Rsa
使用 PKCS 1.5 的 RSA 簽名的安全性
我正在使用 mbedTLS 生成 RSA 簽名,並使用 PKCS 1.5 我得到一致的簽名輸出。
我想在這裡問/確認這是安全的嗎?PSS 方案肯定是有原因的,但是一些Google搜尋讓我覺得 1.5 是完整的,而 2.1 只是為了證明。
一致的簽名非常適合測試,而任何依賴於良好熵的安全性在我看來都是一個巨大的風險。因此,如果有人可以確認我的常識沒有被破壞,我將不勝感激。
如果您完全遵循 PKCS#1 v1.5 驗證,並且不要嘗試僅檢查消息雜湊代表的雜湊部分等捷徑,應該沒問題。已證明 RSA 問題沒有安全性降低,就像 RSA-FDH 或 RSASSA-PSS 那樣,當然也沒有像 Rabin-Williams 那樣降低因式分解,但在 RSASSA-PKCS1-v1_5 中沒有公佈任何弱點。
如果您確實採取了諸如僅檢查消息雜湊代表的雜湊部分之類的捷徑,那麼您可能會在以下情況下設置自己的 Coppersmith 或 Bleichenbacher 式攻擊 $ e = 3 $ ,就像前陣子勾勒出的攻擊斗篷。