RSA: è sicuro andare senza padding se la lunghezza del messaggio == lunghezza della chiave?

Quando crittografate un messaggio utilizzando RSA, è necessario il riempimento per garantire diverse proprietà:

1. La crittografia dello stesso messaggio due volte deve generare output diversi, per evitare un attacco di testo normale scelto. Questo è il motivo per cui i paddings sono randomizzati.
2. RSA conserva alcune strutture, il padding dovrebbe eliminare quella struttura.

3. Quando un utente malintenzionato manipola il testo cifrato, vuoi rifiutare quel falso in un modo che impedisce all'hacker di imparare qualcosa.

   Molti paddati più vecchi, come PKCS # 1v1.5, non riescono a garantire questo, e quindi sono rotti per molte applicazioni. Dovresti utilizzare il riempimento OAEP.

In alternativa puoi semplicemente crittografare un numero casuale della stessa dimensione del modulo con RSA e usare il suo hash come chiave per la crittografia simmetrica (ad esempio AES-GCM). Questo è noto come RSA-KEM e non ha bisogno di alcun padding. Produce testi cifrati più grandi ma è più facile da implementare.

Poiché CodesInChaos ha menzionato il padding distrugge la proprietà omomorfica di RSA, che riceve due (anche molto lunghi) messaggi m1, m2 e i corrispondenti ciphertexts c1, c2 quindi puoi creare un terzo ciphertext valido c '= c1 * c2.

Senza padding o altre precauzioni, il ricevitore non è in grado di dire se hai intenzione di inviare m1, m2 o m1 * m2.