| 講演抄録/キーワード |
| 講演名 |
2026-05-26 10:50
[招待講演]Key Recovery Attacks on Unpatched MEGA from Four Queries: Solving Approximate Divisor Problem with Help of Approximation of Squared Divisor (from ACNS 2025) ○下江直輝・國廣 昇(筑波大) ISEC2026-3 |
| 抄録 |
(和) |
MEGAはend-to-end encryptionをサポートするクラウドストレージプラットフォームであり,敵対的なサーバに対してもデータの機密性・完全性を保証できる設計を目指している.しかし,Backendalら(IEEE S&P 2023),RyanとHeninger(PKC2023)は,サーバはセッションID交換を悪用して,それぞれ512,6回のログインでユーザのRSA秘密鍵を復元できることを示した.さらに,Albrechtら(Eurocrypt2023)はセッションID交換とは異なる機能からECB暗号化オラクルを構築し,必要なログイン回数を2回に削減できることを示した.本稿では,セッションID交換プロトコル単体の安全性をより詳細に評価するために,ECB暗号化オラクルを使わないときのRSA秘密鍵の復元に必要な最小ログイン回数を調べる.RyanとHeningerの攻撃手法を基にして,ECB暗号化オラクルを利用せずに4回のログインでRSA秘密鍵を復元できる攻撃手法を提案する.必要なログイン試行回数を削減するために,「合成数の未知の因数に対して未知の因数の近似値と未知の因数の二乗の近似値から復元する」という問題を導入し,それを解くためのアルゴリズムを提案する. |
| (英) |
MEGA is a cloud storage platform that supports end-to-end encryption and aims to be designed to guarantee data confidentiality and integrity even against hostile servers. However, Backendal et al. (IEEE S&P 2023) and Heninger and Ryan (PKC2023) showed that a server can exploit the session ID exchange to recover the user's RSA private key with 512 and 6 login attempts, respectively. Furthermore, Albrecht et al. (Eurocrypt2023) constructed an ECB encryption oracle from MEGAdrop and reduced the number of required login attempts to two. To evaluate the security of the session ID exchange protocol alone in more detail, we evaluate the minimum number of login attempts required to recover the user's RSA private key without an ECB encryption oracle. Based on Heninger and Ryan's attack, we propose an attack that can recover the user's RSA private key with four login attempts without the ECB encryption oracle. To reduce the number of required login attempts, we introduce a problem of recovering an unknown divisor of a composite number given its approximation and an approximate of its square and propose an algorithm that solves this problem by refining its approximation. |
| キーワード |
(和) |
暗号解析 / E2EE / MEGA / 近似除数問題 / RSA / / / |
| (英) |
Cryptanalysis / E2EE / MEGA / Approximate divisor problem / RSA / / / |
| 文献情報 |
信学技報, vol. 126, no. 40, ISEC2026-3, pp. 3-3, 2026年5月. |
| 資料番号 |
ISEC2026-3 |
| 発行日 |
2026-05-19 (ISEC) |
| ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
| PDFダウンロード |
ISEC2026-3 |