不推荐PKCS1签名吗？

Question

Daniel的个人页面有一个用于WebCrypto支持的活生生的示例表。https://diafygi.github.io/webcrypto-examples/

没有解释的话，他将其中几个标记为“气馁！只用于向后兼容！”我在我的应用程序中使用的两种方法是用于加密的RSA-OAEP，用于签名的RSASSA-PKCS1-v1_5。据我所知，它们并没有被打破。

另一方面，他推荐ECDSA和HMAC签约。

为什么不推荐RSA方法进行加密？

所以，有人能帮我理解为什么要把这些方法标记成这样吗？

例如，椭圆曲线会为相同级别的安全性产生更小的密钥大小吗？

或者是关于missus的潜力，还是浏览器的实现？

Answer 1

嗯，你很惊讶，因为我相信我们大多数人.

• AES-CTR和AES-CBC是“过时”的，而AES-CTR被AES-GCM所使用.好的，也许他推荐了认证模式(不需要自己进行身份验证)。但这些都不是过时的，它们只是更难正确地编码.
• 卫生署和RSA的所有变体都是“过时”的。只有ECDSA和ECDH..。有许多不对称算法的出现是为了取代RSA，但RSA并没有过时，并且可能会在量子计算机之前保持巨大的规模。
• HKDF-CTR“过时”。我们是否应该使用PBKDF2，它是为密码而不是密钥设计的？
• RSASSA-PKCS1-v1_5是一个有问题的选择。很多人仍然在使用它，但我相信从长远来看，迁移到OAEP和PSS会更好。当然，这并不意味着“过时”，顶多是“不推荐”。

总之，我认为“过时”这个词是不对的。更像:新手不应该使用的算法，因为他们所做的并不明显。当然，我们应该加入AES-KW和ECDH，因为它们都不太明显。我认为创建这个网站的人想要给出“最好的建议”，但至少对HKDF持否定态度是有问题的。

TL:这绝不是正确的，除了SHA-1。