RSA 的最佳填充方案

所以我遇到了 RSA 的三種填充方案：PKCS1、PSS 和 OAEP。我的意圖是使用 AES 密鑰加密文件。然後，使用 RSA 密鑰加密 AES 密鑰，並將加密的 AES 密鑰與加密文件一起保存。我的問題是上面哪種填充方案最適合我的目的。毋庸置疑，安全性對我來說是重中之重，使用受損算法是不可能的。提前致謝

PKCS#1包含 4 種填充方案，其中只有 2 種適用於加密，但僅適用於小數據塊（如最多一百字節）：現代RSAES-OAEP和過時的RSAES-PKCS1-v1_5（缺點包括更難防範對填充的解密 oracle 攻擊）。PSS，又名RSASSA-PSS，嚴格用於簽名。

為了獲得舒適的安全性，使用帶有 SHA-512 的 RSAES-OAEP 和使用 SHA-512 的 MGF1 根據 RSA-4096 加密的隨機 256 位密鑰的AES-GCM-SIV將勾選所有框（關於加密算法選擇，忽略實現問題) 除了抵抗可用於密碼分析的假設量子電腦。現代基線將是使用帶有 SHA-256 的 RSAES-OAEP 的 RSA-2048 和使用 SHA-256 的 MGF1。

引用自：https://crypto.stackexchange.com/questions/84105