Rsa

RSASSA-PKCS1-v1_5 是新系統的良好簽名方案嗎?

  • March 15, 2020

RSASSA -PKCS1-v1_5是推薦人們在新系統中使用的良好簽名方案嗎?它是否被認為是安全的並代表了基於 RSA 的簽名的最新技術?

我知道RSA-PSS是一種較新的簽名方案,也在 PKCS #1 中標準化。我發現了一份來自 RSA 的備忘錄,建議人們過渡到 RSA-PSS。是對的嗎?建議人們使用 RSA-PSS 而不是 RSA-PKCS1-v1_5 會更好嗎?如果您要推荐一個單一的基於 RSA 的簽名方案,您會建議新系統使用哪種?

實際相關性:例如,目前 WebCryptoAPI 的目前草案建議支持 RSASSA-PKCS1-v1_5(但不支持 RSA-PSS)。

PSS 更難實現,因為它使用隨機性——隨機性在許多嵌入式系統(如智能卡)上很難實現。

PSS 最廣為人知的優勢是它有一個“安全證明”,顯然是一個相當嚴格的縮減(有關一些參考資料,請參閱此頁面)。安全證明並非易事;OAEP 的證明(類似於 PSS 的“姐妹協議”的加密填充)被Shoup發現是錯誤的,然後由Fujisaki、Okamoto、Pointcheval 和 Stern再次修復,儘管在密封性方面有一些人員傷亡。我不知道這一切對 PSS 有多大影響,但它表明安全證明,無論它們多麼酷,也需要傳統上建立密碼安全性的“同行審查”。

另一方面,v1.5 簽名“在野外”暴露的時間是 PSS 的兩倍,並且不會被破壞。在我看來,這非常好,我非常信任這種安全性。

從實際的角度來看,使用簽名算法意味著使用知道該算法的密鑰儲存設備(智能卡、HSM、軟體實現……)。選擇不一定取決於請求籤名的應用程序。

引用自:https://crypto.stackexchange.com/questions/3850