RSA-PSS und RSA-OAEP Beweisbare Sicherheit für Public Key Kryptografie Hanno Böck, http://www.hboeck.de/
RSA plain C=Ke mod N RSA-Verschlüsselung nach Lehrbuch: C: Verschlüsselte Nachricht, K: Nachricht, e, N: Schlüssel Invertierung schwer Setzt aber vorraus dass Überlauf entsteht und mod N greift, was passiert bei kleinem K?
Padding RSA in realen Anwendungen immer mit Padding Ursprünglich eher „naive“ Ansätze Angriff auf PKCS #1 v1 (Crypto '98, D. Bleichenbacher) Meistens verwendet PKCS #1 v1.5
RSA-PSS, RSA-OAEP „Beweisbar“ sicheres Padding Beweisbar geht von Hash-Funktion als Random- Oracle-Model aus (d. h. „im Prinzip“ Hash- Funktion hat keine Sicherheitsprobleme) Padding ist genauso sicher wie darunterliegender RSA-Algorithmus
Kaum genutzt In PKCS #1 v2.1 spezifiziert RFC 4055 für SSL/TLS Kaum implementiert Jüngstes Beispiel: Neueste DNSSEC- Spezifikationen (RSASHA256), eingesetzt von DeNIC, benutzt weiterhin PKCS #1 1.5