RSA: Có rủi ro bảo mật không nếu kẻ tấn công biết độ dài của các giá trị của P và Q?

Nó hoàn toàn không phải là một rủi ro bảo mật trong suốt thời gian $P$ và $Q$ được biết đến. Trên thực tế, độ dài của $P$ và $Q$ thường được biết đến, bởi vì hầu hết các tiêu chuẩn yêu cầu $P$ và $Q$ có cùng độ dài và cho mô đun công cộng $N = P \cdot Q$ để có chiều dài gấp đôi (không bao gồm các giá trị của $P$ và $Q$ đó là cả hai $n$-bit số có sản phẩm là giữa $2^{2n-2}$ và $2^{2n-1}$).

Vì vậy, nếu bạn biết rằng $2^{2n-1} < N < 2^{2n}$ và khóa được tạo bởi một triển khai điển hình, sau đó $2^{n-1} < P < 2^n$ và $2^{n-1} < Q < 2^n$. Trên thực tế, một số triển khai thậm chí buộc hai bit đầu của các số nguyên tố là 1, tức là $3 \cdot 2^{n-2} < P,Q < 2^n$, đảm bảo rằng $N \ge 2^{2n-1}$ và không làm giảm đáng kể không gian khóa riêng.

Khóa RSA chỉ có thể mạnh bằng số nguyên tố nhỏ nhất, do đó, việc các số nguyên tố có kích thước khác nhau không thực sự hợp lý. Có một số nguyên tố lớn hơn số nguyên tố kia làm cho quá trình tính toán chậm hơn mà không cải thiện tính bảo mật.

Bạn có thể xem độ dài khóa tối thiểu cho RSA (âfactoring modulusâ) do một số cơ quan có thẩm quyền khuyến nghị trên keylength.com. Chia cho hai để có được kích thước của hai số nguyên tố.