O uso de ene65537 reduziria a compatibilidade com o hardware ou software existente e quebra a conformidade com alguns padrões ou prescrições de autoridades de segurança. Qualquer e maior faria a operação RSA pública (usada para criptografia ou verificação de assinatura) mais lenta. Alguns e inferior, em particular e3, fariam essa operação sensivelmente mais rápida (até 8,5 vezes). Se estiver usando um esquema de preenchimento apropriado, a escolha de e não é conhecida por fazer uma diferença de segurança, mas para muitos esquemas de estofamento menos que perfeito que foram (ou ainda são) usados, os altos valores de e são geralmente mais seguros. E65537 é um compromisso comum entre ser elevado e aumentar o custo de elevar ao e-ésimo poder: qualquer maior e impar custa pelo menos mais uma multiplicação (ou quadratura), o que é verdadeiro para expoentes ímpares da forma 2k1. Além disso, e65537 é primo, o que simplifica ligeiramente a geração de um primo p adequado como módulo RSA, implicando gcd (p-1, e) 1, que reduz a pnotequiv 1pmod e para prime e. Apenas os primes de Fermat 3,5,17,257,65537 têm ambas as propriedades, e todas são escolhas comuns de e. É conjecturado que não há nenhum outro Fermat prime e se houvesse algum, seria inutilmente enorme. Usando e65537 (ou superior) no RSA é uma precaução extra contra uma variedade de ataques que são possíveis quando o preenchimento de mensagem ruim é usado esses ataques tendem a ser mais provável ou devastador com e muito menor. Usando e3 seria de outra forma atraente, uma vez que levantar para o poder e3 custo 1 squaring e 1 multiplicação, para ser comparado a 16 squaring e 1 multiplicação ao levantar a potência e655372 1. Por exemplo, RSA com e65537 tem uma vantagem de segurança sobre e3 quando : Enviando uma mensagem nativamente criptografada como mathtt mathtt ebmod n o maior e torna mais provável que log2 (mathtt) gg log2 (n) / e (que é necessário para a segurança). Enviando a mesma mensagem criptografada para k destinatários usando o mesmo preenchimento (incluindo qualquer preenchimento determinístico independente de n), maior e torna menos provável que kge e (que permite uma interrupção). Assinar mensagens escolhidas pelo adversário com um esquema de assinatura incorreto. Por exemplo, com o esquema da norma (retirada) ISO / IEC 9796 (descrita na seção 11 .3.5 do HAC), o adversário poderia obter uma assinatura falsificada de apenas 1 assinatura legítima se e3, mas precisa de 3 assinaturas legítimas para e65537 confie em mim Em que um. A vantagem de segurança do e65537 é mais ampla para ataques contra o esquema 1 da (atual) ISO / IEC 9796-2. Para obter mais explicações e exemplos do risco da combinação de mensagem questionável preenchimento e baixa e, consulte a seção 4 em Dan Bonehs Vinte Anos de Ataques no RSA Cryptosystem. Não existe nenhum imperativo técnico conhecido de não usar o e3 quando se usa um esquema de preenchimento de mensagem de som, como RSAES-OAEP ou RSASSA-PSS da PKCS1. Ou esquema 2 ou 3 da ISO / IEC 9796-2. No entanto, ainda faz sentido usar o e65537: As únicas desvantagens conhecidas são a perda de desempenho (por um fator como 8), eo risco de deixar um bug no gerador de chaves quando um 1pmod é atingido e quando o desempenho é importante É uma escolha ainda melhor do que e3, com provável segurança (mas mais complexa e incomum). Alguns ataques em esquemas de RSA menos que perfeitos que são (ou foram) em uso largo são significativamente mais duros do que com e3 (como discutido acima). E65537 tornou-se um padrão da indústria (eu ainda tenho que encontrar qualquer hardware RSA de software que não permite isso), e é prescrito por algumas autoridades de certificação. Por exemplo, se o mesmo texto sem formatação for assinado com diferentes chaves privadas, a escolha de e3 para os pubkeys correspondentes fará com que o sistema Menos seguro O uso de assinatura doesn39t randomizado preenchimento. (Mas então ele não usa e diretamente, e ainda é claro que ainda faz parte do criptosistema, então é melhor fazer uma pergunta quotdumbquot do que miss não óbvia conexão.) Obrigado. Ndash pfalcon Oct 15 at 4:28 65537 é comumente usado como um expoente público no criptosistema RSA. Este valor é visto como um compromisso sábio, uma vez que é conhecido por ser primo, grande o suficiente para evitar os ataques aos quais pequenos expoentes tornam o RSA vulnerável e pode ser calculado extremamente rapidamente em computadores binários, que muitas vezes suportam instruções de deslocamento e incremento. Os exponentes em qualquer base podem ser representados como deslocamentos para a esquerda em um sistema de notação de posição de base, e assim em binário o resultado está dobrando - 65537 é o resultado de incrementar deslocamento 1 deixado por 16 lugares e 16 é ele próprio obtido sem carregar um valor No registro (que pode ser caro quando o conteúdo do registro se aproxima de 64 bits), mas zero e um pode ser derivado mais barato. - wikipedia (twas preguiçoso) - portanto, menor é vulnerável ao factoring rápido, maior não é inseguro, mas computacionalmente mais caro. Respondeu Jul 1 12 at 5:13
No comments:
Post a Comment