為什麼拉賓-威廉姆斯密碼系統沒有被廣泛使用?
我想我們都知道 RSA。當然,我們也知道 DJB(又名 Daniel J. Bernstein)。
現在有些人已經註意到他對密碼學問題有自己的看法。
在他2008 年關於最先進的簽名方案的論文(“RSA 簽名和 Rabin–Williams 簽名:最先進的技術”)中,他記錄了 RSA 的“演變”,我得到的印像是他在宣傳使用具有論文中提到的優化的 rabin-williams (RW) 密碼系統。
現在(最後)我的問題:
由於 Rabin-Williams 似乎比 RSA 有很多優勢(更小的密鑰、更小的簽名、更快的驗證……)為什麼它沒有被廣泛使用,每個人仍然使用“舊”RSA?
這似乎有點奇怪,因為最新的優化是在十年前的 2003 年(!),我認為還有證據表明平方根與因式分解同樣困難,我認為 RW 甚至可以減少到 FACTORING。
首先我想引用Lindell 和 Katz的書:
以類似於普通 RSA 加密的方式建構的“普通 Rabin”加密方案容易受到選擇密文攻擊,使對手能夠了解整個私鑰。儘管純 RSA 也不是 CCA 安全的,但已知的對純 RSA 的選擇密文攻擊破壞性較小,因為它們恢復了消息而不是私鑰。也許對“plain Rabin”的這種攻擊的存在影響了密碼學家在早期完全拒絕使用 Rabin 加密。
對於 RSA 和 Rabin 系統,加密/解密和簽名/驗證是相似的,所以我猜 Rabin 數字簽名系統被拒絕的原因與加密情況相同。但是,如果您查看 IEEE 或 ANSI 標準,您會發現 RW 和 RSA 系統都是標準化的。我還認為,隨著 Rivest、Shamir 和 Adelman 成立“RSA Data Security”公司,RSA 方案變得越來越流行,因此他們有更多機會在他們的安全解決方案中實施他們的系統並將這些解決方案帶給客戶。
無論如何,原因更多的是“歷史”而不是“技術”,現在很容易安全地實現這兩個簽名系統。如今密碼學家一直關注橢圓曲線,因為基於橢圓曲線的系統通常提供相同或更高級別的安全性,但在許多應用中更有效。因此,Rabin 的系統不太可能有第二次機會來對抗 RSA,儘管它將用於以快速簽名驗證為主要要求的應用程序中。