RSA-OAEP填充方案

Question

老实说，我真的对RSA方案中的填充感到困惑。我不学习计算机科学，我是一个初学者，学习密码学(自学)。有人能给我建议吗？

Answer 1

直接使用教科书RSA进行加密是非常不安全的。例如，可以检查明文的猜测:如果加密的是类卷上的名称，则对类卷上的所有名称进行加密，直到获得密文的机密性为止。还有其他几起袭击。

这激发了RSA-OAEP。它将教科书中的RSA、散列和随机比特源转化为一个明显安全的加密方案。消息加密( message M )首先通过将M与随机比特混合并与哈希进行可逆变换，将X转换为填充消息X，然后将D3加密到X^e\bmod N，即教科书中的D4加密。解密从教科书的RSA解密开始，生成X；然后取消填充，生成M或错误指示。

本质上，X的分布是随机的，使得教科书的RSA变得安全。可以为密码( IND-CCA2 )的最强有力的安全性定义提供证明，并且在某种假设下：

• 在给定X的情况下，寻找随机X^e\bmod N的RSA问题是困难的；
• 散列与随机选择的公共函数是无法区分的；
• 随机比特的来源与产生均匀随机和独立比特的源是无法区分的；
• 给出密码的解密设备只输出正确的明文或错误指示(它不泄漏任何其他信息)。

一个(高度技术性的)参考证据是在藤崎久一郎，冈本聪，大卫庞奇瓦尔，和雅克斯特恩的在RSA假设下，RSA-OAEP是安全的，在密码学杂志，2004年年。一个更温和的文本是David的如何正确地使用RSA加密？，最初在加密字节5n1,2002年年中。

RSAES-OAEP的实用形式在PKCS#1 v2.2中被定义为RSAES-OAEP.