RSA

1. signature schema

1.1. 分类

1.1.1. 裸签名

1.1.1.1. c = m^e (mod N) m = c^d (mod N)

1.1.1.1.1. 当m比较小,或者e比较小的时候不安全

1.1.2. PKCS1-v1_5

1.1.2.1. PKCS1.5就是为了解决small message的问题,使用随机r( k-len-3)对message 进行填充 k: modulus bytes length len: message bytes length

1.1.2.2. 特点

1.1.2.2.1. 被广泛使用

1.1.2.2.2. 可以从signature中恢复出Message digest

1.1.2.2.3. 简单

1.1.2.3. Bleichenbacher’s attack , has been the core of many attacks on SSL

1.1.3. PSS

1.1.3.1. 特点

1.1.3.1.1. 签名是非确定性的(salt为0是是确定性的)

1.1.3.1.2. 不能从signature中恢复出Message digest,只能验证message digest

1.1.3.2. 原理

1.1.3.2.1. Hash Algorithm/Function

1.1.3.2.2. Mask Generation functions

1.1.3.2.3. Salt length

1.1.3.2.4. Trailer field(必须是1)

2. PKCS

2.1. 公钥算法标准

2.2. RFC(Request For Comments)

2.2.1. PKCS1.5(RFC2313)

2.2.2. PKCS2.0(RFC2437)

2.2.3. PKCS2.1(RFC3447)

2.2.4. PKCS2.2(RFC8017)

2.3. RSA based signature schema (with appendix) AKA: hash and signature schema

2.3.1. 发展

2.3.1.1. PKCS1.5 encryption 是不安全的

2.3.1.2. PKCS2.1 提出了RSA-PSS

2.3.1.3. PKCS2.2 提出了RSA-PSS的修订版

2.3.2. security proof

2.3.2.1. 模拟签名

2.3.2.2. 从伪造中提取解决方案