RSA-OAEP的Derandomized版本

Question

我们知道一个标准的方法。( RFC 6979)取消ECDSA签名，即在没有外部随机源的情况下生成ECDSA签名。

是否有任何类似的标准方式，或学术证明的方式，取消RSA-OAEP加密？

Answer 1

不对称加密的Derandomization是个坏主意。其主要原因是，如果非对称加密机制是确定性的，那么它允许对明文进行暴力攻击:攻击者尝试可能的明文消息并对其进行加密，并试图查看它是否产生与观察到的消息相同的加密消息。现实世界中的明文通常比密码密钥具有更少的熵。

一些额外的注释：

• 您只能使用非对称加密来传递完全随机的对称密钥，在这种情况下，对密钥施加暴力是不可行的。但是，这意味着您手头有一个随机源，因此OAEP不应该是一个问题。
• 您可以想象一个确定性的过程，它依赖于额外的秘密值，因此不会被攻击者复制。但是，这并不是真正的“去角色化”；这个过程和源秘密值最好被描述为一个自定义PRNG，也就是说，您只是在使用普通的RSA-OAEP。