估计Rabin签名的安全级别

Question

我试图弄清楚模数n必须在Rabin签名方案中有多长时间，以提供128位安全性。

我们假设使用的哈希函数“足够安全”。那么，天真的做法将是：

由于伪造签名和n分解一样困难，所以签名方案的安全级别接近。等于n的位长。因此，对于128位安全性，n至少应该是一个数字，因此最快的保理算法需要2^180次尝试。但这个数字有多长时间？

当然我知道，它说RSA密钥应该在3072位左右才能达到128位秒。另一方面，相对于Rabin，RSA对数字因式分解没有严格的简化。

因此，有人能解释如何估算拉宾模数大小吗？

Answer 1

在正确选择密钥和填充的情况下，对Rabin签名和RSA (加密和签名)的最有效的纯密码攻击是相同的:考虑公共模数。因此，对于公共模数的大小建议是相同的。如果3072位RSA通过某些标准实现128位安全性，Rabin就会这样做.

请注意，可能存在特定于Rabin及其Jacobi计算的实现攻击，这些攻击不适用于RSA。另外，Rabin签名对于一些糟糕的填充(特别是确定性的)是不可原谅的:当它仍然是RSA签名中的存在伪造时，它可能退化为完全破坏(公共模数的因式分解)。