Рейтинг:0

Безопасен ли RSA в наборах шифров?

флаг us

Веб-сайт Ciphersuite говорит, что TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 безопасен, но как узнать, какой RSA используется для генерации подписи? Если это хешированное сообщение, где вы хэшируете сообщение перед его подписью, злоумышленник не может по-прежнему генерировать действительные подписи, где он вычисляет: (сообщение, подпись): (хэш (м) ^ е, хеш (м)), и это действительно подпись?

kelalaka avatar
флаг in
Это ваша подпись, поэтому вы можете выбрать все, что захотите, имейте в виду, что у вас может быть [timout](https://ciphersuite.info/cs/TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/). Подпись выполняется на вашем закрытом ключе, а не на вашем открытом ключе!
флаг us
@kelalaka Я имею в виду, что злоумышленник может подделать эту подпись, используя открытый ключ, поскольку: (m ^ e, m) = (m ^ e, m ^ e * d mod n). Ему не нужен закрытый ключ, так как он знает, что результатом добавления закрытого ключа к m^e будет m
kelalaka avatar
флаг in
В подписях RSA использует специальное дополнение, [RSA-PSS](https://en.wikipedia.org/wiki/Probabilistic_signature_scheme), это безопасно. То, что вы описали, называется подписью учебника-RSA.
флаг us
@kelalaka спасибо, но как узнать, какой RSA используется в этом конкретном наборе шифров? Где я могу прочитать об этом?
kelalaka avatar
флаг in
RFC ваш друг: https://datatracker.ietf.org/doc/html/rfc5246/#page-45
Maarten Bodewes avatar
флаг in
Обратите внимание, что в TLS 1.2 RFC указаны подписи PKCS#1 v1.5, а не PSS, дополнительная информация [здесь] (https://crypto.stackexchange.com/a/79669/1172). Но подписи PKCS#1 v1.5 по-прежнему считаются безопасными, так что никаких изменений в этом отношении нет.
флаг us
@MaartenBodewes, в чем разница между PSS и PKCS # 1 v1.5? Является ли PSS «более безопасным», если он так хорошо используется в TLS 1.3? Используется ли PSS в ECDSA?
Maarten Bodewes avatar
флаг in
Он рандомизирован и имеет доказательство безопасности (на отступах, а не RSA, предполагается, что RSA безопасен). Подробно о различиях читайте в RFC для RSA/PKCS#1 v2.2.
Рейтинг:2
флаг my

Если это хешированное сообщение, где вы хэшируете сообщение перед его подписью, злоумышленник не может по-прежнему генерировать действительные подписи, где он вычисляет: (сообщение, подпись): (хэш (м) ^ е, хэш (м)), и это действительный подпись?

На самом деле, $ хэш (м) $ крайне маловероятно, чтобы быть действительной подписью для чего-либо. Когда TLS использует RSA для подписи, мы хешируем расшифровку (то есть последовательность записей, которые произошли до подписи), применяем дополнение к хэшу, а затем вычисляем $ pad (хеш (расшифровка)) ^ d $. То есть, когда TLS проверяет подпись, он берет подпись, вычисляет $подпись^e$, и смотрит, так ли это $ блокнот (расшифровка) $. Маловероятно, что $ хэш (м) ^ е $ будет иметь допустимый шаблон заполнения; байты $hahs(м)^e$ должны быть значения 00 01 FF FF FF ... FF 00 <МАД хеш-функции>

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.