possibile scambiare esponenti pubblici e privati in RSA?

1

Implementiamo https con una libreria SSL di terze parti nel nostro sistema integrato. A causa del piccolo esponente pubblico scelto in RSA 2048, la crittografia è molto più veloce (circa 120 ms) rispetto alla decrittografia (circa 3100 ms).

Potremmo scambiare il pubblico e l'esponente privato dopo la generazione delle chiavi? Ciò sposterebbe il sollevamento pesante verso il cliente (di solito un PC) e renderà più semplice il nostro sistema embedded. Non lo so, se ci sono alcune restrizioni, ad es. nella struttura dei certificati ciò che vieta questo.

    
posta Peter Sprenger 15.08.2014 - 15:46
fonte

1 risposta

6

Lo scambio di esponenti pubblici e privati in RSA comporta due problemi:

  1. Non funziona.
  2. Non è sicuro.

Il "non funziona" riguarda implementazioni distribuite esistenti di SSL in client . Anche se la definizione formale di RSA consente un esponente pubblico arbitrariamente lungo, alcune implementazioni ampiamente diffuse di RSA si aspettano che l'esponente pubblico si adatti in un numero intero a 32 bit (in particolare, CryptoAPI di Windows).

Il punto sull'insicurezza è che un esponente privato troppo corto indebolisce il sistema. È stato dimostrato un attacco, che mostra come recuperare la chiave privata se la lunghezza dell'esponente privato è inferiore al 29% della lunghezza del modulo; ciò significa che se si utilizza un modulo RSA a 2048 bit (come si dovrebbe) e si imposta la lunghezza dell'esponente privato su meno di 600 bit, viene applicato un attacco implementato già descritto. La saggezza collettiva dei crittografi è che gli esponenti privati significativamente più corti del modulo sono troppo rischiosi.

Pertanto: no, non dovresti provare ad accorciare gli esponenti privati RSA, per quanto allettante possa essere.

Se sei a corto di potenza di calcolo, allora potresti voler studiare algoritmi alternativi basati su curve ellittiche. Una suite di crittografia "ECDSA_ECDHE" eviterebbe i calcoli RSA e dovrebbe fornire prestazioni sostanzialmente migliori per l'handshake TLS (tuttavia, non sarà compatibile con IE 8 su Windows XP come client).

    
risposta data 15.08.2014 - 16:00
fonte

Leggi altre domande sui tag