Рейтинг:1

нужна ли РСА КТС-ОАЭП?

флаг cn

Часто данные шифруются с использованием симметричных шифров, а симметричный ключ передается получателю путем его шифрования с помощью асимметричного открытого ключа получателя. Специальная публикация NIST 800-56B, редакция 2, раздел 9 определяет РСА КТС-ОАЭП установить ключевой материал между отправителем и получателем. Действительно ли необходимо использовать RSA OAEP или RSA KTS-OAEP для установления ключевого материала между отправителем и получателем?

Поскольку в большинстве случаев длина симметричного ключа намного меньше длины асимметричного ключа, например, 256 против 2048. Безопасно ли использовать учебник RSA для шифрования симметричного ключа в сценарии, когда новый симметричный ключ генерируется случайным образом отправителем для каждого сообщения? ?

Поскольку случайно сгенерированный симметричный ключ вряд ли будет повторяться, нет необходимости использовать RSA OAEP и RSA KTS-OAEP?

gidds avatar
флаг tk
Чтобы избавить кого-либо еще от необходимости пробираться через длинный PDF-файл: **KTS** = **Схема транспортировки ключей**. (Возможно, вы уже знаете **OAEP** = **Оптимальное заполнение асимметричного шифрования**, и конечно **RSA** = **Ривест-Шамир-Адлеман**.)
Рейтинг:3
флаг ng

Использование небольших публичных экспонентов было бы неприемлемо для одного. Предположим, $256$-битный симметричный ключ $к$ с $е = 3$ как общественный деятель. Если мы наивно преобразуем $к$ до целого числа, то $к^3$ было бы $\около 768$-битное число, таким образом $k^3 \bmod N = k^3$. Тогда шифрование может быть тривиально отменено любым, кто сможет заполучить зашифрованный текст.

Точно так же небольшие публичные экспоненты сделают вас уязвимыми для широковещательной атаки Hastad, если вы отправите один и тот же ключ слишком многим разным получателям — как это может случиться, если вы, например, использовали эти ключи для заполнения кластера рабочих.

Кроме того, зашифрованные тексты будут податливыми, что приведет к некоторым проблемам, упомянутым выше пончо.

Таким образом, это кажется опрометчивым. Все эти проблемы можно обойти — или они могут быть неприменимы к конкретной системе — но я бы предпочел систему шифрования с меньшим количеством возможностей выстрелить себе в ногу.

Рейтинг:3
флаг my

Поскольку случайно сгенерированный симметричный ключ вряд ли будет повторяться, нет необходимости использовать RSA OAEP и RSA KTS-OAEP?

Добавление недетерманизма — не единственная причина, по которой нам нужно дополнение для RSA; мы также должны беспокоиться о гомоморфных атаках, то есть атаках, основанных на свойстве гомоморфности, а именно $x^e \cdot y^e = (x \cdot y)^e$.

Вот один из способов, которым злоумышленник может попытаться использовать его для восстановления $м$ от $с = м^е$ (Учитывая это $м$ относительно небольшой):

  • Составьте список небольших целых чисел и возведите их все в общедоступную степень $a_0^e, a_1^e, a_2^e, ...а_к^е$

  • Составьте второй список небольших целых чисел и поднимите их до значения, обратного публичному показателю, и умножьте их на зашифрованный текст. $c \cdot b_0^{-e}, c \cdot b_1^{-e}, ..., c \cdot b_k^{-e}$

  • Просмотрите два списка; если они имеют общее значение, скажем, $a_i^e = c \cdot b_j^{-e}$, то имеем $m = a_i \cdot b_j$, мы выигрываем.

Эта атака позволяет нам сканировать $к^2$ возможные значения сообщения с $ О (к) $ работай; даже несмотря на то, что успех этой атаки не гарантируется ($м$ может не быть фактором двух записей в списках), это все равно снижает безопасность, которую мы получаем, по сравнению с хорошим методом заполнения (который аннулирует этот стиль атаки).

Рейтинг:2
флаг in

Нет, не обязательно, но:

  • вы получите (примерно) тот же размер зашифрованного текста RSA с любой безопасной схемой;
  • вычислительные затраты OAEP в любом случае минимальны;
  • использование учебника RSA небезопасно (см. другие ответы для этого);
  • другие режимы заполнения могут быть не такими безопасными (заполнение PKCS#1 v1.5 более уязвимо для атак оракула заполнения).

Но есть и другие возможности:

  • ты можешь использовать РСА-КЭМ - это в основном учебник RSA полностью случайного числа размером с модуль, за которым следует вывод ключа;
  • можно использовать схему IES, такую ​​как ECIES — вы можете включить в нее NaCL — такие схемы могут значительно сократить вычислительные ресурсы и накладные расходы данных (асимметричного шифрования).

В частности, RSA-KEM может быть полезен, так как вам нужен только генератор случайных чисел и учебник RSA + какой-то способ получить ключ (который может быть таким простым, как криптографический хеш).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.