這個特定的 RSA 協議有問題嗎？

所以一個協議使用兩個隨機素數 $ P $ 和 $ Q $ 等效位長約為 2048 位，乘以形成 $ N $ . 詳細的加密函式是：

$ m^e \bmod\ N $

$ (\text{512-bit-random-key})^{65537}\bmod\ \text{4096-bit-modulus} $

現在，如果消息長度太短，可以執行一些攻擊。因此，消息長度是固定的 512 位。顯示的資訊中是否存在任何其他理論/實踐弱點？

提議的系統接近安全的RSA-KEM，但有一些例外：

1. 條件 $ \gcd(P-1,e)=1 $ 和 $ \gcd(Q-1,e)=1 $ 不見了。生成時必須檢查這個 $ P $ 和 $ Q $ . 在素數的情況下 $ e $ （如問題）這簡化為 $ P\bmod e\ne1 $ 和 $ Q\bmod e\ne1 $ .
2. 隨機密鑰是 512 位，在 RSA-KEM 中它通常被繪製在 $ [0,P,Q) $ ，因此大約為 4096 位。這被認為（沒有正式證據）沒有可怕的後果，因為 $ 512,e\gg4096 $ . 然而，這將是一場徹底的災難 $ e=3 $ ，因為取 $ e^\text{th} $ 密文的根會洩露秘密；我不會盲目警告它 $ e=5 $ .
3. 據報導，隨機密鑰直接用作某些對稱密碼的加密/解密密鑰，而不像習慣那樣通過某些密鑰導出函式。對於大多數實用密碼來說，這可能沒問題，但理論上我們應該擔心與密碼屬性的相互作用。例如，對於一個假設的密碼，其中一個密鑰和相同的移位了一些比特給出了相關的解密，攻擊者可以利用它來強制合法的接收者使用相關的密鑰進行解密。
4. 的產生和用途 $ P $ 和 $ Q $ 必須留下它們（以及秘密派生量，例如 $ \varphi(P,Q) $ , $ \lambda(P,Q) $ , 任何私有指數 $ d $ …) 秘密，說起來容易做起來難。

假設 $ e=2^{(2^4)}+1 $ 如問題所示：忽略 1 在實踐中會導致大約一個鍵 $ 2^{15} $ . 我們會逃脫 2。我們可能會逃脫 3，但沒有足夠的上下文來確認它。4 是 RSA 加密的標準。

像往常一樣：對於一個真實的系統，設計一個加密是不明智的。

引用自：https://crypto.stackexchange.com/questions/87297