Score:1

Crypto

RSA KTS-OAEP จำเป็นหรือไม่?

crypt

20/8/23 17:31

บ่อยครั้งที่ข้อมูลถูกเข้ารหัสโดยใช้ Symmetric Ciphers และคีย์ Symmetric จะถูกแบ่งปันกับผู้รับโดยการเข้ารหัสด้วย Asymmetric Public Key ของผู้รับ NIST Special Publication 800-56B, Revision 2 ตอนที่ 9 ให้คำจำกัดความ RSA KTS-สกอ เพื่อสร้างคีย์ข้อมูลระหว่างผู้ส่งและผู้รับ จำเป็นหรือไม่ที่ต้องใช้ RSA OAEP หรือ RSA KTS-OAEP เพื่อสร้างคีย์ข้อมูลระหว่างผู้ส่งและผู้รับ

เนื่องจากส่วนใหญ่แล้ว ความยาวคีย์สมมาตรจะเล็กกว่าความยาวของคีย์อสมมาตรมาก เช่น 256 กับ 2048 ปลอดภัยไหมที่จะใช้ RSA แบบเรียนเพื่อเข้ารหัสคีย์สมมาตรในสถานการณ์ที่ผู้ส่งสร้างคีย์สมมาตรใหม่แบบสุ่มสำหรับแต่ละข้อความ ?

เนื่องจากคีย์สมมาตรที่สร้างขึ้นแบบสุ่มไม่น่าจะเกิดซ้ำ จึงไม่จำเป็นต้องใช้ RSA OAEP และ RSA KTS-OAEP?

223

0 + 0

โอเอป

gidds

21/8/23 17:36

เพื่อป้องกันไม่ให้ใครก็ตามต้องลุย PDF ยาว: **KTS** = **Key Transport Scheme**.â(คุณอาจทราบแล้ว **OAEP** = **Optimal Asymmetric Encryption Padding** และ แน่นอน **RSA** = **Rivest-Shamir-Adleman**.)

ตอบกลับ

Score:3

Crypto

poncho

20/8/23 18:55

เนื่องจากคีย์สมมาตรที่สร้างขึ้นแบบสุ่มไม่น่าจะเกิดซ้ำ จึงไม่จำเป็นต้องใช้ RSA OAEP และ RSA KTS-OAEP?

การเพิ่ม nondetermanism ไม่ใช่เหตุผลเดียวที่เราต้องการการเติม RSA; เราต้องกังวลเกี่ยวกับการโจมตีแบบโฮโมมอร์ฟิคด้วย นั่นคือ การโจมตีตามคุณสมบัติโฮโมมอร์ฟิค กล่าวคือ $x^e \cdot y^e = (x \cdot y)^e$.

นี่เป็นวิธีหนึ่งที่ผู้โจมตีอาจพยายามใช้เพื่อกู้คืน $m$ จาก $c = m^e$ (กำหนดว่า $m$ ค่อนข้างเล็ก):

รวบรวมรายการของจำนวนเต็มขนาดเล็กและยกทั้งหมดเป็นเลขชี้กำลังสาธารณะ $a_0^e, a_1^e, a_2^e, ...a_k^e$
รวบรวมรายการที่สองของจำนวนเต็มจำนวนน้อยและยกขึ้นเป็นค่าผกผันของเลขชี้กำลังสาธารณะ แล้วคูณด้วยไซเฟอร์เท็กซ์ $c \cdot b_0^{-e}, c \cdot b_1^{-e}, ..., c \cdot b_k^{-e}$
สแกนทั้งสองรายการ ถ้าพวกเขามีค่าเหมือนกัน ให้พูดว่า $a_i^e = c \cdot b_j^{-e}$แล้วเราก็มี $m = a_i \cdot b_j$, พวกเราชนะ.

การโจมตีนี้ทำให้เราสามารถสแกนผ่าน $k^2$ ค่าที่เป็นไปได้ของข้อความด้วย $O(k)$ งาน; แม้ว่าการโจมตีนี้จะไม่รับประกันว่าจะสำเร็จ ($m$ อาจไม่ใช่ปัจจัยของสองรายการในรายการ) สิ่งนี้ยังคงลดความปลอดภัยที่เราได้รับ เมื่อเทียบกับวิธีการเติมที่ดี (ซึ่งทำให้การโจมตีรูปแบบนี้เป็นโมฆะ)

0 + 0

Score:3

Crypto

Morrolan

20/8/23 19:09

การใช้เลขชี้กำลังสาธารณะขนาดเล็กจะไม่มีประโยชน์สำหรับหนึ่ง สมมติว่า ก $256$คีย์สมมาตรบิต $k$ กับ $e = 3$ ในฐานะตัวแทนสาธารณะ หากเรากลับใจใหม่อย่างไร้เดียงสา $k$ เป็นจำนวนเต็มแล้ว $k^3$ จะเป็น $\ประมาณ 768$หมายเลขบิตดังนั้น $k^3 \bmod N = k^3$. จากนั้นการเข้ารหัสสามารถยกเลิกได้เล็กน้อยโดยใครก็ตามที่สามารถรับมือกับข้อความเข้ารหัสได้

เลขยกกำลังสาธารณะขนาดเล็กในทำนองเดียวกันจะทำให้คุณเสี่ยงต่อการโจมตีแบบกระจายเสียงของ Hastad หากคุณส่งรหัสเดียวกันไปยังผู้รับที่แตกต่างกันมากเกินไป ดังที่อาจเกิดขึ้นหากคุณมี เช่น ใช้กุญแจเหล่านั้นเพื่อเพาะกลุ่มคนงาน

นอกจากนี้ ciphertexts ยังอ่อนตัวได้ ซึ่งนำไปสู่ปัญหาบางอย่างดังที่กล่าวไว้ข้างต้นโดยเสื้อปอนโช

เช่นนี้ดูเหมือนว่าจะไม่แนะนำ ปัญหาทั้งหมดเหล่านี้สามารถแก้ไขได้ - หรืออาจใช้ไม่ได้กับระบบเฉพาะ - แต่ฉันอยากได้ระบบเข้ารหัสที่มีโอกาสน้อยกว่าที่จะยิงตัวเองด้วยเท้า

0 + 0

Score:2

Crypto

Maarten Bodewes

21/8/23 08:37

ไม่ ไม่จำเป็น แต่:

คุณจะได้รับ (ประมาณ) ขนาดไซเฟอร์เท็กซ์ RSA เดียวกันกับโครงร่างที่ปลอดภัยใดๆ
ค่าใช้จ่ายในการคำนวณของ OAEP นั้นน้อยมากอยู่ดี
การใช้ RSA แบบเรียนนั้นไม่ปลอดภัย (ดูคำตอบอื่นสำหรับสิ่งนั้น);
โหมดการเติมอื่นๆ อาจไม่ปลอดภัยเท่า (การเติม PKCS#1 v1.5 มีความเสี่ยงที่จะถูกโจมตีจาก Oracle)

แต่มีความเป็นไปได้อื่น:

คุณสามารถใช้ได้ RSA-KEM - นี่คือหนังสือเรียน RSA โดยทั่วไปของจำนวนสุ่มเต็มขนาดของโมดูลัสตามด้วยแหล่งที่มาของคีย์
เป็นไปได้ที่จะใช้รูปแบบ IES เช่น ECIES - คุณสามารถรวม NaCL ไว้ในนี้ - รูปแบบดังกล่าวสามารถลดทรัพยากรการคำนวณและโอเวอร์เฮดข้อมูล (ของการเข้ารหัสแบบอสมมาตร) ได้อย่างมาก

โดยเฉพาะอย่างยิ่ง RSA-KEM อาจมีประโยชน์เนื่องจากคุณต้องการเพียงตัวสร้างตัวเลขสุ่มและตำราเรียน RSA + วิธีรับคีย์ (ซึ่งอาจเป็นอะไรที่ง่ายเหมือนแฮชเข้ารหัส)

0 + 0