使用 PKCS 1.5 的 RSA 簽名的安全性

我正在使用 mbedTLS 生成 RSA 簽名，並使用 PKCS 1.5 我得到一致的簽名輸出。

我想在這裡問/確認這是安全的嗎？PSS 方案肯定是有原因的，但是一些Google搜尋讓我覺得 1.5 是完整的，而 2.1 只是為了證明。

一致的簽名非常適合測試，而任何依賴於良好熵的安全性在我看來都是一個巨大的風險。因此，如果有人可以確認我的常識沒有被破壞，我將不勝感激。

如果您完全遵循 PKCS#1 v1.5 驗證，並且不要嘗試僅檢查消息雜湊代表的雜湊部分等捷徑，應該沒問題。已證明 RSA 問題沒有安全性降低，就像 RSA-FDH 或 RSASSA-PSS 那樣，當然也沒有像 Rabin-Williams 那樣降低因式分解，但在 RSASSA-PKCS1-v1_5 中沒有公佈任何弱點。

如果您確實採取了諸如僅檢查消息雜湊代表的雜湊部分之類的捷徑，那麼您可能會在以下情況下設置自己的 Coppersmith 或 Bleichenbacher 式攻擊 $ e = 3 $ ，就像前陣子勾勒出的攻擊斗篷。

引用自：https://crypto.stackexchange.com/questions/51547