Ich habe Modul und private exponent. Wie konstruieren privaten RSA-Schlüssel und eine Nachricht signieren?

Ich bin Neuling in der Kryptographie und pycrypto.

Habe ich modulus n und privaten exponent d. Von dem was ich verstehe nach dem Lesen einiger docs privaten Schlüssel besteht aus n und d.

Brauche ich um eine Nachricht signieren, und ich kann nicht herausfinden, wie zu tun, dass die Verwendung pycrypto. RSA.construct() Methode akzeptiert ein Tupel. Aber ich habe zusätzlich bieten öffentliche exponent e dieser Methode (die ich nicht habe).

So, hier ist meine Frage. Muss ich berechnen e irgendwie um eine Nachricht signieren?

Es scheint, ich sollte in der Lage sein zu signieren einer Nachricht nur durch den Einsatz von n und d (bilden private key). Bin ich richtig? Kann ich dies mit pycrypto?

Vielen Dank im Voraus.

  • Sie haben NICHT den public key?
InformationsquelleAutor Maxim | 2012-05-21
  1. 4

    Eigentlich für die Entschlüsselung einer Nachricht mit dem öffentlichen Schlüssel verschlüsselt, es ist genug, um die private exponent.

    Dass bedeutet auch, können Sie eine Nachricht signieren, denn die Unterzeichnung ist im Grunde nur *de*Verschlüsselung der Klartext mit dem privaten Schlüssel, der bei *de*, verschlüsselt mit dem öffentlichen Schlüssel geben Sie den Klartext wieder. In der Regel verwenden Sie eine hash-digest-auf den Klartext vor und Zeichen, dass...

    Den Grund, warum Sie nicht entschlüsseln einer Nachricht ierlichen nur n und d mit pyrcypto ist, dass es eine blendend Schritt, die während des Nachrichten-Entschlüsselung, die umfasst der öffentliche exponent, aber ist nicht wirklich nötig für die Entschlüsselung.

    Aber mit ein paar Anrufe an die private API wird dieser Schritt umgangen werden kann.

    Daher sollte dies funktionieren:

    from Crypto.PublicKey import RSA
from Crypto.Util.number import bytes_to_long, long_to_bytes

full = RSA.generate(2048)

# construct key using only n and d
try:
    # pycrypto >=2.5, only tested with _slowmath
    impl = RSA.RSAImplementation(use_fast_math=False)
    partial = impl.construct((full.n, 0L))
    partial.key.d = full.d
except TypeError:
    # pycrypto <=2.4.1
    partial = RSA.construct((full.n, 0L, full.d))   



pub = full.publickey()

# create message with padding
# http://en.wikipedia.org/wiki/RSA_%28algorithm%29#Padding_schemes
cleartext = ...

signature = partial.sign(cleartext, None)

print "validating message: ", pub.verify(cleartext, signature)


message = pub.encrypt(cleartext, None)

# bypassing the blinding step on decrypt
enc_msg=map(bytes_to_long, message)
dec_msg = map(partial.key._decrypt, enc_msg)

print "decrypting: "
for m in dec_msg:
    print long_to_bytes(m)
    • Jedes Stück code (wie diese), bei denen RSA-Signatur ist fertig, ohne Polsterung, ist tote falsch, egal ob es funktioniert oder nicht.
    • Modded unten für den ersten Satz, Sie können sich nicht mit dem öffentlichen Schlüssel.
    • uups, das war ein Fehler... natürlich behoben.
    • falsch? nicht zu verwenden, Polsterung macht-Angriffe zu erleichtern, aber es nicht wirklich ändern, wie der Algorithmus prinzipiell funktioniert. Ich bin kein Experte in Kryptographie, also ich gab nur ein einfaches Beispiel. Ich habe geändert, es jetzt nicht zu nutzen, eine konkrete message-format.
    • ist das RSA-signing-Beispiel auch falsch, da keine Polsterung?
    • Ja, das Beispiel ist völlig falsch. Erste, RSA ohne padding (sollten Sie diese selbst anlegen oder mit Hilfe der PKCS#1-Modul ). Zweite, K ist falsch ausgewählt für DSA und ElGamal.
    • Danke für deine Antwort. Aber wenn ich konstruieren RSA-wie partial = RSA.construct((full.n, 0L, full.d)) es wirft einen Fehler: ValueError: Unable to compute factors p and q from exponent d. So ist es auch eine andere Möglichkeit zu konstruieren RSA-teilweise nur in der Lage sein, um eine Nachricht signieren?
    • scheint, es gab eine änderung in der API auf pycrypto 2.5. Sollte jetzt funktionieren.

    InformationsquelleAutor mata
  2. 3

    Nein, kann man nicht berechnen e aus d.

    RSA ist symmetrisch in d und e: Sie können ebenso gut vertauschen der Rollen der öffentlichen und privaten Schlüssel. Natürlich wählen wir eine speziell auf private und offenbaren die anderen-aber theoretisch Sie das gleiche tun. Natürlich, da kann man nicht ableiten, den privaten Schlüssel aus dem öffentlichen, kann man nicht ableiten, der öffentliche Schlüssel aus dem privaten entweder.

    Natürlich, wenn Sie den privaten Schlüssel, der bedeutet, dass Sie generiert das Schlüsselpaar, was bedeutet, dass Sie den öffentlichen Schlüssel irgendwo.

    • Siehe meine Antwort, du bist fast richtig.
    InformationsquelleAutor Katriel
  3. 2

    Wenn Sie nicht über den öffentlichen Exponenten, die Sie möglicherweise in der Lage sein, zu erraten. Die meisten der Zeit es ist nicht eine zufällige Primzahl, sondern einen statischen Wert. Versuchen Sie, die Werte 65537 (hex 0x010001, die vierte Zahl von Fermat), 3, 5, 7, 13 und 17 sind (in dieser Reihenfolge).

    [BEARBEITEN] melden Sie sich Einfach mit dem privaten Schlüssel und überprüfen mit dem öffentlichen Schlüssel, um zu sehen, wenn der öffentliche Schlüssel korrekt ist.

    Hinweis: wenn Sie die random-prime es ist so schwer zu finden, da der private exponent; das heißt, Sie würden versuchen, zu brechen RSA - wahrscheinlich nicht für alle Schlüsselgrößen > 512 bits.

    • Gute Antwort. Ich möchte hinzufügen, dass es möglicherweise auch schneller zu überprüfen, was die Partei, die die überprüfung der Signatur verwenden...
    • hmm, war in der Tat über die Unterzeichnung, änderte sich meine Antwort leicht 🙂
    • Vielen Dank für den Hinweis. Die wichtigste Frage ist: wie melde ich eine Meldung, dass ich nur noch E-Modul n und privaten exponent d?
    • Einfach versuchen, die oben genannten Werte, Zeichen mit den daraus resultierenden privaten Schlüssel. Den privaten Exponenten aus und überprüfen Sie, mit der daraus resultierenden öffentlichen Schlüssel. Wenn die verify korrekt ist, dann haben Sie gefunden die öffentliche exponent. Beachten Sie, dass es eine blöde Einschränkung von pycrypto zu verlangen, dass der öffentliche exponent, obwohl es nützlich wäre, blendend. Es ist offiziell nicht Teil des privaten Schlüssels. Normalerweise ist es kein problem, denn man sollte immer den öffentlichen Schlüssel als gut.
    • Öffentliche exponent ist offiziell Teil des privaten Schlüssels. Bitte überprüfen Sie die definition der ASN.1 RSAPrivateData Objekt. Darüber hinaus blendend sollte Pflicht in allen Bibliotheken. Eine Bibliothek, die erlaubt den import privater exponent nur ohne die öffentlichen würde man sicherlich setzen Sie auf side-channel-Angriffe. Dass nenne ich eine dumme Bibliothek...
    • ASN.1 ist nur ein container-format. Überprüfen Absatz 3.2 der RFC 3447 für die definition eines privaten Schlüssels (und feststellen, dass ich nicht schreiben, der standard, RSA labs hat). Natürlich bin ich mit Ihnen in Bezug auf die blendende Problem, zumindest für 90% der Anwendungsfälle. Das verteilen eines privaten RSA-Schlüssel ohne öffentlichen Schlüssel oder ein exponent ist eine milde form von Wahnsinn, die beiden PKCS#1 ASN.1 definition und die XML-Definitionen enthalten, die den öffentlichen Exponenten. So jemand hat ein proprietäres format, ohne einen schlechten Ruf, dass.

    InformationsquelleAutor Maarten Bodewes
Schreibe einen Kommentar