ssl_sign 使用 OPENSSL_PKCS1_PADDING 是否安全

我聽到了很多關於 PKCS1 填充攻擊的恐慌言論。

PKCS1 v1.5 在簽名中是否安全，因為它實際上只傳輸消息摘要？

我在我的一個應用程序中使用它，所以我想知道繼續使用它是否安全。

你沒事。

PKCS v1.5 中列出了幾種不同的填充方法。具有主動攻擊的方法實際上是在公鑰加密期間使用的填充——也就是說，它用於在將明文消息傳遞給 RSA 公共函式之前對其進行編碼。我們不使用該方法來簽署消息。

就此而言，針對 PKCS v1.5 加密填充所使用的攻擊模型不適用於簽名方法。在該攻擊模型中，攻擊者生成偽造的密文，並將它們發送給私鑰的持有者，看看它對它們做了什麼，並使用它來破解特定密文。這不適用於簽名方法，因為私鑰的持有者只是對消息進行簽名，並自行執行任何必要的填充。

引用自：https://crypto.stackexchange.com/questions/34558