Number571 Aug 27 2024 at 13:20

Чем опасен чистый RSA? Разбираем подводные камни

Hard

9 min

16K

Information Security*Cryptography*Mathematics*

Review

+59

Comments 7

nin-jin Aug 28 2024 at 07:22

Спасибо, а можно такой же разбор, но уже алгоритмов на эллиптических кривых?

Number571 Aug 28 2024 at 09:13

Было бы интересно подобное разобрать, но при написании статьи потеряется особенность, которая ранее содержалась в алгоритме RSA, - обманчивая простота. В криптографии на эллиптических кривых такой обманчивости мало, и как следствие, описание самих атак станет более изощрённым занятием. Поэтому схожего разбора эллиптических кривых мной пока не планируется, но не буду говорить и о том, что такого разбора не будет вовсе. Скорее всего будет, просто в другой оболочке.

nin-jin Aug 28 2024 at 12:07

В любом случае было бы интересно почитать про атаки на них. Например, возможна ли атака единого ключа.

Ну и за одно, не знаете ли алгоритмов с минимальным размером подписи? А то 64 байта как-то многовато. Или там есть какое то принципиальное ограничение?

Number571 Aug 28 2024 at 12:48

Насколько знаю большинство современных алгоритмов цифровой подписи базируются на схеме Эль-Гамаля, в который по умолчанию закладывается механизм удвоения размера выходных данных. Для сохранения 128-битной безопасности используют 256-битный ключ, который, в свою очередь, уже генерирует 512-битные подписи (тобишь 64 байта). Насколько знаю на практике также часто могут применяться эллиптические кривые 224-битные, которые могут создавать подписи размером 56 байт. Но они, в свою очередь, придерживаются минимальной планки безопасности в 112-бит, что может быть опасным при долгосрочном использовании.

NIST: сравнительная характеристика длин ключей при лобовой атаке

nin-jin Aug 28 2024 at 17:37

Я тут сейчас нашёл пару алгоритмов, которые позволяют делать 48 (BLS12-381) и 32 (alt_bn128) байтные подписи: https://hackmd.io/@liangcc/bls-solidity

nikiborg Aug 28 2024 at 11:00

Математические проблемы RSA видны сразу при взгляде на теорему Эйлера и КТО. И как будто бы, это фиксят просто увеличением длины ключа.

Ну и помню, нам на практиках по алгебре на первом курсе давали задачи по типу: обоснуйте, почему малое значение открытой экспоненты делает RSA уязвимее...

VitalyNasennik Sep 3 2024 at 14:36

Насколько я помню, все эти опасности были надлежащим образом расписаны в PKSC #1 более 20 лет назад, где также приведены конкретные практические схемы правильного использования, свободные от перечисленных уязвимостей, в частности упомянутые OAEP и PSS.