RSA KTS-OAEP có cần thiết không?

Dữ liệu thường được mã hóa bằng Mật mã đối xứng và Khóa đối xứng được chia sẻ với người nhận bằng cách mã hóa nó bằng Khóa công khai không đối xứng của người nhận. NIST Special Publication 800-56B, Revision 2 section 9 định nghĩa RSA KTS-OAEP để thiết lập tài liệu khóa giữa người gửi và người nhận. Có thực sự cần thiết sử dụng RSA OAEP hoặc RSA KTS-OAEP để thiết lập tài liệu khóa giữa người gửi và người nhận không?

Vì hầu hết thời gian, độ dài khóa đối xứng nhỏ hơn nhiều so với độ dài khóa không đối xứng, ví dụ: 256 so với 2048. Có an toàn không khi sử dụng RSA trong sách giáo khoa để mã hóa khóa đối xứng trong trường hợp người gửi tạo ngẫu nhiên khóa đối xứng mới cho mỗi thư ?

Vì khóa đối xứng được tạo ngẫu nhiên không có khả năng lặp lại nên không cần sử dụng RSA OAEP và RSA KTS-OAEP?

Việc sử dụng các số mũ công khai nhỏ sẽ không cần thiết đối với một người. Giả sử một $256$phím đối xứng -bit $k$ với $e = 3$ như số mũ công khai. Nếu chúng ta ngây thơ chuyển đổi $k$ thành một số nguyên, sau đó $k^3$ sẽ là một $\khoảng 768$-số bit, do đó $k^3 \bmod N = k^3$. Sau đó, mã hóa có thể được hoàn tác một cách tầm thường bởi bất kỳ ai có thể chạm tay vào bản mã.

Tương tự, các số mũ công khai nhỏ sẽ khiến bạn dễ bị tấn công bằng quảng bá của Hastad, nếu bạn đã gửi cùng một khóa cho quá nhiều người nhận khác nhau - như có thể xảy ra nếu bạn đã gửi, ví dụ: đã sử dụng những chìa khóa đó để tạo ra một nhóm công nhân.

Hơn nữa, bản mã sẽ dễ uốn, dẫn đến một số vấn đề như poncho đã đề cập ở trên.

Như vậy điều này có vẻ không nên. Tất cả những vấn đề này có thể được giải quyết - hoặc có thể không áp dụng được cho một hệ thống cụ thể - nhưng tôi rất thích một hệ thống mã hóa có ít cơ hội tự bắn vào chân mình hơn.

Vì khóa đối xứng được tạo ngẫu nhiên không có khả năng lặp lại nên không cần sử dụng RSA OAEP và RSA KTS-OAEP?

Việc thêm thuyết bất định không phải là lý do duy nhất chúng ta cần phần đệm cho RSA; chúng ta cũng phải lo lắng về các cuộc tấn công đồng hình - tức là các cuộc tấn công dựa trên thuộc tính đồng hình, cụ thể là $x^e \cdot y^e = (x \cdot y)^e$.

Đây là một cách kẻ tấn công có thể cố gắng sử dụng nó để khôi phục $m$ từ $c = m^e$ (cho rằng $m$ tương đối nhỏ):

• Biên dịch một danh sách các số nguyên nhỏ và nâng tất cả chúng lên số mũ công khai $a_0^e, a_1^e, a_2^e, ...a_k^e$

• Biên dịch danh sách thứ hai gồm các số nguyên nhỏ và nâng chúng lên nghịch đảo của số mũ công khai, rồi nhân chúng với bản mã $c \cdot b_0^{-e}, c \cdot b_1^{-e}, ..., c \cdot b_k^{-e}$

• Quét hai danh sách; nếu chúng có một giá trị chung, hãy nói, $a_i^e = c \cdot b_j^{-e}$, sau đó chúng tôi có $m = a_i \cdot b_j$, chúng ta thắng rồi.

Cuộc tấn công này cho phép chúng tôi quét qua $k^2$ các giá trị có thể có của tin nhắn với $O(k)$ công việc; mặc dù cuộc tấn công này không được đảm bảo thành công ($m$ có thể không phải là một yếu tố của hai mục trong danh sách), điều này vẫn làm giảm tính bảo mật mà chúng tôi có được, so với một phương pháp đệm tốt (làm mất hiệu lực của kiểu tấn công này)