RSA的OAEP强度

Question

在我们目前的系统中，我们使用了一种基于RSA的加密解决方案和OAEP填充。键大小是可选的，但默认为2048。RSA与OAEP的综合优势是什么？有没有已知的攻击可以打破它，他们的复杂性？人们对它的使用和依赖是否足够安全？

谢谢

Answer 1

OAEP很可能是安全的，只要底层原语--使用模幂的RSA和生成填充的哈希函数--都被认为是安全的。因此，OAEP填充本身不应造成任何问题。

也就是说，我们不知道您的协议是否安全，也不知道RSA / OAEP实现是否安全。例如，它可能容易受到定时或其他侧通道攻击。

目前看来，OAEP是执行RSA加密的最佳选择。是的，OAEP是标准化和良好使用的。RSA加密与PKCS#1 v1.5的填充仍然是使用，可以说是太多了。

作为封装PKCS#1标准指定：

另外，Inv的运行时间约为t^2，其中t是对手的运行时间。其结果是，我们不能排除攻击RSAES-OAEP比为具体参数反演RSA容易得多的可能性。然而，安全证明的存在提供了一些保证，即RSAES-OAEP结构比诸如RSAES-PKCS1-v1_5等特殊结构更可靠。基于RSA-KEM密钥封装范式的混合加密方案为直接适用于具体参数的安全性提供了严格的证明；讨论见30。未来版本的PKCS #1可以指定基于此范例的方案。

这是基于以下几点：

作者声明：[ D. ]E.Fujisaki，T. Okamoto，D. Pointcheval和J. Stern。RSA-OAEP在RSA假设下是安全的。“密码学进展-2001年密码学进展”，“计算机科学讲稿”第2139卷，第260-274页。斯普林格·维拉格，2001年。

正如RFC中所规定的，RSA-KEM也可以是一种选择。RSA-KEM将RSA加密与(基于密钥的)密钥派生函数和对称加密相结合.RSA-KEM可能更容易安全地实现。但是，没有多少库提供对RSA-KEM的直接支持(或者KDF)，这将需要一些开销。