Minule jsme poznali, jak snadno lze kvalitnφ Üifru RSA "nabourat" postrannφm kanßlem. Jak se tomu ale brßnit, kdy₧ postrannφch kanßl∙ je obrovskΘ mno₧stvφ (a spousta se jich teprve zrodφ v mozcφch budoucφch kryptoanalytik∙)? Ukß₧eme si, ₧e obrann² manΘvr existuje - a dokonce obecn².
V tomto dφlu si dovolφme vysv∞tlit nßmi navrhovanou metodu obrany proti obecn²m ·tok∙m zalo₧en²m na postrannφch kanßlech. Metoda je v °ad∞ p°φpad∙ pom∞rn∞ snadno prakticky implementovatelnß, a p°itom podle teoretickΘho rozboru poskytuje u₧iteΦnΘ obecnΘ v²sledky.
Z v²kladu o postrannφch kanßlech (dostupn² on-line na [1], specißln∞ viz [2]) vφme, ₧e postrannφm kanßlem naz²vßme ka₧d² ne₧ßdoucφ zp∙sob v²m∞ny informacφ mezi kryptografick²m modulem a jeho okolφm. Takto volnß definice naznaΦuje, o jak ÜirokΘ oblasti vlastn∞ hovo°φme; mΘn∞ u₧ je z°ejmΘ, co si pod tφmto pojmem p°edstavit konkrΘtn∞. V kryptoanal²ze to moc nevadφ, nebo¥ zde v∞tÜinou pracujeme narßz jen s ·zce specifick²mi druhy kanßl∙, kde se u₧ s jejich p°esn²m popisem n∞jak dokß₧eme vypo°ßdat (mnohdy jej ani nepot°ebujeme a t∞₧iÜt∞ le₧φ v popisu metod anal²zy a ·toku - podrobn∞ji viz v²Üe uvedenΘ odkazy).
Jinß situace je vÜak v kryptografii. Zde s ohledem na to, ₧e chceme vytvo°it konstrukci odolnou v∙Φi souΦasn²m i budoucφm druh∙m ·tok∙, pot°ebujeme pro postrannφ kanßl n∞jak² p°esn∞jÜφ a zßrove≥ dostateΦn∞ obecn² model. Pro naÜe ·Φely dob°e vyhovφ model analogick² k obecnΘmu modelu diskrΘtnφho kanßlu, kter² se ji₧ °adu let ·sp∞Ün∞ pou₧φvß v teorii informace.
Model postrannφho kanßlu
V rßmci naÜeho modelu si jako X nazveme diskrΘtnφ nßhodnou veliΦinu znaΦφcφ vstupujφcφ informaci a jako Y diskrΘtnφ nßhodnou veliΦinu znaΦφcφ informaci vystupujφcφ z danΘho postrannφho kanßlu. U obou veliΦin p°edpoklßdßme koneΦn² obor hodnot, p°iΦem₧ uva₧ujeme jen ty hodnoty, kter²ch tyto veliΦiny nab²vajφ s nenulovou pravd∞podobnostφ. Tento p°edpoklad je oprßvn∞n², nebo¥ zdrojem veliΦiny X je zde v₧dy n∞jak² poΦφtaΦ, kter² odpovφdß koneΦnΘmu automatu, a veliΦina Y je zase vyhodnocovßna n∞jak²m koneΦn²m automatem ·toΦnφka. (P°edesφlßme, ₧e tφmto modelem postrannφho kanßlu nechceme pokr²t kanßly zalo₧enΘ na kvantovΘ teorii informace.)
Vlastnφ kanßl popφÜeme maticφ, kterou vidφme v pravΘ Φßsti obrßzku 1. Tato matice mß tvar SC = (Pi, j), kde Pi, j = P[Y = yj | X = xi]. Vidφme, ₧e jednotlivΘ °ßdky matice SC (oznaΦenφ od v²razu Side Channel) odpovφdajφ p°φsluÜn²m vstupnφm hodnotßm a jednotlivΘ sloupce zase korespondujφ s hodnotami v²stupu. KonkrΘtnφ prvek matice pak odpovφdß podmφn∞nΘ pravd∞podobnosti, ₧e na v²stupu se objevφ hodnota yj za p°edpokladu, ₧e na vstupu je hodnota xi. Matici SC budeme takΘ naz²vat kanßlovou maticφ.
Vzhledem k tomu, ₧e pracujeme s pravd∞podobnostmi, lze pro prvky kanßlovΘ matice pom∞rn∞ snadno odvodit nßsledujφcφ zßkladnφ vztahy:
Prvnφ z uveden²ch rovnic tvrdφ, ₧e ka₧dß ze vstupnφch hodnot se s jistotou n∞jak projevφ na v²stupu. Druhß zobec≥uje prvnφ a °φkß, ₧e pokud se "n∞co" objevφ na vstupu postrannφho kanßlu, potom se v₧dy objevφ "n∞co" na jeho v²stupu. Tyto interpretace jsou celkem srozumitelnΘ a vyhovujφ vÜem znßm²m druh∙m postrannφch kanßl∙.
Vzhledem k tomu, ₧e mßme absolutnφ volnost v p°i°azenφ konkrΘtnφch v²znam∙ jednotliv²m hodnotßm vstupnφ a v²stupnφ veliΦiny (Φili ve vytvß°enφ sΘmantiky nad dan²m kanßlem), m∙₧eme tφmto modelem pokr²t i takovΘ druhy kanßl∙, kterΘ by na prvnφ pohled n∞kterou z podmφnek nespl≥ovaly. Nap°φklad pokud by existovaly vstupnφ hodnoty, na kterΘ kanßl nijak (m∞°iteln∞) nereaguje, potom bychom tento stav neteΦnosti shrnuli pod vybranou hodnotu veliΦiny Y a dßle ji pova₧ovali za ordinΘrnφ druh reakce ("Äßdnß odpov∞∩ - takΘ odpov∞∩", jak pravφ lidovß moudrost).
Zkusme te∩ urΦit p°enosovΘ vlastnosti postrannφho kanßlu. Pou₧ijeme konstrukci zalo₧enou na vyjßd°enφ mno₧stvφ informace o veliΦin∞ X, kterß je obsa₧ena ve veliΦin∞ Y. V anglickΘ literatu°e se pro tento pojem pou₧φvß v²raz mutual information, tedy "vzßjemnß informace", my zde budeme jeÜt∞ pou₧φvat termφn informaΦnφ p°enos (Φi p°enos informace). OznaΦφme jej I(X; Y) a definujeme takto:
VÜimn∞me si, ₧e mno₧stvφ informace o veliΦin∞ X obsa₧enΘ ve veliΦin∞ Y je stejnΘ jako mno₧stvφ informace o veliΦin∞ Y obsa₧enΘ ve veliΦin∞ X. (Prßv∞ tato vlastnost vedla k volb∞ nßzvu "vzßjemnß informace".)
V²razem H(X) zde rozumφme entropii veliΦiny X, v²raz H(X | Y) popisuje podmφn∞nou entropii veliΦiny X za p°edpokladu znalosti hodnoty veliΦiny Y. Analogicky chßpeme i v²razy H(Y) a H(Y | X). V dalÜφm textu budeme u Φtenß°e p°edpoklßdat alespo≥ zßkladnφ pov∞domφ o konceptu entropie a k v²kladu tohoto pojmu se proto nevracφme.
O informaΦnφm p°enosu
Pro lepÜφ p°ehled si v²poΦet p°enosu I(X; Y) naznaΦφme v jeho v²znamn²ch krocφch. M∞jme dßno rozd∞lenφ vstupnφ veliΦiny X jako distribuΦnφ funkci P[X = xi] a matici postrannφho kanßlu SC = (Pi, j) typu [m, n]. To znamenß, ₧e veliΦina X m∙₧e nab²vat (s nenulovou pravd∞podobnostφ) celkem m r∙zn²ch hodnot, z nich₧ ka₧dß se m∙₧e projevit jako n r∙zn²ch hodnot v²stupnφ veliΦiny Y. P°edpoklßdejme ·toΦnφka, kter² sleduje v²stupnφ veliΦinu Y. NaÜφm ·kolem bude urΦit, jak velkΘ mno₧stvφ informace o vstupnφ veliΦin∞ X takov² ·toΦnφk m∙₧e zφskat.
Nejprve si na zßklad∞ matice SC urΦφme distribuΦnφ funkci veliΦiny Y jako P[Y = yj]. Pak m∙₧eme psßt
P[Y = yj] = ((i) Pi, j * P[X = xi] (4)
Na zßklad∞ zφskanΘ distribuΦnφ funkce ji₧ snadno urΦφme entropii H(Y) jako
H(Y) = ((j) P[Y = yj]*log2(P[Y = yj]-1) (5)
Zde sΦφtßme p°es vÜechny nenulovΘ hodnoty distribuΦnφ funkce P[Y = yj]. Dßle pokraΦujeme ve v²poΦtu podmφn∞nΘ entropie H(Y | X):
H(Y | X) = ((i) P[X = xi]*H(Y | X = xi), (6)
kde H(Y | X = xi) =((j) Pi, j*log2(Pi, j -1) (7)
Op∞t sΦφtßme p°es vÜechny nenulovΘ hodnoty Pi, j a H(Y | X = xi). Pro snazÜφ pochopenφ t∞chto vztah∙ p°ipome≥me, ₧e Pi, j = P[Y = yj | X = xi]. Nynφ ji₧ zb²vß jen dosadit do rovnice (3), kterou pou₧ijeme ve tvaru I(X; Y) = H(Y) - H(Y | X).
Z uvedenΘho v²poΦtu vidφme, ₧e v²sledn² informaΦnφ p°enos je zßvisl² nejen na vlastnostech kanßlu jako takovΘho (ty zachycuje matice SC), ale i na rozd∞lenφ vstupnφ veliΦiny X. KonkrΘtn∞ sem tato zßvislost vstupuje prost°ednictvφm rovnic (4) a (6). Podotkn∞me, ₧e pokud bychom zvolili alternativnφ zp∙sob v²poΦtu hodnoty I(X; Y), tΘto zßvislosti bychom se nezbavili (jak vidφme z nutnosti v²poΦtu H(X)).
Smφ°it se s tφmto poznatkem nßm pom∙₧e fyzikßlnφ p°φm∞r. Nap°φklad v oblasti p°enosu analogov²ch signßl∙ platφ znßmΘ pravidlo o nutnosti vzßjemnΘho p°izp∙sobenφ impedance vysφlaΦe (zdroje informace) a vedenφ (p°enosovΘho kanßlu). Nßmi pozorovanß zßvislost informaΦnφho p°enosu na rozd∞lenφ veliΦiny X je vlastn∞ analogiφ k tomuto impedanΦnφmu p°izp∙sobenφ. ZjiÜt∞nφ, ₧e kvalita p°enosu informacφ nezßvisφ jen na samotnΘm kanßlu, ale takΘ na jeho slad∞nφ s vysφlaΦem, tak mßme potvrzeno i z "reßlnΘho" sv∞ta.
Pro v∞tÜφ nßzornost jsme na obrßzku 2 vypsali kanßlovΘ matice pro t°i konkrΘtnφ postrannφ kanßly. VÜechny jsou typu [2, 2], tak₧e p°edpoklßdßme vstupnφ a v²stupnφ veliΦiny nab²vajφcφ nejv²Üe dvou r∙zn²ch hodnot. P°ipojenß tabulka uvßdφ informaΦnφ p°enosy jednotliv²ch kanßl∙ v zßvislosti na rozd∞lenφ vstupnφch hodnot.
Nulov² informaΦnφ p°enos
Z obrßzku 2 je patrnΘ, ₧e nejlepÜφch p°enosov²ch v²sledk∙ dosahuje postrannφ kanßl reprezentovan² jednotkovou maticφ. To nenφ velkΘ p°ekvapenφ, nebo¥ takov² kanßl m∙₧eme z fyzikßlnφho hlediska pova₧ovat za ideßlnφ spojenφ vysφlaΦe s p°ijφmaΦem. Kdybychom se zab²vali "cht∞n²m" p°enosem informace, sna₧ili bychom se dosßhnout prßv∞ takovΘho stavu. NaÜφm cφlem vÜak je najφt takovΘ podmφnky, p°i nich₧ je informaΦnφ p°enos co nejhorÜφ, tj. dan²m postrannφm kanßlem prosakuje co nejmΘn∞ informace.
P°i pohledu na obrßzek 2 dßle vidφme, ₧e nejhorÜφho p°enosu dosahuje kanßl, v jeho₧ matici si jsou vektory vÜech °ßdk∙ rovny. Lze dokßzat, ₧e takov² kanßl mß bez ohledu na rozd∞lenφ vstupu v₧dy nulov² informaΦnφ p°enos. VeliΦiny X a Y se za tohoto stavu chovajφ jako dvojice nezßvisl²ch nßhodn²ch veliΦin, tak₧e H(Y | X) = H(Y). Odtud pak p°φmo z rovnice (3) dostßvßme, ₧e I(X; Y) = 0. Ani toto nenφ p°φliÜ p°ekvapujφcφ, nebo¥ se vlastn∞ jednß o stav, kdy se vÜechny vstupnφ hodnoty projevujφ na v²stupu statisticky identick²m zp∙sobem.
ZajiÜt∞nφ nulovΘho p°enosu
U₧ tedy vφme, jak by m∞la vypadat kanßlovß matice "neÜkodnΘho" postrannφho kanßlu - otßzkou vÜak z∙stßvß, jak takovou matici vytvo°it. P°φmΘ ovlivn∞nφ fyzikßlnφch vlastnostφ danΘho kanßlu je (s v²jimkou pou₧itφ dokonalΘho stφn∞nφ) technologicky tΘm∞° vylouΦeno - alespo≥ v obecnΘm p°φpad∞, a my se prßv∞ chceme na obecn² p°φpad zam∞°it.
Na prvnφ pohled by se mohlo zdßt, ₧e jsme na tom podobn∞ jako v²zkumnφci v oblasti teorie k≤dovßnφ - vφme, jak by m∞la kanßlovß matice vypadat, ale nevφme, jak to prakticky zaruΦit. Zatφmco v teorii k≤dovßnφ Φasto nezb²vß ne₧ tuto cestu zcela opustit a v∞novat se pouze p°izp∙sobenφ vysφlaΦe (vhodn²m k≤dem), my zde jistou Üanci mßme. A mßme ji prßv∞ proto, ₧e chceme dosßhnout minimßlnφho, a nikoliv maximßlnφho p°enosu.
P°edstavme si, ₧e sice nedokß₧eme m∞nit fyzikßlnφ vlastnosti danΘho kanßlu, ale ₧e mßme mo₧nost nechat za°φzenφ p°ed ka₧dou vyzß°enou informacφ nßhodn∞ zvolit jeden z r postrannφch kanßl∙. P°edpoklßdejme, ₧e tato volba probφhß s rovnom∞rn²m rozd∞lenφm a ₧e r je velkΘ. Formßln∞ tato situace znamenß, ₧e mφsto jednΘ matice SC mßme mno₧inu matic {SC1, SC2, ..., SCr}, z nich₧ se p°ed ka₧d²m odeslßnφm informace do postrannφho kanßlu nßhodn∞ vybere n∞jakß matice SCi, podle nφ₧ bude dan² p°enos probφhat. P°ed p°φÜtφm p°enosem se volba matice op∞t opakuje.
Polo₧me si te∩ otßzku: Jak bude vypadat v²slednß kanßlovß matice takto °φzenΘho kanßlu z pohledu ·toΦnφka? Op∞t nenφ p°φliÜ t∞₧kΘ dokßzat, ₧e situace se mu bude jevit tak, jako by byl pou₧it postrannφ kanßl popsan² maticφ
SCc = r-1(i=1 r SCi (9)
V sum∞ je pou₧it klasick² maticov² souΦet, nßsobenφ hodnotou r-1 p°edstavuje nßsobenφ matice skalßrem. Zam∞°me se nynφ na chovßnφ hodnot v jednotliv²ch sloupcφch v²slednΘ matice SCc (nazveme ji maticφ kanßlovΘ superpozice). ZjednoduÜφme-li pon∞kud naÜe ·vahy tφm, ₧e budeme odpovφdajφcφ si hodnoty ve sloupcφch matic SCi pova₧ovat za hodnoty nezßvisl²ch nßhodn²ch veliΦin se stejn²m (po sloupcφch) rozd∞lenφm, potom lze pro velkß r podle zßkona velk²ch Φφsel oΦekßvat, ₧e hodnoty ve sloupcφch matice SCc se budou blφ₧it k urΦitΘ st°ednφ hodnot∞. KonkrΘtnφ Φφslo reprezentujφcφ tuto st°ednφ hodnotu zde pro nßs nenφ d∙le₧itΘ. D∙le₧itΘ je, ₧e vzdßlenost mezi hodnotami ve sloupcov²ch vektorech se bude s rostoucφm r pravd∞podobn∞ zmenÜovat, Φφm₧ se matice SCc bude blφ₧it tvaru, pro kter² dostßvßme nulov² informaΦnφ p°enos.
Tuto situaci nßzorn∞ ilustruje obrßzek 3, na kterΘm je zachycena hustota distribuΦnφ funkce nßhodnΘ veliΦiny vyjad°ujφcφ pom∞rnou zm∞nu v informaΦnφm p°enosu. Graf (vykreslen² programem Mathematica 4) byl zφskßn tak, ₧e se 1000krßt nßhodn∞ vygenerovala sada 256 (tj. r = 256) kanßlov²ch matic typu [2, 2]. Pro ka₧dou sadu se vypoΦφtala v²slednß matice SCc a vyhodnotila se pom∞rnß zm∞na p°enosu pro ka₧dou matici ze sady jako ISCc(X; Y)/ISCi(X; Y). Ka₧dß sada tak poskytla 256 ·daj∙ o relativnφ zm∞n∞, tak₧e celkem se v grafu zpracovalo 256 000 takov²ch zm∞n.
Pro tento ilustraΦnφ experiment jsme p°edpoklßdali, ₧e vstupnφ veliΦina X mß rovnom∞rnΘ rozd∞lenφ. Nechceme tvrdit, ₧e p°esn∞ takto bude vypadat chovßnφ vÜech mo₧n²ch superpozic. Uvßdφme to jen jako p°φklad popisujφcφ obecn² trend relativnφ zm∞ny informaΦnφho p°enosu, kter² pln∞ podporuje nßmi odhadovanΘ chovßnφ celΘho systΘmu. Tento trend °φkß, ₧e ve v∞tÜin∞ p°φpad∙ dojde po superpozici k v²raznΘmu poklesu p°enosu informace.
Parazitnφ vyza°ovßnφ operacφ
Zb²vß jeÜt∞ vy°eÜit otßzku, jak do systΘmu zanΘst nßhodnou volbu kanßlovΘ matice. Pro tento ·Φel se zam∞°φme na konkrΘtnφ operace, kterΘ probφhajφ v nßmi sledovanΘm a zabezpeΦovanΘm modulu. Parazitnφm vyza°ovßnφm zvolenΘ operace nazveme postrannφ kanßl, kter² p°enßÜφ informaci o vstupnφch hodnotßch tΘto operace. M∞jme nap°φklad operaci f: A (r) Im(f). Potom parazitnφ vyza°ovßnφ tΘto funkce bude popsßno kanßlovou maticφ, jejφ₧ poΦet °ßdk∙ bude odpovφdat poΦtu prvk∙ z mno₧iny A, kterΘ s nenulovou pravd∞podobnostφ vstupujφ do funkce f. PoΦet sloupc∙ pak bude korespondovat s poΦtem r∙zn²ch znak∙, kterΘ je mo₧nΘ pozorovat na v²stupu danΘho postrannφho kanßlu. (Pojem "znak" je v tomto kontextu t°eba chßpat velmi obecn∞.)
Funkce, o nφ₧ byla °eΦ, pat°φ do kategorie unßrnφch operacφ. Obecn∞ si musφme p°edstavit n-ßrnφ operaci vystupujφcφ jako zobrazenφ f: A1 x A2 x ... x An (r) Im(f). P°edpoklßdejme dßle, ₧e jeden z argument∙ o dostateΦn∞ velkΘm rozsahu hodnot (m) nenφ pro v²sledek operace sΘmanticky d∙le₧it², tak₧e jej m∙₧eme pou₧φt k libovolnΘmu ·Φelu (konkrΘtn∞ nech¥ to je an, nab²vajφcφ r hodnot). Navφc vφme, ₧e n-ßrnφ operaci f(a1, a2, ..., an) m∙₧eme pro vybran² argument an popsat jako r (n-1)-ßrnφch operacφ {f1(a1, a2, ..., an-1), f2(a1, a2, ..., an-1), ..., fm(a1, a2, ..., an-1)}, kde hodnotu an dosazujeme v₧dy implicitn∞. P°itom ka₧dß z t∞chto funkcφ mß vlastnφ charakter parazitnφho vyza°ovßnφ, kter² je popsßn maticemi {SC1, SC2, ..., SCr}. Volbou konkrΘtnφ hodnoty parametru an tak vlastn∞ volφme konkrΘtnφ vyza°ovacφ matici SCi - a to je prßv∞ ten "trik", kter² jsme pot°ebovali.
Eliminace vyza°ovßnφ prakticky
┌st°ednφ myÜlenkou popisovanΘ techniky je tedy zanesenφ nßhodnΘ volby n∞kterΘho z parametr∙ zabezpeΦovanΘ operace. Tento parametr musφ mφt dostateΦn∞ velk² rozsah hodnot, aby se zaΦal projevovat zßkon velk²ch Φφsel pro v²slednou kanßlovou matici parazitnφho vyza°ovßnφ, a zßrove≥ nesmφ ovlivnit sΘmantiku tΘto operace v danΘm kontextu.
P°edstavme si nap°φklad, ₧e pot°ebujeme ochrßnit souΦet dvou 16bitov²ch (modulo 216) Φφsel a ₧e mßme k dispozici 32bitovou sΦφtaΦku. V takovΘm p°φpad∞ si m∙₧eme za maskovacφ parametr zvolit ob∞ hornφ (numericky v²znamn∞jÜφ) poloviny vstupujφcφch 32bitov²ch slov, kterΘ naplnφme nßhodn²mi hodnotami. Do dolnφch polovin vstupnφch slov pak umφstφme hodnoty, kterΘ chceme seΦφst. NßhodnΘ maskovacφ hodnoty nßm zde suplujφ volbu jednΘ z 232 kanßlov²ch matic, co₧ by se m∞lo projevit v²razn²m poklesem ne₧ßdoucφho informaΦnφho p°enosu. Obdobn∞ je mo₧nΘ maskovat operace nßsobenφ, logick² souΦet, souΦin, nonekvivalenci a dalÜφ.
Pßr poznßmek zßv∞rem
Prßv∞ jsme si p°edvedli obecn² model postrannφho kanßlu a ukßzali jsme si jeho souvislosti s parazitnφm vyza°ovßnφm operacφ probφhajφcφch v kryptografick²ch modulech. Zavedli jsme pojem informaΦnφho p°enosu a odvodili jsme jeho zßvislost na matici postrannφho kanßlu (SC). Na zßklad∞ toho jsme prokßzali kladn² p°φnos techniky maskovßnφ citliv²ch operacφ nßhodnou volbou sΘmanticky ned∙le₧it²ch vstupnφch parametr∙ pro potlaΦenφ parazitnφho vyza°ovßnφ t∞chto operacφ.
Je t°eba upozornit, ₧e navrhovanß technika mß slou₧it zejmΘna jako preventivnφ dopl≥kovß ochrana. Jejφm detailnφm rozborem jsme zde cht∞li ukßzat, ₧e mß sv∙j smysl, a ₧e je tudφ₧ vhodnΘ v∞novat jφ p°i nßvrhu kryptografick²ch modul∙ pozornost. Netvrdφme vÜak, ₧e tato technika je schopnß nahradit ostatnφ protiopat°enφ konstruovanß p°φmo proti konkrΘtnφm druh∙m ·tok∙ - na to je p°φliÜ obecnß. V kombinaci s t∞mito protiopat°enφmi zato jejφ obecnost pomßhß Φelit dosud neznßm²m druh∙m ·tok∙, u nich₧ m∙₧e v²razn∞ zbrzdit jejich dopad. Proto₧e ·toky se v∞tÜinou zdokonalujφ postupn∞, mohou tak konstruktΘ°i zφskat Φas, aby na nov∞ vzniklΘ ·toky dokßzali reagovat v²vojem cφlen²ch intenzivnφch protiopat°enφ.
P°i odhadu sφly konstruovan²ch mechanism∙ jsme vyÜli d∙sledn∞ z teorie informace. Alternativn∞ se v kryptografii vyu₧φvß p°φstup zalo₧en² na teorii slo₧itosti, kterß bere ohled na v²poΦetnφ sφlu protivnφka. (Dφky tomu se pou₧φvß Φast∞ji, nebo¥ poskytuje v jistΘm smyslu reßln∞jÜφ pohled ne₧ p°φstup informaΦnφ, kter² implicitn∞ p°edpoklßdß ·toΦnφka disponujφcφho neomezen²m v²poΦetnφm potencißlem.) Odtud plyne, ₧e informaΦnφ pohled je mnohem p°φsn∞jÜφ ne₧ slo₧itostnφ, co₧ nßs oprav≥uje k domn∞nce, ₧e v²sledn² nßvrh mß dobrΘ p°edpoklady v praxi obstßt.
K tΘto problematice se jeÜt∞ jednou vrßtφme. V p°φÜtφm pokraΦovßnφ si ukß₧eme konkrΘtnφ vyu₧itφ popsanΘ metody v nßvrhu procedury pro odÜifrovßnφ zprßv pomocφ RSA podle standardu PKCS#1.
