Cosa ne pensi di questo schema di firma usando RSA con chiavi a 4096 bit?
Essere padding pseudorandom R, lunghezza fissa (4096 - 512 bit):
RSApriv(R || SHA512(M))
So che non è sicuro come RSASSA-PSS, ma mi sembra migliore di RSASSA-PKCS1 (a causa del riempimento casuale).
Mi manca qualcosa di importante?
Grazie in anticipo.
Il padding correttamente randomizzato (come in PSS) può rafforzare lo schema contro gli attacchi con testo in chiaro scelto. AFAIK l'effetto principale è che migliora un po 'la tenuta della prova di sicurezza, che considero un vantaggio relativamente piccolo.
Tuttavia, poiché l'attaccante può scegliere valori arbitrari come padding, il padding impropriamente randomizzato può anche causare punti deboli. Il tuo permette al malintenzionato di controllare la maggior parte del messaggio.
Supponendo che si stia utilizzando la codifica big-endian, l'hash del messaggio verrà inserito nei bit meno significativi del proprio schema. L'attaccante ha il pieno controllo su tutti gli altri bit. Ciò significa che il padding è chiaramente più debole rispetto al padding PKCS # 1v1.5.
Mi aspetto falsi pratici, almeno per piccoli valori di e.
Leggi altre domande sui tag digital-signature rsa sha