RSA-KEM结构

Question

“为CCPA2方案创建一个随机密钥，加密m，并将其与对称密钥的PK加密一起发送。”

如果在这个过程中，KDF是HMAC，那么：

1. 获得一个随机密钥(128位)
2. C1 =使用AES加密消息"Hello World"
3. C2 =是E_pk(random_key)和HMAC(random_key，random_key2)的一个元组。

那就派C1 || C2去？

我觉得这是错误的解释。什么地方闻起来不对。或者这足够好？

Answer 1

你提出的建议是不好的。

RSA-KEM使用RSA加密没有填充，但不是以您提议的方式。参见其维基百科网页的第二部分

构造的问题是，如果使用RSA加密短消息(即AES密钥)而不加填充，那么它可能通过through计算或Coppersmith解密。它实际上取决于消息大小和公钥，例如，如果您的公钥是e=3，那么您只需要计算(E_{pk}(random\_key))^{(1/3)}就可以得到解密的文本。

为了正确地使用RSA-KEM，首先需要生成一个随机消息m: 1 < m < N。

然后从它派生出您的AES：key=KDF(m)

最后，用key加密您的消息，并将其发送到E_{pk}(m)。

请注意，有一些变体：

• 使用相同的KDF调用另一个密钥，您可以派生用于MAC (加密)消息的密钥。
• 或者，正如在RFC 5990中使用KDF指定的那样，您将生成一个KEK (密钥加密密钥)，该密钥随后用于包装用于消息加密的实际AES密钥。这样做的好处是允许KEM与已经加密的消息一起使用。