PKCS #1 v1.5：加密界的“老古董”，你了解吗？

PKCS #1 v1.5：加密界的“老古董”，你了解吗？

引用

CSDN

等

8

来源

1.

https://blog.csdn.net/weixin_51910506/article/details/132321986

2.

https://blog.csdn.net/weixin_43757014/article/details/138316278

3.

https://www.redhat.com/en/blog/marvin-attack

4.

https://www.usenix.org/conference/usenixsecurity24/presentation/shagam

5.

https://www.encryptionconsulting.com/overview-of-rsassa-pss/

6.

https://docs.veracode.com/r/prevent-ssl-robot

7.

https://www.restack.io/p/secure-hashing-techniques-answer-rsa-pkcs1-sha256-vs-sha256withrsa-cat-ai

8.

https://www.cnblogs.com/johnnyzen/p/18113336

在现代密码学领域，PKCS #1 v1.5作为一种古老的加密标准，仍然被广泛使用。然而，其误用可能导致严重的安全漏洞，如任意证书授权和代码执行等问题。本文将深入探讨PKCS #1 v1.5的加密机制以及如何正确应用它以保障数据安全。

PKCS #1 v1.5是RSA加密算法的一种实现标准，首次发布于1993年。它定义了公钥和私钥的生成、加密及解密过程。在PKCS #1 v1.5中，公钥由模数n和公钥指数e组成，私钥则包括模数n、公钥指数e、私钥指数d及其他辅助参数。

在加密前，明文数据D需要被格式化为固定长度的加密块EB：

• EB = 00 || BT || PS || 00 || D
  • BT（Block Type）：表示数据类型，如公钥操作时通常为02。
  • PS（Padding String）：填充字节，确保数据长度符合要求。

尽管PKCS #1 v1.5在历史上发挥了重要作用，但其安全性已受到广泛质疑。最著名的攻击是Bleichenbacher攻击，这种攻击利用了PKCS #1 v1.5填充方案的确定性特点，通过观察服务器对错误填充的响应来逐步恢复密文。

此外，PKCS #1 v1.5还存在其他安全风险：

1. 故障注入攻击：通过在计算过程中注入随机错误，攻击者可以恢复私钥。
2. 侧信道攻击：如Marvin攻击，通过测量服务器响应时间来破解密文。

这些安全问题的根本原因在于PKCS #1 v1.5的设计过于简单，缺乏足够的随机性，且没有考虑到现代加密系统中可能出现的复杂攻击场景。

尽管存在诸多安全风险，PKCS #1 v1.5仍在一些系统中使用，如Kerberos认证系统、TLS服务器、硬件安全模块（HSM）和智能卡等。然而，专家强烈建议停止使用PKCS #1 v1.5，特别是在在线环境中。

更安全的替代方案包括：

1. PKCS #1 v2.0：引入了OAEP（Optimal Asymmetric Encryption Padding）填充方案，提供了更好的安全性和抗攻击性。OAEP使用随机数进行填充，并引入了哈希函数来增加安全性。

2. RSASSA-PSS：基于概率签名方案（PSS），每次生成的签名值都不同，安全性更高。

3. 椭圆曲线密码学（ECC）：提供与RSA相当的安全性，但密钥长度更短，计算效率更高。

对于使用PKCS #1 v1.5的系统，建议进行安全审计，并尽快迁移到更安全的加密标准。特别是对于涉及敏感数据和关键业务的系统，应优先考虑升级加密方案，以避免潜在的安全风险。

PKCS #1 v1.5作为加密界的“老古董”，虽然在历史上发挥了重要作用，但其安全性已无法满足现代加密系统的需求。我们应当认识到其局限性，及时采用更安全的加密标准，以保护数据安全和系统稳定性。