RSA实现攻击：盲签名攻击

攻击概述

• 攻击类型：选择密文攻击（Blinding Attack）
• 目标：在不获取私钥的情况下解密RSA密文
• 前提：攻击者能诱使受害者对特定消息签名
• 危险等级：★★★★☆

RSA算法回顾

加密与签名

1. 密钥对

• 公钥：
• 私钥：
• 关系：

攻击场景设定

参与者

• Alice：RSA使用者（受害者）
• Eve：攻击者（中间人）

初始条件

1. Eve截获了Alice的加密消息
2. ，其中是未知明文
3. Eve无法直接获得

攻击目标

约束：不能直接获取Alice的私钥

攻击步骤（1/3）

步骤1：构造盲化消息

选取随机数

• 关键性质：

攻击步骤（2/3）

步骤2：诱骗签名

Eve设法让Alice对进行签名：

技巧：Alice可能以为是她需要签名的普通消息

攻击步骤（3/3）

步骤3：解盲并获取明文

攻击成功：Eve获得明文

必要条件

1. 攻击者能获取用目标公钥加密的密文
2. 受害者愿意/被诱骗对任意消息签名
3. RSA实现没有对签名消息进行适当检查

防御措施

1. 消息格式检查：签名前验证消息格式
2. 随机填充：使用OAEP等填充方案
3. 签名限制：不对外部提供签名服务
4. 使用独立密钥：加密和签名使用不同密钥对

现实世界案例

历史案例

1. Bleichenbacher攻击 (1998)：针对PKCS#1 v1.5
2. RSA SecurID攻击 (2011)：硬件令牌漏洞

影响范围

• Web服务器SSL/TLS证书
• 代码签名系统
• 身份验证令牌

关键要点

核心教训

1. 算法安全 ≠ 实现安全
2. 协议设计至关重要
3. 永远不要对不可控输入签名

开发建议

• 使用标准库而非自己实现
• 定期更新密码库

参考资料

1. Bleichenbacher, D. (1998). "Chosen Ciphertext Attacks Against Protocols"
2. PKCS #1: RSA Cryptography Specifications
3. NIST Special Publication 800-57