46、RSA加密方案的安全性分析与改进

RSA加密方案的安全性分析与改进

1. RSA加密的脆弱性与OAEP的引入

在RSA加密中，如果简单地将消息 $m$ 加密为 $c = m^e \mod N$，攻击者可以在不知道 $m$ 的情况下，针对任意 $a \in \mathbb{Z}_N^*$，轻松地将密文修改为 $c’ = a^e \cdot m^e \mod N$，此密文加密的是 $a \cdot m \mod N$，这就是所谓的延展性攻击，是我们需要防范的。

为了解决这个问题，Bellare和Rogaway引入了OAEP（Optimal Asymmetric Encryption Padding）填充方案。他们声称，如果 $f$ 是一个单向置换，那么 $f$ -OAEP 在随机预言模型下是一种抗选择密文攻击的安全加密方案。然而，Shoup发现他们的证明存在无法修复的漏洞。

2. f -OAEP加密方案详解

2.1 方案参数

消息空间为 ${0, 1}^n$，其中 $n = k - k_0 - k_1$，$k_0$ 和 $k_1$ 满足 $k_0 + k_1 < k$，且 $2^{-k_0}$ 和 $2^{-k_1}$ 非常小。该方案使用两个密码学哈希函数 $G: {0, 1}^{k_0} \to {0, 1}^{n + k_1}$ 和 $H: {0, 1}^{n + k_1} \to {0, 1}^{k_0}$，在安全分析中被建模为随机预言机。

2.2 加密步骤

1. 密钥生成（Gen） ：运行密钥生成算法得到 $f$ 和 $f^{-1}$，其中 $(f, G, H)$ 是