FIPS 186-4，使用RSA密钥对进行加密和签名

Question

FIPS第5.1节186-4规定：

用于数字签名的RSA密钥对只能用于一种数字签名方案(例如，ANS X9.31、RSASSA-PKCS1 v1.5或RSASSA)

和

RSA数字签名密钥对不得用于其他目的(如密钥建立)

不遵守这些准则会产生什么问题？

使用相同的RSA密钥对与RSA-OAEP和RSA-PSS是否也易受攻击？

Answer 1

在形成一个方案的证明时，通常不考虑单独使用秘密密钥。如果密钥用于攻击以外的其他目的，则可能会应用。请注意，这也很容易造成一个问题的情况。如果攻击者能够访问传统的RSA操作，那么很容易创建签名或解密密文。例如，支持(未来)签名方案或用于密钥封装的RSA-KEM就是这样。

通常，NIST建议不要将相同的密钥对用于多种用途。这主要是与关键管理有关的问题。例如，如果密钥可能被破坏，则销毁私钥用于签名目的是一个好主意。但是，销毁用于解密的私钥可能不是一个好主意，即使它已经被破坏，因为您将无法再解密消息。用例对密钥需要不同的生命周期；对于不同的用例使用相同的密钥对需要对生命周期进行1:1的映射。

Answer 2

这里有一种情况，这可能是混乱的。让(N=pq, e, d)是一个用于签名和加密的RSA元组。(在这里，为了简单起见，我使用教科书RSA /教科书RSA签名；还有更健壮的方案)。给定签名甲骨文(即签署任何消息并返回签名的甲骨文)，我们可以解密RSA密文。

1. 敌手被授予密文c\equiv m^e \;(\text{mod } \phi(N))。
2. 对手查询签名甲骨文以获得c^d\equiv m\;(\text{mod } \phi(N))

访问签名神谕的可能性有多大？在任何情况下，您都可以显式地从权威获得签名。例如，证书颁发机构为证书提供签名。(当然，为了防止这些类型的攻击，这些方案要复杂得多，而且域是分开的)。

Answer 3

不遵守这些准则会产生什么问题？

我们放松了安全性降低(RSASSA和RSASSA)或安全签注(为其他人)，因为它们是在假设RSA密钥仅用于考虑的操作模式下进行的。我们知道，在使用相同的密钥进行签名(任何模式)时，可能会出现实际攻击的问题，而教科书RSA的加密或签名(教科书RSA的解密或签名oracle可以转换为任何模式的签名oracle )。

还要考虑的是:设计不当的签名填充或实现有可能泄漏密钥本身，从而破坏使用相同密钥的完美系统的安全性。然而，这并不像使用Rabin签名那样害怕RSA，因为在这个主题上有许多攻击。

如果使用具有相同RSA密钥对的RSA-OAEP和RSA-PSS怎么办？

没有已知的攻击，但现有的安全削减不再适用。如果出现攻击，我会感到惊讶，如果可以对组合进行安全性降低(例如，对整个域哈希的减少)，可能会降低经验证的数量安全级别，我也不会感到惊讶。

无论如何，坚持原则是很好的做法:一种用法，一种关键。