mcd$ nos da el factor 
primo que comparten.)

**Nota:**
	Al usar RSA-OAEP cada $EM$ es diferente, evitando este ataque. 



In [64]:
NdeBitsDelModulo=2048
limite=2^(NdeBitsDelModulo/2);
r1=randint(0,limite);
r2=randint(0,limite);
p1=next_probable_prime(r1);
p2=next_probable_prime(r2);
n1=p1*p2;
r1=randint(0,limite);
r2=randint(0,limite);
p1=next_probable_prime(r1);
p2=next_probable_prime(r2);
n2=p1*p2;
r1=randint(0,limite);
r2=randint(0,limite);
p1=next_probable_prime(r1);
p2=next_probable_prime(r2);
n3=p1*p2;


Z1= IntegerModRing(n1);
Z2= IntegerModRing(n2);
Z3= IntegerModRing(n3);


e=3;
m=mod(mod(mod(randint(0,limite^2),n1),n2),n3);
m1=Z1(m);
m2=Z2(m);
m3=Z3(m);

cc1=m1^e; 
cc2=m2^e; 
cc3=m3^e; 

print("\ncriptograma y módulo 1: ",cc1,'\n', n1);
print("\ncriptograma y módulo 2: ",cc2,'\n', n2);
print("\ncriptograma y módulo 3: ",cc3,'\n', n3);


c1=Integer(cc1);
c2=Integer(cc2);
c3=Integer(cc3);

#---------------------
#Empieza ataque
#---------------------
print("\n---------------- Empiezo los cálculos para descifrar------------------")
t0=cputime()
s=(crt(crt(c1,c2,n1,n2),c3,n1*n2,n3))^(1/e);
t1=cputime()

print("\nmensaje original=",m);
print("\nmensaje recuperado=",s);
print("\nDiferencia:",Integer(s)-Integer(m));

print("\n Tiempo=",t1-t0)


criptograma y módulo 1:  5651407358722155016879232863008378852408408483456480993081898515062395590583104990516331134947436142400167650201036370382118881610153103189352233704174135435921610061620394478748048031997845280667188163113120196762841062339438483999730047242289451204601827502836335383652063096479469331868955920929256214657328216121045453082968968743994449436595504432913313125223100436566287308594804600503283391694176882920687230462802119294222927946627834010945054999700485947029534064125519352920370374252081040245865260333124713935582585899200734987218531906545243784119723675441290474177746573525232940696823198595816431072645 
 9363026017826486920750078780914164558309271233954734854751404833483617825885055907904806083754236590808344967321661902557621427950825709339820237218189334644857295993559762590134339454440440903109954193053153552975027488432213071233019369224152145539752209573931207605167321895643230335908859434973140165973808850484043694004984597125555947411021748104088

<h4><span style="text-decoration: underline;">Módulo compartido:</span></h4>

Una gran organización podría estar tentada de distribuir
entre sus miembros un par de exponentes, uno público y su
correspondiente exponente privado, y un módulo común a
todos los usuarios, pero no los valores de los primos que lo
componen. 

En esta situación podemos distinguir dos tipos de ataques,
según su procedencia:

* <em><span style="text-decoration: underline;">Atacante externo</span></em>
    Sean $c_1$ y $c_2$ los criptogramas resultantes de cifrar, con las claves públicas RSA $\{e_1, n\}$ y $\{e_2, n\}$  tales que $(e_1,e_2)=1$, un mismo mensaje $0\leq m<n$.

    Entonces, el tiempo necesario para hallar $m$ a partir de los criptogramas y las claves públicas es ${\cal O}\left(\log^3(n)\right).$
    
    Si $(e_1,e_2)=1$ podemos hallar $r$ y $s$ tales que $e_1 r+e_2 s=1$. Entonces
    $$
    c_1^rc_2^s\equiv m^{e_1 r}m^{e_2 s} \equiv m^{e_1 r+e_2 s}
    \equiv m \mod n.
    $$
    Las operaciones más costosas son las exponenciaciones modulares.


* <em><span style="text-decoration: underline;">Atacante interno</span></em>
    El conocimiento de un exponente público y su correspondiente exponente privado permite calcular los otros exponentes privados, incluso factorizar el módulo.

    Sean $n$ un módulo RSA, $3\leq e_{_A},d_{_A}<\phi(n)$ enteros tales que $e_{_A} d_{_A}\equiv 1 \mod \phi(n)$, y $3\leq e_{_B}<\phi(n)$ un entero tal que $(e_{_B},\phi(n))=1$.

    Busquemos un entero $\alpha$ con las siguientes propiedades:
    
    - $\alpha=k\phi(n)$
    
    - $(\alpha, e_{_B})=1$.

    Entonces, por Bezout, podremos hallar $r$ y $s$ tales que $\alpha\,r+e_{_B}s=1$. Como $\alpha$ es un múltiplo de $\phi(n)$, tomando módulo $\phi(n)$ podremos concluir que $e_{_B}s\equiv 1\mod\phi(n)$.  

    Definamos 
    $$
    g_0=e_{_A} d_{_A}-1, \hskip1cm h_0=(g_0,e_{_B}),
    $$ 
    y recursivamente
    $$
    g_i=\frac{g_{i-1}}{h_{i-1}}, \hskip1cm h_i=(g_i, e_{_B}).
    $$
    Notemos que $g_i$ siempre es entero ya que $h_{i-1}$ es un divisor de $g_{i-1}$. Sea $t$ el menor entero tal que $h_t=1$, (observemos que si $h_k\neq 1$ entonces $h_k\geq 2$ y $g_{k+1}\leq g_{k}/2$ y, por lo tanto, en un número de pasos del orden de $\log e_{_A} d_{_A}-1$ tendremos que alguna $h_j$    será 1.)

    Tal como hemos tomado $t$,  $h_t=1$ y, por lo tanto, $(g_t, e_{_B})=1$. Por otra parte $g_t=(e_{_A} d_{_A}-1)/h_0\ldots h_{t-1}= \lambda\phi(n)/h_0 \ldots h_{t-1}$;     como $h_i=(g_i, e_{_B})$ y $(\phi(n), e_{_B})=1$ tenemos que ningún $h_i$ divide a $\phi(n)$ y, por lo tanto, que todos los $h_i$ dividen a $\lambda$. En consecuencia, $g_t$ es un múltiplo de $\phi(n)$ (por la misma razón, no puede ser igual a 1).

    Resumiendo, $g_t$ cumple los requisitos pedidos para $\alpha$.

    El coste para hallar un entero $d_{_B}$ tal que $e_{_B} d_{_B}\equiv 1 \mod \phi(n)$ es ${\cal O}\left(\log^3(n)\right)$.


In [35]:
NdeBitsDelModulo=2048;
limite=2^(NdeBitsDelModulo/2);
r1=randint(0,limite);
r2=randint(0,limite);
p=next_probable_prime(r1);
q=next_probable_prime(r2); 
n=p*q;

e1=2^16+1;
e2=2^4+1;



m=mod(randint(0,limite),n);
c1=mod(m^e1,n);
c2=mod(m^e2,n);

#---------------------
#Empieza ataque
#---------------------
t0=cputime()
bezout=xgcd(e1,e2)
print(bezout)
m_rec=mod(mod(c1^bezout[1],n)*mod(c2^bezout[2],n),n)
t1=cputime()

print("mensaje original=",m);
print("mensaje recuperado=",m_rec);
print("\n Tiempo=",t1-t0)

(1, -8, 30841)
mensaje original= 103570647554861281278078980598783731381003962664540816929994416520981130922591711740846921793009447098777967591573227614719480974550592762253668249911929832121632611485432184282372325160145973542965326643720463104089851612791973432811267414604103746327752535292575397575996252565372868186678945784970527047891
mensaje recuperado= 103570647554861281278078980598783731381003962664540816929994416520981130922591711740846921793009447098777967591573227614719480974550592762253668249911929832121632611485432184282372325160145973542965326643720463104089851612791973432811267414604103746327752535292575397575996252565372868186678945784970527047891

 Tiempo= 0.0005729999999957158


In [42]:
NdeBitsDelModulo=2048;
limite=2^(NdeBitsDelModulo/2);
r1=randint(0,limite);
r2=randint(0,limite);
p=next_probable_prime(r1);
q=next_probable_prime(r2);
n=p*q;
phi=(p-1)*(q-1);

e1=2^16+1;
d1=Integer(mod(e1^-1,phi));

e2=2*randint(0,limite)+1;
while gcd(e2,phi)!=1:
    e2=2*randint(0,limite)+1;
    
    
#---------------------
#Empieza ataque
#---------------------
t0=cputime()
g=e1*d1-1;
h=gcd(g,e2);
print("g, h: ", g,h);
while h!=1:
    g=g/h;
    h=gcd(g,e2);
    print("g, h: ", g,h);

bezout=xgcd(e2,g);

d2=bezout[1];



m=mod(randint(0,limite),n);
c2=mod(m^e2,n);
m_rec=mod(c2^d2,n)
t1=cputime()


print("\nmensaje original=",m)
print("\nmensaje recuperado=",m_rec)
print("\n Tiempo=",t1-t0)

g, h:  245807152203735043590487709287890184939906248776906277334618972462265080143953913785546796692893870490540474457899357137315875160063702864813794649221044376380854463346862789943932350593880171967059699289313970004294142368484579299501153019113507644653300065071276439860968157587722045129757448513925781481449988731289082290309555769985259867223694763850074677091484775852166723201688809163822076768356745496489790827741297866456061724292118250354757697639509612754149743364033621129542917310861272984077653438902696381410847581502039071378429293439766831987275566214588633752958601547243556704963801262840740887449405880 3
g, h:  81935717401245014530162569762630061646635416258968759111539657487421693381317971261848932230964623496846824819299785712438625053354567621604598216407014792126951487782287596647977450197960057322353233096437990001431380789494859766500384339704502548217766688357092146620322719195907348376585816171308593827149996243763027430103185256661753289074564921283358225697

<h4><span style="text-decoration: underline;">Timing / Power attacks</span></h4>

Para calcular  $a^m \pmod n$, $a$, $m>0$ i $n>0$ enteros, se considera a expressión del exponente en base 2, $m=b_r2^r+\dots+b_12+b_0$, donde $b_i\in\{ 0,1\}$  y $b_r=1$, y se usa el siguiente algoritmo: 

```python
y=1
i=r
while i >=0:
    y=(y**2)%n
    if b[i]==1:
        y=(a*y)%n
    i=i-1
return y
```

Este algoritmo consume en cada iteración más tiempo/energía si el bit del exponente es 1 que si es 0. Mediante un análisis estadístico del tiempo/energía consumido es posible calcular
el exponente:

![Sin modificación](PowerAttacks1.png)

Para evitar este ataque se puede utilizar el método de Montgomery
para la exponenciación (Montgomery Powering Ladder):

```python
R0=R1=1
i=r
while i >=0:
    if b[i]==0:
        R1=(R0*R1)%n
        R0=(R0**2)%n
    else:
        R0=(R0*R1)%n
        R1=(R1**2)%n 
    i=i-1
return R0
```


Este algoritmo consume en cada iteración el mismo tiempo/energía 
independientemente del valor del bit del exponente:

![Con modificación](PowerAttacks2.png)


No es difícil comprobar que son equivalente observando que siempre se cumple que $R_1=a\, R_0$.


A veces es difícil evitar estos tipos de ataques porque los compiladores, al optimizar el código pueden dejar sin efectos las medidas tomadas para evitar los ataques.

[What you get is what you C: Controlling side effects in mainstream C compilers](https://www.cl.cam.ac.uk/~rja14/Papers/whatyouc.pdf), L. Simon, D. Chisnall, R. Anderson:

*But when a programmer tries to control side effects of 
code, such as to make a cryptographic algorithm execute
in constant time, the problem remains. Programmers devise
complex tricks to obscure their intentions, but compiler
writers find ever smarter ways to optimize code. 
A compiler upgrade can suddenly and without warning open a
timing channel in previously secure code. This arms race
is pointless and has to stop.*







<h4><span style="text-decoration: underline;">Criptograma escogido (reto-respuesta)</span></h4>


Supongamos que un atacante desea descifrar un criptograma  $c\equiv m^e \mod n$ cifrado con la clave pública de $A$.

El atacante elige un entero aleatorio $k$ y calcula $\tilde{c}\equiv c k^e \mod n$. Se pone en contacto con $A$ y le pide que descifre/firme $\tilde{c}$ para que demuestre su identidad. 

$A$ calculará
$$
\tilde{c}^d\equiv  (c k^e)^d \equiv  (m^e)^d k \equiv m\,k \mod n
$$
y enviará $m\,k$ al atacante que sólo tendrá que multiplicar por $k^{-1}\mod n$ para obtener el mensaje $m$.


**Nota:**
	Al usar RSA-OAEP cada $EM$ tiene una estructura determinada que si se comprueba que es correcta evita este ataque. 


<h4><span style="text-decoration: underline;">Insuficiente Control de formato</span></h4>

[Bleichenbacher's RSA signature forgery based on implementation error, 2006](https://www.ietf.org/mail-archive/web/openpgp/current/msg00999.html)

[PKCS\#1 Signature Validation](https://www.imperialviolet.org/2014/09/26/pkcs1.html)

Suponganos que para firmar un mensaje el formato de los
datos a firmar es:

`0x00 0x01 0xFF ... 0xFF 0x00 ||  ASN.1 hash del mensaje`

La codificación ASN.1 lleva el tamaño del hash. Algunas implementaciones
no comprueban que tras el hash del mensaje no hay nada más. Esto permite
construir un mensaje a firmar con la siguiente estructura:

`0x00 0x01 0xFF ... 0xFF 0x00 || ASN.1 hash || bytes elegidos oportunamente`

de forma que sea un cubo exacto (fácil de calcular, no es fácil calcular raíces módulo $n$). 

La raíz cúbica pasaría como firma válida de cualquiera que tenga un exponente público igual a 3 y módulo suficientemente grande (el número de bits elegidos oportunamente 
será ligeramente mayor que 2/3, si el exponente es 3, del número de bits del módulo, por lo tanto `0x00 0x01 0xFF ... 0xFF 0x00 ||  ASN.1 hash del mensaje`
ha de tener algo menos de 1/3 del número de bits del módulo) 
ya que al calcular el cubo (verificar la firma) obtendría el hash correcto de la codificación ASN.1 pero no comprobaría que detrás de ella hay más bits.  


In [43]:
nbits=2048
tipoHash="160160"
hash="00112233445566778899AABBCCDDEEFF00112233"
print ("Tipo de Hash:",tipoHash)
print( "Hash del Mensaje:", hash)
print( "A firmar:"),
m="00"+"01"+(nbits/8-1-1-(len(tipoHash)+len(hash))/2-1)*"ff"+"00"+tipoHash+hash
print( m,"\n")

print( "Falsificando firma:")
c=Integer("0001FFFFFFFFFFFF00"+tipoHash+hash,16)
d=c*2^(nbits-256);
print("000"+hex(d)),"\n"
c1=(floor(d^(1/3))+1)^3
f=c1^(1/3)

print( "Firma:",hex(Integer(f)),"\n")

mensajeRecuperado=hex(Integer(f^3))[2:]
print( "'Hash' del Mensaje recuperado a partir de la Firma:","000"+mensajeRecuperado,"\n")


for i in range(1,len(mensajeRecuperado)):
    if mensajeRecuperado[i]!="f":
        break
tipoHashRecuperado=mensajeRecuperado[i+2:i+2+6]                
print(tipoHashRecuperado)

longitudHash=Integer(Integer(mensajeRecuperado[i+2:i+2+3])/4)
hashRecuperado=mensajeRecuperado[i+2+6:i+2+6+longitudHash]

print( "Tipo de Hash recuperado:",tipoHashRecuperado,"\n")
print( "Hash del Mensaje recuperado=",hashRecuperado,"\n")
print( "Firma correcta?", Integer(hash,16)==Integer(hashRecuperado,16),"\n")

Tipo de Hash: 160160
Hash del Mensaje: 00112233445566778899AABBCCDDEEFF00112233
A firmar:
0001ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff0016016000112233445566778899AABBCCDDEEFF00112233 

Falsificando firma:
0000x1ffffffffffff0016016000112233445566778899aabbccddeeff00112233000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

<h4><span style="text-decoration: underline;">Error provocado</span></h4>

[D. Boneh, R.A. DeMillo, and R.J. Lipton. *On the Importance of Checking Cryptographic Protocols for Faults*, EUROCRYPT 1997](https://pdfs.semanticscholar.org/7622/200b9459a8c0e25e74ce7316c2402862e919.pdf)

Supongamos un dispositivo que calcula una firma utilizando el teorema chino al que inducimos a que, una vez calculada correctamente la firma módulo $p$, cometa un error al calcular la firma módulo $q$. 

El dispositivo devolverá una firma $S$ correcta módulo $p$ pero incorrecta módulo $q$.
Entonces 
$$
p=\textrm{mcd}(n,S^e-m)
$$
siendo $m$ el mensaje firmado.



In [47]:
NdeBits=2048*2; # bits del módulo

e=2^16+1;

r1=randint(0,2^(NdeBits/2));
r2=randint(0,2^(NdeBits/2));
p=next_probable_prime(r1);
while gcd(e,p-1)!=1:
    print( ".");
    p=next_probable_prime(p+2);
q=next_probable_prime(r2);
while gcd(e,q-1)!=1:
    print( "+");
    q=next_probable_prime(q+2);
n=p*q;
phi=(p-1)*(q-1);
d=mod(e^-1,phi);
dp=mod(d,p-1);
dq=mod(d,q-1);
q_inv=mod(q^-1,p);

#print( "p=",p);
#print( "q=",q);
#print "n=",n;
#print "e=",e;
#print "d=",d;
#print "dp=",dp;
#print "dq=",dq;
#print "q_inv=",q_inv;

m=mod(randint(0,2^NdeBits),n);
 
m_aux=mod(m,p); #Necesario para que trabaje en Zp, si no tarda mucho
fp=mod(m_aux^dp,p); 

fq=mod(randint(0,2^NdeBits),q); #Aleatorio, error provocado <---------------------------

h=mod((Integer(fp)-Integer(fq))*(q_inv),n);
f_erronea=mod((Integer(fq)+q*h),n);

f_correcta=mod(m^d,n);


print("\nm=",m)
print("\nfirma erronea=",f_erronea)
#print("firma correcta=",f_correcta)

#-----------Empiezo factorizacion-----------
t0=cputime()
aux=mod(f_erronea^e,n)-m;
primo=gcd(aux,n);
print("\nprimo calculado:",primo)
print("p - primo calculado:", p-primo)
t1=cputime()
print("\n Tiempo=",t1-t0)


m= 696990654381696868564134150770516040962342132751874964509256755202373684618040297049817350704101438002245467722195337971892522392215597319833759174471375269762533153297987108241558963456054326420508959029708837700016106648224167046452062277278548569015357683625592052202136599566141963767113771340113899009015375407544036852716177178824775360236671047948959259175236810987458677273900694663930825798471870877479634725700911446604751441564372715131243633171668614763779799385217190352006501255867111663150940758319518825211320031992181953702024472550276883131395750342113644323295545686001831157307311704427285364433370626852532777419626830610590980503869798660402670299502087930980620569735897706743093059120843934098361868407558707776730559321124865064590880417034580854423161833381640650850513916041494705328529907688202552775752642133934172352245622562391706629389011415432461955456769891138944169614918332752456470633783125129576132935576729184286028999155242185036439943058345972774503064609

<h4><span style="text-decoration: underline;">Primos no aleatorios</span></h4>


* [Ron was wrong, Whit is right. (14 Feb 2012)](https://eprint.iacr.org/2012/064.pdf)
	We performed a sanity check of public keys collected on the web. Our main goal was to test the validity of the assumption that different random choices are made each time keys are generated. We found that the vast majority of public keys work as intended. A more disconcerting finding is that **two out of every one thousand RSA moduli that we collected offer no security.**
    
	Our conclusion is that the validity of the assumption is questionable and that generating keys in the real world for ''multiple-secrets''  cryptosystems such as RSA is significantly riskier than for ''single-secret'' ones such as ElGamal or (EC)DSA which are based on Diffie-Hellman. 
    
    *Factoring one 1024-bit RSA modulus would be historic. Factoring 12720 such moduli is a statistic.*


* [Widespread Weak Keys in Network Devices (2012)](https://factorable.net/)
    We found that 5.57\% of TLS hosts and 9.60\% of SSH hosts share public keys in an apparently vulnerable manner, due to either insufficient randomness during key generation or device default keys.

    We were able to remotely obtain the RSA private keys for 0.50\% of TLS hosts and 0.03\% of SSH hosts because their public keys shared nontrivial common smallfactors due to poor randomness.

    We were able to remotely obtain the DSA private keys for 1.03\% of SSH hosts due to repeated signature randomness.




* [Factoring RSA keys from certified smart cards: Coppersmith in the wild (2013)](https://smartfacts.cr.yp.to/smartfacts-20130916.pdf) 

    This paper explains how an attacker can efficiently factor 184 distinct RSA keys out of more than two million 1024-bit RSA keys downloaded from Taiwan’s national “Citizen Digital Certificate” database. These keys were generated by government-issued smart cards that have built-in hardware random-number generators and that are advertised as having passed FIPS 140-2 Level 2 certification.

    These 184 keys include 103 keys that share primes and that are efficiently factored by a batch-GCD computation. This is the same type of computation that was used last year by two independent teams (USENIX Security 2012: Heninger, Durumeric, Wustrow, Halderman; Crypto 2012: Lenstra, Hughes, Augier, Bos, Kleinjung, Wachter) to factor tens of thousands of cryptographic keys on the Internet.

    The remaining 81 keys do not share primes. Factoring these 81 keys requires taking deeper advantage of randomness-generation failures: first using the shared primes as a springboard to characterize the failures, and then using Coppersmith-type partial-key-recovery attacks. This is the first successful public application of Coppersmith-type attacks to keys found in the wild.



---
## Recomendaciones



* El tamaño de $p$ y $q$ debe de ser de unos 1576 bits y el de $n$ no debe ser inferior a 3072 bits, recomendándose módulos de tamaño mayor.
    
* $\vert p-q\vert$ no debe de ser pequeño.

* $p$ y $q$ deben ser primos fuertes. $p$ es primo fuerte si es primo y además:
    - $p-1$ tiene un factor primo grande, $r$;
    - $p+1$ tiene un factor primo grande; 
    - $r-1$ tiene un factor primo grande.

* No hay que compartir módulo.

* El exponente público no debe ser excesivamente pequeño (17 bits como mínimo) y *reconocible*. 
  
* Una clave sólo ha de tener un uso (cifrado, firma, autentificación...)



<h3>Generación de primos fuertes $p$</h3>
<p>(1) $p$-1 divisor primo grande $r$ (~1/2 de bits que $p$)</p>
<p>(2) $p$+1 divisor primo grande $s$ (~1/4 de bits que $p$)</p>
<p>(3) $r$-1 divisor primo grande $t$ (~1/4 de bits que $p$)</p>
<p>Primero genero $t$ y $s$.</p>
<p>$r=2\,k\, t+1$, me aseguro la condición (3)</p>
<p>$p_0=2\, s\,s_1-1$,  $s_1$ es el inverso de $s$ módulo $r$</p>
<p>$p=p_0+2\,k\,r\,s$.</p>
<p>Observemos que $p+1=2\,s\, s_1+2\,k\,r\,s$.</p>
<p>Notemos que $p-1=2\,s\,s_1-2+2\,k\,r\, s = 2(s\,s_1-1+k\,r\,s)$, si tomamos módulo $r$, teniendo en cuenta que $s_1$ es el inverso de $s$ módulo $r$ nos queda que $p-1\equiv 0\mod r$. Por lo tanto $p-1$ es un múltiplo de $r$.</p>



<p><em>p 1024 bits ~ 5 segundos</em></p>
<p><em>p 2048 bits ~ 50-90 segundos</em></p>
<p><em><br /></em></p>

In [48]:
NdeBitsDelPrimoFuerte=1024*1;
NdeBitsDelPrimo=NdeBitsDelPrimoFuerte/4;
aux=randint(0,2^NdeBitsDelPrimo);
t=next_probable_prime(aux);
print("t=",t, flush=True)

aux=randint(0,2^NdeBitsDelPrimo);
s=next_probable_prime(aux);
print("s=",s, flush=True)

aux=randint(0,2^(NdeBitsDelPrimo));
r=aux*2*t+1;
while not(is_prime(r)):
    aux=aux+1;
    r=aux*2*t+1;
print("r=",r, flush=True)

t0 = cputime()

p0= 2*s*(s.powermod(r-2,r)) -1;
aux=randint(0,2^(NdeBitsDelPrimo));
p=p0+aux*2*r*s;
while not(is_prime(p)):
    aux=aux+1
    p=p0+aux*2*r*s;
print("\np=",p, flush=True)

t1=cputime()
print("\n Tiempo=",t1-t0)

print(mod(p-1,r), is_prime(r));
print(mod(p+1,s), is_prime(s));
print(mod(r-1,t), is_prime(t));
print(is_prime(p));

t= 44193998809136563221176962837432006211613712460147418954973167954873457920701
s= 105253776426012676246837332643525885953326685249388808745654480202229871283523
r= 236671493364989195660528839574047795865610866878159059159281598902778213827392436335752142193355097068730148368848539683245060048513044015664918324392183
p= 3059032255896667158181907360845200778462202025731869214629273371785852472389441395142600557960673838001415298568286264564167404664040439295966376002525862158172005780957507643451530217667805485087195589504162518486851085571119406881568368779791444005585558478078346918846403489643191416465486030811566515429

 Tiempo= 2.2976349999999854
0 True
0 True
0 True
True
