RSA PSS安全优势

Question

以我的最低意见，请纠正我，如果我错了，RSA-PSS (PKCS#1 ver 2.1)的优势，比RSA描述的PKCS#1 ver。1.5在其安全证明中。即使RSA-PSS方案中的" salt“对所有消息都是不变的，或者它的条件是生成每个签名的随机盐，这个证明和优势仍然存在吗？也就是说，RSA-PSS的安全性证明是否假定消息上存在随机盐？

Answer 1

即使我们通过修复RSASSA-PSS的种子使其确定性，它仍然在随机甲骨文模型每全域哈希(Jeanébastien，全域散列的精确安全性，在(密码2000会议记录)中)的安全证明。我们不能对RSASSA-PKCS1-v1_5说同样的话，因为很多消息代表都是固定的。

在实践中，使用确定性RSASSA-PSS而不是RSASSA-PKCS1-v1_5的一个更好的论点是，当我不知道RSASSA-PSS验证的易受攻击实现(不管随机化如何)时，RSASSA-PKCS1-v1_5验证的易受攻击实现比比皆是，而且这种情况不太可能发生。

然而，反对RSASSA-PSS的一个实际论点是，它需要对哈希和掩码生成函数进行仔细的说明:即使后者几乎是通用的MGF1，也可以使用另一个哈希(例如，粘在SHA-1上)，这取决于实现。