este necesar RSA KTS-OAEP?

Adesea, datele sunt criptate folosind Cifre simetrice, iar cheia simetrică este partajată cu destinatarul prin criptarea acesteia cu cheia publică asimetrică a destinatarului. Publicația specială NIST 800-56B, Revizia 2 secțiunea 9 definește RSA KTS-OAEP pentru a stabili materialul de cheie între emițător și destinatar. Este într-adevăr necesar să folosiți RSA OAEP sau RSA KTS-OAEP pentru a stabili materialul de cheie între expeditor și destinatar?

Deoarece de cele mai multe ori, lungimea cheii simetrice este mult mai mică decât lungimea cheii asimetrice, de exemplu 256 vs 2048. Este sigur să folosiți manualul RSA pentru a cripta cheia simetrică într-un scenariu în care noua cheie simetrică este generată aleatoriu de către expeditor pentru fiecare mesaj ?

Deoarece cheia simetrică generată aleatoriu nu este probabil să se repete, nu este nevoie să utilizați RSA OAEP și RSA KTS-OAEP?

Folosirea unor exponenți publici mici ar fi exclusă. Să presupunem că a $256$- cheie simetrică de biți $k$ cu $e = 3$ ca exponent public. Dacă ne convertim naiv $k$ la un număr întreg, atunci $k^3$ ar fi o $\aproximativ 768 $-număr de biți, deci $k^3 \bmod N = k^3$. Apoi criptarea ar putea fi anulată în mod trivial de oricine poate pune mâna pe textul cifrat.

În mod similar, exponenții publici mici v-ar face vulnerabil la atacul de difuzare al lui Hastad, dacă ați fi trimis aceeași cheie la prea mulți destinatari diferiți - așa cum s-ar putea întâmpla dacă ați avea de ex. a folosit acele chei pentru a semăna un grup de muncitori.

Mai mult, textele cifrate ar fi maleabile, ceea ce duce la unele probleme, așa cum a menționat mai sus de poncho.

Ca atare, acest lucru pare prost indicat. Toate aceste probleme ar putea fi rezolvate - sau ar putea să nu fie aplicabile unui anumit sistem - dar aș prefera cu mult un sistem de criptare cu mai puține oportunități de a mă împușca în picior.

Deoarece cheia simetrică generată aleatoriu nu este probabil să se repete, nu este nevoie să utilizați RSA OAEP și RSA KTS-OAEP?

Adăugarea de nondetermanism nu este singurul motiv pentru care avem nevoie de umplutură pentru RSA; trebuie să ne îngrijorăm și de atacurile homomorfe - adică atacurile bazate pe proprietatea homomorfă, și anume $x^e \cdot y^e = (x \cdot y)^e$.

Iată o modalitate prin care un atacator ar putea încerca să-l folosească pentru a se recupera $m$ din $c = m^e$ (dat fiind $m$ este relativ mic):

• Alcătuiește o listă de numere întregi mici și ridică-le pe toate la exponentul public $a_0^e, a_1^e, a_2^e, ...a_k^e$

• Compilați o a doua listă de numere întregi mici și ridicați-le la inversul exponentului public și înmulțiți-le cu textul cifrat $c \cdot b_0^{-e}, c \cdot b_1^{-e}, ..., c \cdot b_k^{-e}$

• Scanați cele două liste; dacă au o valoare în comun, să zicem, $a_i^e = c \cdot b_j^{-e}$, atunci noi avem $m = a_i \cdot b_j$, noi castigam.

Acest atac ne permite să scanăm $k^2$ valorile posibile ale mesajului cu $O(k)$ muncă; chiar dacă acest atac nu este garantat să reușească ($m$ ar putea să nu fie un factor al celor două intrări din liste), acest lucru încă scade securitatea pe care o obținem, în comparație cu o metodă bună de umplutură (care anulează acest stil de atac)