Có thể xảy ra rò rỉ khóa riêng RSA nếu tôi vừa ký vừa giải mã không?

Có thể rò rỉ dữ liệu khóa riêng nếu yêu cầu ký kiểm soát của kẻ tấn công không?

Mọi người đều biết $N$ và $E$ bởi vì chúng là của công chúng.

Máy chủ của tôi được thiết kế để giải mã yêu cầu đến được mã hóa bằng khóa chung.

Tạo dấu hiệu và cho dữ liệu được giải mã có SHA-2 trả lại dấu hiệu RSA cho dữ liệu đó.

Có thể kẻ tấn công có thể tìm hiểu khóa riêng của tôi không?

Tôi đang thử nghiệm điều này trong hội thảo địa phương của tôi cho mục đích giáo dục.

Tôi đang sử dụng tin nhắn mã hóa khóa công khai PKCS#1 cho yêu cầu gửi đến; dữ liệu được giải mã bằng khóa riêng của tôi và nó có SHA-2 nên tôi chỉ cần ký và trả lại dữ liệu đã ký cho khách hàng.

Ví dụ trong Python:

Tạo cặp khóa và tin nhắn:

tin nhắn = struct.pack('>IIII', 0, 0, 0, 1)
(pub, priv) = rsa.newkeys(512) //chỉ là ví dụ, tôi biết không ai sử dụng 512 bit

Yêu cầu đến:

mã hóa = pkcs1.encrypt(tin nhắn, quán rượu) 

Hoạt động của máy chủ:

đã giải mã = ​​pkcs1.decrypt(đã mã hóa, riêng tư)
chữ ký = pkcs1.sign(đã giải mã, riêng tư, 'SHA-256')

và trả lại câu trả lời.

Từ ví dụ, có vẻ như mã hóa và chữ ký sử dụng một số chế độ đệm trong PKCS#1; rất có thể RSAES-PKCS1-v1_5 để mã hóa và RSASSA-PKCS1-v1_5 với SHA-256 cho chữ ký.

Có thể rò rỉ dữ liệu khóa cá nhân?

Theo như chúng tôi biết, không, thực tế là nó không thể giải mã một tin nhắn và ký nó bằng cùng một khóa rò rỉ dữ liệu khóa riêng. Điều đó độc lập với các sơ đồ đệm chính xác được sử dụng để mã hóa và chữ ký: chúng tôi không biết cách nào sử dụng khóa riêng RSA $(n,d)$ giới hạn trong máy tính $x\mapsto x^d\bmod n$ trong hộp đen không có kênh phụ có thể rò rỉ dữ liệu khóa riêng.

Trong số những điều tương tự có thể xảy ra:

• Việc triển khai có thể làm rò rỉ khóa riêng bởi một kênh phụ; chẳng hạn như chương trình trojan thực tế đang chạy trên nền tảng hoặc Phân tích công suất vi sai. Có nhiều kênh phụ khác để sợ hãi.
• Việc triển khai giải mã RSAES-PKCS1-v1_5 có thể nằm trong số nhiều người dễ bị tấn công bởi một số biến thể của cuộc tấn công Bleichenbacher. Điều đó có thể cho phép biến máy chủ thành một nhà tiên tri cho phép (có đủ truy vấn) tính toán hàm $x\mapsto x^d\bmod n$ cho tùy ý $x$, đưa ra một (rất chậm) tương đương với việc biết khóa riêng cho kẻ tấn công có thể giao tiếp với máy chủ.

Việc sử dụng cùng một cặp khóa công khai/riêng tư để mã hóa và chữ ký là không đúng về mặt học thuật, nhưng với bốn chế độ mã hóa và chữ ký trong PKCS#1 nó không kích hoạt bất kỳ cuộc tấn công đã biết nào. Các liên kết rõ ràng yếu nhất trong chuỗi bảo mật là

• Chính chức năng của máy chủ: nó cho phép lấy chữ ký của bất kỳ thứ gì phù hợp với giới hạn kích thước để mã hóa (117 byte).
• Mô-đun 512 bit, có thể được phân tích thành nhân tố (điều này đã có thể thực hiện được trong thế kỷ 20).
• Việc sử dụng giải mã RSAES-PKCS1-v1_5 trên bản mã chưa được xác thực từ mở.