碰撞前有多少个RSA密钥？

#1 楼

对于实际的密钥大小和良好的随机数生成器，永远不要发生RSA密钥冲突。

假定使用1024位RSA密钥；从中派生的素数约为512位。如果我们假设每500个512位数字是一个质数，并且假设设置了512位数字中的最高有效位，我们仍然会得到大约$ 2 ^ {500} $或$ 10 ^ {150} $个不同的质数。如果将生日问题应用到这些数字，那么您将期望RSA密钥在每个$ 2 ^ {250} $或$ 10 ^ {75} $密钥生成中具有相同的质数。相同的RSA密钥更加罕见。

它足够大，在实践中永远不会发生。不幸的是，造成碰撞的不良PRNG确实会发生，但是您无法将其转化为概率。

我忽略了计算中的一些小因素，这些小因素不会对结果产生重大影响。


GUID冲突的可能性更高。 V6 GUID是随机的，除了6个保留位。因此，有$ 2 ^ {122} $个不同的V4 GUID。如果您创建了一个庞大但可实现的GUID，而您拥有专门用于创建随机GUID的庞大系统，则可能会发生冲突。在普通大小的系统中，不太可能发生冲突，因为GUID只是整个安全系统的一部分。


理论上，创建无关紧要只要您为PRNG注入足够的熵，就可以同时使用多个RSA密钥对。但是，如果种子播种不好-这样除了系统时间外没有太多熵-那么同时随机抽取可能会成为问题。 C＃中最常见的与随机性相关的问题之一是，为什么快速连续创建的两个System.Random实例返回相同的序列。如果用于RSA密钥对创建的随机序列相同，则RSA密钥对也将相同。

#2 楼

如果某人生成与其他人相同的RSA密钥对，


则...某人将具有与某人相同的RSA密钥对。


当某人生成密钥对时，他/她如何确定没有人生成此密钥对？


他/她可以完全相同的方式生成任何唯一值。

证明：让唯一值作为密钥对，或者让秘密密钥作为空字符串，让公共密钥作为唯一值。

请参阅GUID和UUID。

#3 楼

这两个问题的答案都在于理解熵，以及如何收集熵以创建密钥。 （当然，该实现在没有错误的情况下做得如何。）每个操作系统都会创建并维护一个熵池，在生成密钥的过程中会从中吸收熵（也称为“随机性”）。同样，就您请求的密钥位数而言，用于计算密钥的质数越大，需要将其作为攻击因素。这就是为什么最好坚持使用2048位RSA（相对于DSA的限制为1024）。

因此，更具体地回答您的问题：如果您假设没有人犯错，对算法进行编码，那么最有可能不会生成重复密钥的第一项是，操作系统正在对自身不同部分的大量状态进行采样，以创建随机数（熵）来创建密钥。

尽可能看一下RSA公共模数的唯一性。 $ 2 ^ {2026} $看起来很大吗？

如果您真的想理解，这套讲义（PDF）解释了如何使用OS熵池中的随机数来计算RSA素数$ p $和$ q $是公钥/私钥对的一部分，需要考虑这些因素以攻击算法。普渡大学讲座的12.3.1节介绍了“在RSA密码术中选择素数$ p $和$ q $的计算步骤”。

#4 楼

现在，建议RSA的标准密钥大小为2048位。这足够大，以至于在实践中永远不会发生碰撞，其中暴力破解力为2 ^ {2048}。即使我们考虑到某些允许用一半密钥大小或生日攻击将其破坏的攻击，该数字也相当安全。但是，密钥越大，开销越大，效率就越低。