¿Qué piensa acerca de este esquema de firma utilizando RSA con claves de 4096 bits?
Siendo R relleno pseudoaleatorio, longitud fija (4096 - 512 bits):
RSApriv(R || SHA512(M))
Sé que no es tan seguro como RSASSA-PSS, pero me parece mejor que RSASSA-PKCS1 (debido al relleno aleatorio).
¿Me estoy perdiendo algo importante?
Gracias de antemano.
El relleno apropiadamente aleatorio (como en PSS) puede fortalecer el esquema contra los ataques de texto sin formato elegido. AFAIK el efecto principal es que mejora un poco la rigidez de la prueba de seguridad, lo que considero una ventaja relativamente pequeña.
Pero como el atacante puede elegir valores arbitrarios como relleno, el relleno aleatorio incorrecto también puede causar debilidades. El suyo le permite al atacante controlar la mayor parte del mensaje.
Suponiendo que estás utilizando la codificación big-endian, el hash del mensaje caerá en los bits menos significativos de tu esquema. El atacante tiene control total sobre todos los otros bits. Esto significa que el relleno es claramente más débil que incluso el relleno PKCS # 1v1.5.
Espero falsificaciones prácticas, al menos para valores pequeños de e.
Lea otras preguntas en las etiquetas digital-signature rsa sha