使用相同的RSA密钥对进行签名和加密

#1 楼

最简洁的答案是不。这是密码学的一般智慧：不要将同一密钥用于多于一件的事情。 “事物”表示一种特定的方案，其中所有参数都与密钥本身和消息大小分开固定。不要使用相同的密钥进行加密和签名； PKCS＃1v1.5和PSS不要使用相同的密钥；请勿将相同的键用于不同的哈希函数。

如果您使用原始RSA操作（$ M ^ d \ bmod n $或$ M ^ e \ bmod n $），则不会，使用相同的密钥是不安全的，因为攻击者可能诱使私钥持有者签署消息$ M $（即生成$ M ^ d $），而该消息实际上是加密的消息（$ M = P ^ e $），因此，攻击者可以恢复原始的纯文本（$（P ^ e）^ d = P $）。 （双重攻击会导致伪造。）但是，原始RSA操作还有其他一系列缺陷，使其作为加密或签名方案不安全。

基于RSA使用的加密和签名方案填充模式。标准填充模式包括判别式，因此加密有效载荷看起来不像签名有效载荷。因此，从密码学角度来讲，使用相同的RSA密钥对进行签名和加密在技术上是安全的，前提是密钥对可以安全地用于签名和安全地用于加密。在这里，我的意思是从狭义上讲是安全的，假设一个“完美”的世界，其中所有应该保密的东西仍然是秘密。

问题是，这个世界并不完美。 RSA的实现可能会通过边信道泄漏部分信息。密钥被泄露。使用RSA的协议有时会以非常脆弱的方式使用它。

对加密和签名使用相同的密钥可能会加剧漏洞。 RSA有一个弱点历史，不是在数学算法本身上（一旦使用适当的填充），而是在实现方式上。尤其需要解密，因为某些输入是无效的，仅显示输入是否有效的行为就可以允许oracle攻击，其中最著名的是Bleichenbacher。 TLS¹中使用RSA解密的方式加剧了这一点，因为它造成了无效的第二个原因：密文对于解密操作可能无效，或者对于解密有效，但是解密为无效内容。这导致了针对使用RSA解密的TLS密码套件的一系列实际攻击。对加密和签名使用相同的密钥有两个缺点。最明显的是，如果解密中的漏洞允许攻击者恢复密钥，那么依赖签名的任何内容也将被破坏。不太明显的是，即使攻击者无法恢复密钥，但可以获取有关解密无效密文的部分信息，它们也可能伪造签名。例如，使用Bleichenbacher攻击的CAT变体就是这种情况，因此，即使服务器不对RSA签名密码套件使用相同的密钥，即使不接受RSA解密密码套件的客户端也仍然存在风险。

另一个原因是密钥管理。签名密钥和加密密钥在备份，访问控制，否认等方面有不同的要求。在发生灾难性事件时，签名密钥的后备状态是销毁它，以避免将来出现伪造，因此签名密钥不需要广泛备份。相反，加密密钥的后备方法是保留它以解密现有文档，因此需要可靠地对其进行备份。万一签名密钥泄露，则现有文件不受影响；只有新产生的签名才能被拒绝。相反，在加密密钥泄漏的情况下，所有先前存在的文档的机密性都会受到威胁，而新文档仅需要使用不同的密钥进行加密。约束向不同的方向推送，因此需要对密钥进行不同的管理，它们必须有所不同。

¹，即，名称以TLS_RSA_开头的密码套件。名称以TLS_(EC)DH(E)_RSA开头的密码套件使用RSA签名，而不是RSA解密，并且功能更强大。

#2 楼

简短的答案：
否，这不安全，请不要这样做。

更长的答案：
您确实可以将RSA密钥对用于这两种操作。在许多应用程序和方案中都使用此方法。有Web Services或Single Sign-On实施，它们使您必须对两个操作使用相同的密钥对。 X.509证书不允许您（默认情况下）确定是否必须将给定的RSA密钥用于加密/解密或签名/验证。可以仅使用特定的扩展名或证书字段来强制执行此操作，而这些扩展名或证书字段不是强制性的...

但是，在密码学中，对于两个操作使用相同的密钥通常是非常不好的做法。例如，如果其中一个操作遭到破坏，则可能破坏使用同一密钥的其他操作的安全性。

RSA密钥设置中有一个实际示例。想象一下，一个服务器使用RSA密钥解密密文并签署消息。想象一下，此服务器容易受到特定的选择密文攻击（Bleichenbacher攻击），该攻击使对手可以在不知道服务器私钥的情况下解密任意密文。如果服务器使用相同的RSA密钥对进行加密/解密和签名/验证，则攻击者也可以使用此攻击创建任意服务器签名。如果服务器将不同的RSA密钥对用于这些操作，则将无法实现。

有关更多详细信息，请参见我们的论文：http://www.nds.ruhr-uni-bochum.de/ research / publications / backwards-compatibility /
第四部分讨论了公共密钥设置中的密钥重用问题。 5.3节显示了这些攻击及其影响的实际示例。 5.4和5.5节讨论了对策及其在不同供应商中的应用。