Puncte:1

este necesar RSA KTS-OAEP?

drapel cn

Adesea, datele sunt criptate folosind Cifre simetrice, iar cheia simetrică este partajată cu destinatarul prin criptarea acesteia cu cheia publică asimetrică a destinatarului. Publicația specială NIST 800-56B, Revizia 2 secțiunea 9 definește RSA KTS-OAEP pentru a stabili materialul de cheie între emițător și destinatar. Este într-adevăr necesar să folosiți RSA OAEP sau RSA KTS-OAEP pentru a stabili materialul de cheie între expeditor și destinatar?

Deoarece de cele mai multe ori, lungimea cheii simetrice este mult mai mică decât lungimea cheii asimetrice, de exemplu 256 vs 2048. Este sigur să folosiți manualul RSA pentru a cripta cheia simetrică într-un scenariu în care noua cheie simetrică este generată aleatoriu de către expeditor pentru fiecare mesaj ?

Deoarece cheia simetrică generată aleatoriu nu este probabil să se repete, nu este nevoie să utilizați RSA OAEP și RSA KTS-OAEP?

gidds avatar
drapel tk
Pentru a salva pe oricine altcineva care trebuie să treacă printr-un PDF lung: **KTS** = **Key Transport Scheme**.â(Probabil că știți deja **OAEP** = **Optimal Asymmetric Encryption Padding** și desigur **RSA** = **Rivest-Shamir-Adleman**.)
Puncte:3
drapel ng

Folosirea unor exponenți publici mici ar fi exclusă. Să presupunem că a $256$- cheie simetrică de biți $k$ cu $e = 3$ ca exponent public. Dacă ne convertim naiv $k$ la un număr întreg, atunci $k^3$ ar fi o $\aproximativ 768 $-număr de biți, deci $k^3 \bmod N = k^3$. Apoi criptarea ar putea fi anulată în mod trivial de oricine poate pune mâna pe textul cifrat.

În mod similar, exponenții publici mici v-ar face vulnerabil la atacul de difuzare al lui Hastad, dacă ați fi trimis aceeași cheie la prea mulți destinatari diferiți - așa cum s-ar putea întâmpla dacă ați avea de ex. a folosit acele chei pentru a semăna un grup de muncitori.

Mai mult, textele cifrate ar fi maleabile, ceea ce duce la unele probleme, așa cum a menționat mai sus de poncho.

Ca atare, acest lucru pare prost indicat. Toate aceste probleme ar putea fi rezolvate - sau ar putea să nu fie aplicabile unui anumit sistem - dar aș prefera cu mult un sistem de criptare cu mai puține oportunități de a mă împușca în picior.

Puncte:3
drapel my

Deoarece cheia simetrică generată aleatoriu nu este probabil să se repete, nu este nevoie să utilizați RSA OAEP și RSA KTS-OAEP?

Adăugarea de nondetermanism nu este singurul motiv pentru care avem nevoie de umplutură pentru RSA; trebuie să ne îngrijorăm și de atacurile homomorfe - adică atacurile bazate pe proprietatea homomorfă, și anume $x^e \cdot y^e = (x \cdot y)^e$.

Iată o modalitate prin care un atacator ar putea încerca să-l folosească pentru a se recupera $m$ din $c = m^e$ (dat fiind $m$ este relativ mic):

  • Alcătuiește o listă de numere întregi mici și ridică-le pe toate la exponentul public $a_0^e, a_1^e, a_2^e, ...a_k^e$

  • Compilați o a doua listă de numere întregi mici și ridicați-le la inversul exponentului public și înmulțiți-le cu textul cifrat $c \cdot b_0^{-e}, c \cdot b_1^{-e}, ..., c \cdot b_k^{-e}$

  • Scanați cele două liste; dacă au o valoare în comun, să zicem, $a_i^e = c \cdot b_j^{-e}$, atunci noi avem $m = a_i \cdot b_j$, noi castigam.

Acest atac ne permite să scanăm $k^2$ valorile posibile ale mesajului cu $O(k)$ muncă; chiar dacă acest atac nu este garantat să reușească ($m$ ar putea să nu fie un factor al celor două intrări din liste), acest lucru încă scade securitatea pe care o obținem, în comparație cu o metodă bună de umplutură (care anulează acest stil de atac)

Puncte:2
drapel in

Nu, nu este necesar, dar:

  • veți obține (aproximativ) aceeași dimensiune a textului cifrat RSA cu orice schemă sigură;
  • suprasarcina de calcul a OAEP este oricum minimă;
  • utilizarea manualului RSA este nesigură (vezi celelalte răspunsuri pentru asta);
  • alte moduri de umplutură ar putea să nu fie la fel de sigure (padding-ul PKCS#1 v1.5 este mai vulnerabil la atacurile de padding oracle).

Dar există și alte posibilități:

  • poți să folosești RSA-KEM - acesta este practic un manual RSA cu un număr complet aleatoriu de mărimea modulului, urmat de o derivare a cheii;
  • este posibil să utilizați o schemă IES, cum ar fi ECIES - ați putea include NaCL în aceasta - astfel de scheme pot reduce drastic resursele de calcul și supraîncărcarea de date (a cripto asimetrică).

În special, RSA-KEM ar putea fi util, deoarece aveți nevoie doar de un generator de numere aleatoare și de un manual RSA + o modalitate de a obține o cheie (care ar putea fi ceva la fel de simplu ca un hash criptografic).

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.