Există o modalitate ușoară de a face manualul RSA suficient de sigur pentru a putea fi folosit în viața reală?

Am scris o implementare RSA brută (de manual) (doar pentru distracție) și mă întreb dacă există o modalitate ușoară de a o face suficient de sigură pentru a putea fi folosită în viața reală (fără a implementa OAEP+ și RSASSA-PSS)? Există algoritmi simpli pentru completarea și generarea de semnături digitale sigure?

Există, de asemenea, o schemă de semnătură mai simplă, dar nu binecunoscută pentru RSA;

• RSA Hash de domeniu complet

Are de nefalsificat din punct de vedere existențial sub atacuri adaptive cu mesaje alese în modelul aleator ale oracolului.

• Introdus în Cum să semnezi având în vedere orice permutare a trapă de M. Bellare și S. Micali, în 1992,
• Analizat în Securitatea exactă a semnăturilor digitale Cum să semnezi cu RSA și Rabin de Mihir Bellare și Phillip Rogaway în 1998.
• Cele mai bune limite de securitate date Despre securitatea exactă a Full Domain Hash de Jean-Sebastien Coron, în 2000.

Astăzi RSA-FDH este foarte simplu;

• Semn: $\sigma = Semn(H, m) = (H(m))^d \bmod n$
• Verifica: $\{0,1\} = Verificați(H, m, \sigma) = [\sigma^e \bmod n \overset{?}= H(m) \bmod n]$

Nu a fost ușor să semnezi atunci din cauza cerinței de dimensiune; haşişul $H$ trebuie să aibă o dimensiune de ieșire egală cu dimensiunea modulului RSA. Acum, alegerea evidentă este eXtendibilă Oieșire Funcțiuni (XOF) ca SHAKE128/SHKE256 de SHA-3.

Solicitați dimensiunea de ieșire de la SHAKE128 (sau SHAKE256) egală cu dimensiunea modulului RSA, hash-o apoi semnați, asta este!

import hashlib
import rsa

(pubkey, privkey) = rsa.newkeys(2048)


FHD = hashlib.shake_128()
FHD.update(b'Mesaj de semnat')
digestFDH = int.from_bytes(FHD.digest(255),byteorder='little')

#doar m^d mod n    
signed = rsa.core.decrypt_int(digestFDH,privkey.d,pubkey.n)

#just m^e mod n
dacă digestFDH == rsa.core.encrypt_int( semnat ,pubkey.e,pubkey.n):
    print("Verificat")
altceva:
    print("!!!Verificarea eșuată. Oprire!!!")

Definiția exactă ca în lucrarea din 1998 (nu între ghilimele)

Algoritmul de semnare și verificare are acces la oracol la o funcție hash $H_{FDH} : \{0, 1\}^â \to \mathbb{Z}^*_N$. Generarea și verificarea semnăturii sunt după cum urmează:

$\operatorname{SignFDH}_{N,d}(M) $
$\quad y \leftarrow H_{FDH}(M)$
$\quad \text{retur }y^d \bmod N$

$\operatorname{VerifyFDH}_{N,e}(M, x)$
$\quad y \leftarrow x^e \bmod N;$ $\quad y' \leftarrow H_{FDH}(M)$
$\quad\text{dacă }y = y' \text{ atunci returnează }1 \text{ else return } 0$

și rețineți că, cel puțin unele dintre elementele $\mathbb{Z}_N^*$ nu poate fi scos de un XOF standard. Modulul nu este o putere exactă de 2, așa că trebuie să ieșiți cu un bit mai puțin decât modulul. Biblioteca pe care am folosit-o pentru implementarea eșantionului folosește octeți pentru dimensiunea de ieșire, deci nu poate acoperi până la 8 biți.

De asemenea, ieșirea total-zero este exclusă!.

Alte răspunsuri au oferit o imagine de ansamblu bună asupra schemelor de semnătură RSA, care au căptușeli simple care pot fi utilizate în siguranță.

Aș dori să atrag atenția cititorilor asupra schemei de criptare „RSA-KEM” (deoarece această întrebare este etichetată și OAEP) specificată într-un RFC standard-track (care specifică utilizarea sa în CMS mediile Cryptographic Message Syntax).

https://datatracker.ietf.org/doc/html/rfc5990#appendix-A

În esență, este ca o contraparte de criptare a „hash-ului întregului domeniu”, unde materialul cheie criptat de algoritmul RSA este „domeniu complet”, adică este o valoare aleasă, uniform aleatorie, în intervalul de $[0,N)$ Unde $N$ este modulul public.

Apoi, folosește o funcție de derivare a cheii pentru a obține o cheie, care este apoi utilizată într-o criptare de ambalare a cheii.