Este posibilă o scurgere de cheie privată RSA dacă semnez și decriptez?

Este posibilă scurgerea datelor cheii private dacă atacatorul controlează cererea de semnare?

Toată lumea știe $N$ și $E$ pentru că sunt publice.

Serverul meu este proiectat pentru a decripta cererile primite, care sunt criptate cu cheie publică.

Faceți semn și pentru datele decriptate care au SHA-2 returnează semnul RSA pentru acele date.

Este posibil ca un atacator să învețe cheia mea privată?

Testez acest lucru în atelierul meu local în scopuri educaționale.

Folosesc mesajul criptat cu cheie publică PKCS#1 pentru solicitarea primită; datele sunt decriptate de cheia mea privată și au SHA-2, așa că doar semnez și returnez datele semnate către client.

Exemplu în Python:

Generarea mesajului și a perechii de chei:

mesaj = struct.pack('>IIII', 0, 0, 0, 1)
(pub, priv) = rsa.newkeys(512) //doar de exemplu, știu că nimeni nu folosește 512 biți

Solicitare primită:

criptat = pkcs1.encrypt(mesaj, pub) 

Operațiuni cu serverul:

decriptat = pkcs1.decrypt(criptat, priv)
semnătură = pkcs1.sign(decriptat, priv, „SHA-256”)

și întoarceți răspunsul.

Din exemplu, reiese că criptarea și semnătura folosesc unele moduri de umplutură în PKCS#1; probabil RSAES-PKCS1-v1_5 pentru criptare și RSASSA-PKCS1-v1_5 cu SHA-256 pentru semnătură.

Este posibilă scurgerea datelor cheii private?

Din cate stim noi, Nu, faptul că este descifrat un mesaj și l-a semnat cu aceeași cheie nu poate scurgerea datelor cu cheie privată. Acest lucru este independent de schemele exacte de umplutură utilizate pentru criptare și semnătură: pur și simplu nu știm cum se poate folosi o cheie privată RSA. $(n,d)$ limitat la calcul $x\mapsto x^d\bmod n$ într-o cutie neagră fără canale laterale poate scurgerea datelor cu cheie privată.

Printre lucruri similare care s-ar putea întâmpla:

• Implementarea ar putea scurge cheia privată printr-un canal lateral; cum ar fi un program troian practic care rulează pe platformă sau Analiza Putere Diferenţială. Există multe alte canale secundare de care să ne temem.
• Implementarea decriptării RSAES-PKCS1-v1_5 ar putea fi printre multe care sunt vulnerabile la vreo variantă de atac Bleichenbacher. Acest lucru ar putea permite transformarea serverului într-un oracol care permite (cu suficiente interogări) calcularea funcției $x\mapsto x^d\bmod n$ pentru arbitrar $x$, oferind un echivalent (foarte lent) cu cunoașterea cheii private unui atacator care poate comunica cu serverul.

Nu este corect din punct de vedere academic să folosiți aceeași pereche de chei publice/private pentru criptare și semnătură, dar cu cele patru moduri de criptare și semnătură în PKCS#1 nu permite niciun atac cunoscut. Cele mai slabe verigi aparente din lantul de securitate sunt

• Însăși funcționalitatea serverului: permite obținerea semnăturii pentru orice se potrivește cu limita de dimensiune pentru criptare (117 octeți).
• Modulul de 512 biți, care poate fi factorizat (așa era deja posibil în secolul XX).
• Utilizarea decriptării RSAES-PKCS1-v1_5 pe text cifrat neautentificat din deschis.