为什么Rabin密码系统没有得到广泛的应用？

Question

我想我们都知道RSA。当然，我们也知道DJB。我是丹尼尔·伯恩斯坦。

现在有些人已经注意到，他对密码学的问题有自己的看法。

在伯恩斯坦关于最先进的签名方案的2008年年论文 ( RSA签名和rabin-williams签名:最先进的状态)中，他记录了RSA的“演变”，而我得到的印象是，他用本文提到的优化方法来宣传rabin-williams (RW)密码系统的使用。

现在(最后)我的问题：

因为Rabin-Williams似乎比RSA有很多优势(更小的密钥，更小的签名，更快的验证，.)为什么它没有被广泛使用，而每个人仍然使用“旧的”RSA？

这似乎有点奇怪，因为最新的优化是在2003年(!)这是十年前的事了，我认为也有证据证明平方根和保理一样困难，我认为RW甚至可以简化为保理。

Answer 1

首先，我想引用林德尔和卡茨的书：

以类似于普通RSA加密的方式构造的“纯正Rabin”加密方案容易受到所选密文攻击的攻击，从而使对手能够学习整个私钥。虽然普通RSA也不是CCA安全的，但已知的选择密文攻击对普通RSA的伤害较小，因为它们恢复消息，而不是恢复私钥。也许这种对“普通拉宾”的攻击的存在影响了密码学家们早期完全拒绝使用Rabin加密。

对于RSA和Rabin系统，加密/解密和签名/验证是相似的，因此我认为Rabin数字签名系统由于与加密情况相同的原因而被拒绝。但是，如果您查看IEEE或ANSI标准，您会发现RW和RSA系统都是标准化的。我还认为，随着Rivest、Shamir和Adelman成立了"RSA数据安全“公司，RSA方案变得更加流行，因此他们有更多的机会在自己的安全解决方案中实现自己的系统，并将这些解决方案带给客户。

无论如何，原因更多的是“历史”而不是“技术”，现在很容易安全地实现这两种签名系统。由于基于椭圆曲线的密码系统通常具有相同或更高的安全性，但在许多应用中都更为有效，因此，椭圆曲线一直是密码学研究的热点。因此，Rabin的系统不太可能有第二次机会，尽管它将用于以快速签名验证为主要要求的应用程序。