发布多个签名的风险

Question

为同一条消息发布多个签名时是否存在风险？例如，ECDSA密钥(使用EC密钥)和RSA-PSS签名(使用RSA密钥)。

我问题的背景是库的使用，其中Edge实现的唯一签名algo是RSA-PKCS1 1(这不是最新推荐的algo)。

我正在考虑使用不同的algo/key生成多个签名，并让客户端检查它想要的签名。

Answer 1

为同一条消息发布多个签名时是否存在风险？

只要密钥是独立生成的，就没有风险。这仅仅是因为复合方案上的每个伪造--使用n不同密钥/签名方案签名的消息--立即意味着针对至少一个潜在签名方案的伪造。但是，由于我们假设这些基本方案都是安全的，所以复合方案也是安全的。是的，RSA-PKCSv1.5也是安全的.

如果签名是用同一把钥匙做的，会有什么风险？

如果您重复使用不同签名方案的密钥，例如对RSA-PKCS和RSA-PSS使用相同的密钥，那么在标准密码安全模型中，默认情况下所有的赌注都会被取消，并且需要仔细分析才能恢复安全性语句。这方面的例子包括安全的CBC-MAC (用于输入而不是彼此的前缀)和OCB2，后者以不安全的方式使用具有相同密钥的两个相关原语。如果不命名要配对的具体方案，一般的语句是不可能的--如果它们甚至可以重用密钥(例如ECDSA和RSA不可能使用的密钥)--PSS作为一种使用曲线上的点作为公钥，而另一种则使用带指数的环。

但是，提供两个签名，比如PKCS1 1/沙盒256和使用相同私钥的另一个PKCS1 1/ that 512，这是不可取的。对吧？

如果PKCS1v1.5签名对于不散列的明文是安全的，那么0x05的简单签名(而不是先哈希签名)将是安全的。但PKCS1v1.5的情况并非如此。因此，在默认情况下，这样做是不明智的。如果您真的必须这样做，那么基于随机函数(SHA256 / SHA512)在它们的I/O行为上实际上是不相关的，这是可以接受的。