Điểm:0

RSA trong ciphersuites có an toàn không?

lá cờ us

Trang web Ciphersuite cho biết TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 là an toàn nhưng làm cách nào để biết RSA nào được sử dụng để tạo chữ ký? Nếu đó là tin nhắn được băm, trong đó bạn băm tin nhắn trước khi ký, kẻ tấn công vẫn không thể tạo chữ ký hợp lệ khi anh ta tính toán: (tin nhắn, chữ ký):( hash(m)^e , hash(m) ) và đó là chữ ký hợp lệ Chữ ký?

kelalaka avatar
lá cờ in
Đó là chữ ký của bạn, vì vậy bạn có thể chọn bất cứ thứ gì bạn muốn, hãy nhớ rằng bạn có thể có [thời gian chờ](https://ciphersuite.info/cs/TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384/). Chữ ký được thực hiện trên khóa riêng của bạn, không phải trên khóa chung của bạn!
lá cờ us
@kelalaka Ý tôi là, kẻ tấn công có thể giả mạo chữ ký đó bằng khóa công khai vì: (m^e, m) = (m^e, m^e*d mod n). Anh ta không cần khóa riêng vì anh ta biết kết quả của việc thêm khóa riêng vào m^e sẽ là m
kelalaka avatar
lá cờ in
Trong chữ ký, RSA sử dụng phần đệm đặc biệt, [RSA-PSS](https://en.wikipedia.org/wiki/Probabilistic_signature_scheme), phần đệm này an toàn. Những gì bạn mô tả được gọi là chữ ký sách giáo khoa-RSA.
lá cờ us
@kelalaka cảm ơn, nhưng làm cách nào để biết RSA nào được sử dụng trong bộ mật mã nhất định này? Tôi có thể đọc về điều đó ở đâu?
kelalaka avatar
lá cờ in
RFC bạn của bạn: https://datatracker.ietf.org/doc/html/rfc5246/#page-45
Maarten Bodewes avatar
lá cờ in
Lưu ý rằng trong TLS 1.2 RFC chỉ định chữ ký PKCS#1 v1.5, không phải PSS, thông tin thêm [tại đây](https://crypto.stackexchange.com/a/79669/1172). Tuy nhiên, chữ ký PKCS#1 v1.5 vẫn được coi là an toàn, vì vậy không có thay đổi nào về vấn đề đó.
lá cờ us
@MaartenBodewes sự khác biệt giữa PSS và PKCS#1 v1.5 là gì? PSS có "an toàn hơn" không, mà nó được sử dụng rất tốt trong TLS 1.3? PSS có được sử dụng trong ECDSA không?
Maarten Bodewes avatar
lá cờ in
Nó được chọn ngẫu nhiên và có bằng chứng bảo mật (trên phần đệm, không phải RSA, giả định rằng RSA là an toàn). Vì sự khác biệt về chi tiết, hãy đọc RFC cho RSA/PKCS#1 v2.2
Điểm:2
lá cờ my

Nếu đó là tin nhắn được băm, trong đó bạn băm tin nhắn trước khi ký, kẻ tấn công vẫn không thể tạo chữ ký hợp lệ khi anh ta tính toán: (tin nhắn, chữ ký):( hash(m)^e , hash(m) ) và đó là chữ ký hợp lệ Chữ ký?

Thật, $hash(m)$ rất khó có thể là một chữ ký hợp lệ cho bất cứ điều gì. Khi TLS sử dụng RSA để ký, những gì chúng tôi làm là băm bản ghi (nghĩa là chuỗi các bản ghi xảy ra trước chữ ký), áp dụng phần đệm cho hàm băm, sau đó tính toán $pad(hash(bản ghi))^d$. Nghĩa là, khi TLS xác minh chữ ký, nó sẽ lấy chữ ký đó, tính toán $chữ ký^e$, và xem liệu điều đó có xảy ra không $pad(bảng điểm)$. Nó là khá khó xảy ra rằng $hash(m)^e$ sẽ xảy ra để có một mẫu đệm hợp lệ; các byte của $hahs(m)^e$ sẽ cần phải là các giá trị 00 01 FF FF FF ... FF 00 <DER của hàm băm>

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.