нужна ли РСА КТС-ОАЭП?

Часто данные шифруются с использованием симметричных шифров, а симметричный ключ передается получателю путем его шифрования с помощью асимметричного открытого ключа получателя. Специальная публикация NIST 800-56B, редакция 2, раздел 9 определяет РСА КТС-ОАЭП установить ключевой материал между отправителем и получателем. Действительно ли необходимо использовать RSA OAEP или RSA KTS-OAEP для установления ключевого материала между отправителем и получателем?

Поскольку в большинстве случаев длина симметричного ключа намного меньше длины асимметричного ключа, например, 256 против 2048. Безопасно ли использовать учебник RSA для шифрования симметричного ключа в сценарии, когда новый симметричный ключ генерируется случайным образом отправителем для каждого сообщения? ?

Поскольку случайно сгенерированный симметричный ключ вряд ли будет повторяться, нет необходимости использовать RSA OAEP и RSA KTS-OAEP?

Использование небольших публичных экспонентов было бы неприемлемо для одного. Предположим, $256$-битный симметричный ключ $к$ с $е = 3$ как общественный деятель. Если мы наивно преобразуем $к$ до целого числа, то $к^3$ было бы $\около 768$-битное число, таким образом $k^3 \bmod N = k^3$. Тогда шифрование может быть тривиально отменено любым, кто сможет заполучить зашифрованный текст.

Точно так же небольшие публичные экспоненты сделают вас уязвимыми для широковещательной атаки Hastad, если вы отправите один и тот же ключ слишком многим разным получателям — как это может случиться, если вы, например, использовали эти ключи для заполнения кластера рабочих.

Кроме того, зашифрованные тексты будут податливыми, что приведет к некоторым проблемам, упомянутым выше пончо.

Таким образом, это кажется опрометчивым. Все эти проблемы можно обойти — или они могут быть неприменимы к конкретной системе — но я бы предпочел систему шифрования с меньшим количеством возможностей выстрелить себе в ногу.

Поскольку случайно сгенерированный симметричный ключ вряд ли будет повторяться, нет необходимости использовать RSA OAEP и RSA KTS-OAEP?

Добавление недетерманизма — не единственная причина, по которой нам нужно дополнение для RSA; мы также должны беспокоиться о гомоморфных атаках, то есть атаках, основанных на свойстве гомоморфности, а именно $x^e \cdot y^e = (x \cdot y)^e$.

Вот один из способов, которым злоумышленник может попытаться использовать его для восстановления $м$ от $с = м^е$ (Учитывая это $м$ относительно небольшой):

• Составьте список небольших целых чисел и возведите их все в общедоступную степень $a_0^e, a_1^e, a_2^e, ...а_к^е$

• Составьте второй список небольших целых чисел и поднимите их до значения, обратного публичному показателю, и умножьте их на зашифрованный текст. $c \cdot b_0^{-e}, c \cdot b_1^{-e}, ..., c \cdot b_k^{-e}$

• Просмотрите два списка; если они имеют общее значение, скажем, $a_i^e = c \cdot b_j^{-e}$, то имеем $m = a_i \cdot b_j$, мы выигрываем.

Эта атака позволяет нам сканировать $к^2$ возможные значения сообщения с $ О (к) $ работай; даже несмотря на то, что успех этой атаки не гарантируется ($м$ может не быть фактором двух записей в списках), это все равно снижает безопасность, которую мы получаем, по сравнению с хорошим методом заполнения (который аннулирует этот стиль атаки).