¿Debe ser el exponente público de RSA en {3 5, 17, 257 y 65537} debido a consideraciones de seguridad?

Question

En mi proyecto estoy usando el valor de las exponente de 4451h. Pensé que es seguro y bien hasta que empecé a usar un comercial de cifrado RSA de la biblioteca. Si yo uso este exponente con esta biblioteca, se lanza la excepción.

He contactado con los desarrolladores de esta biblioteca y obtuvo la siguiente respuesta: "Esta función es prevenir algunos ataques de claves RSA. La consecuencia es que el valor de exponente se limita a {3, 5, 17, 257 o 65537}. La desactivación de esta comprobación está siendo investigado, ya que los riesgos pueden ser grandes".

Es la primera vez en mi vida que oigo que los valores distintos de {3, 5, 17, 257 o 65537} se utilizan para romper RSA. Yo sólo sabía de utilizar 3 junto con un relleno de ser vulnerables.

Es que realmente así? Sin duda, puedo usar otra biblioteca, pero después de tal respuesta, me preocupa la seguridad de mi solución.

Answer 1

Como Yuval, dijo, no es un rendimiento de la razón: si se utiliza $e = 2^k + 1$ para algunos (pequeños) $k$, luego de computación $x^e \mod n$ va a ser más rápida que la de la mayoría de los otros exponentes. Tomando $k=16$ es muy común y da $e = 65537$, teniendo en $k$ igual a 1,2,4 u 8 de dar a los demás valores en su biblioteca. También, como estos son (Fermat) de los números primos, todos los $n = pq$ $p \mod e \neq 1$ $q \mod e \neq 1$ le dará un válido $(n,e)$-combinación, y muchas bibliotecas construir su $n$ de esta forma, para la eficiencia de las pruebas y la generación de $n$. Un pequeño $e$ es potencialmente peligroso debido a los llamados ataques de transmisión (envío de 3 veces el mismo mensaje con $e = 3$ a 3 personas diferentes (con diferentes módulos) compromete el mensaje), aunque esto puede ser evitado mediante el relleno, y pequeño $e$ son así evitar menudo. Pero, en principio, cualquier suficientemente grande $e$ que es coprime con $\phi(n)$ puede ser utilizado, siempre que $d$ no es demasiado pequeño, etc. Así que esta biblioteca ha elegido para optimizar su generación y prueba (tomar atajos que se pueden hacer para estas opciones de $e$) y no permitir que otros $e$. Hay normas que tomar siempre 65537 para $e$ (de modo que usted no tiene que transmitir esa información), por lo que esta biblioteca es aún flexible en comparación a eso.

Answer 2

Eso suena como basura para mí. Creo que están tratando te callas.

Answer 3

En realidad, un pequeño exponente como $3$ podría significar problemas, al menos si haces tu mejor esfuerzo para hacer las cosas mal (digo si el mensaje, como un número, es "pequeño") - algo que no puede nunca descartar cuando se involucra la criptografía.

La razón por la que se utilizan estos exponentes es que son rápidos calcular. Puede ser computados por cuadratura repetida más de una multiplicación (necesitamos el exponente sea impar).