RSASSA-PKCS1-v1_5 是新系統的良好簽名方案嗎？

RSASSA -PKCS1-v1_5是推薦人們在新系統中使用的良好簽名方案嗎？它是否被認為是安全的並代表了基於 RSA 的簽名的最新技術？

我知道RSA-PSS是一種較新的簽名方案，也在 PKCS #1 中標準化。我發現了一份來自 RSA 的備忘錄，建議人們過渡到 RSA-PSS。是對的嗎？建議人們使用 RSA-PSS 而不是 RSA-PKCS1-v1_5 會更好嗎？如果您要推荐一個單一的基於 RSA 的簽名方案，您會建議新系統使用哪種？

實際相關性：例如，目前 WebCryptoAPI 的目前草案建議支持 RSASSA-PKCS1-v1_5（但不支持 RSA-PSS）。

PSS 更難實現，因為它使用隨機性——隨機性在許多嵌入式系統（如智能卡）上很難實現。

PSS 最廣為人知的優勢是它有一個“安全證明”，顯然是一個相當嚴格的縮減（有關一些參考資料，請參閱此頁面）。安全證明並非易事；OAEP 的證明（類似於 PSS 的“姐妹協議”的加密填充）被Shoup發現是錯誤的，然後由Fujisaki、Okamoto、Pointcheval 和 Stern再次修復，儘管在密封性方面有一些人員傷亡。我不知道這一切對 PSS 有多大影響，但它表明安全證明，無論它們多麼酷，也需要傳統上建立密碼安全性的“同行審查”。

另一方面，v1.5 簽名“在野外”暴露的時間是 PSS 的兩倍，並且不會被破壞。在我看來，這非常好，我非常信任這種安全性。

從實際的角度來看，使用簽名算法意味著使用知道該算法的密鑰儲存設備（智能卡、HSM、軟體實現……）。選擇不一定取決於請求籤名的應用程序。

引用自：https://crypto.stackexchange.com/questions/3850