19、TLS 中 RSA 加密的安全性分析

TLS 中 RSA 加密的安全性分析

1. 基础函数与加密操作

在 TLS 中，涉及到多个重要的基础函数，其中 $\Omega(w, \sigma, l) = g(w_L, \sigma, l) \oplus h(w_R, \sigma, l)$，这里的 $g$ 和 $h$ 分别是基于 MD5 和 SHA - 1 的 HMAC 伪随机函数。此构造的目的是，即便其中一个底层伪随机函数较弱，也能保证一定的安全性。

函数 $\Delta$ 输出的是从输入随机数、标签和密文派生的字符串的 SHA - 1 哈希值和 MD5 哈希值的拼接。不过，后续的结果并不依赖于 $\Delta$ 函数。

设 RSA - P1 为指定的加密方案，$N$ 是 RSA 模数，$e$ 是 RSA 公钥指数，定义 $f(x) = x^e \bmod N$。在 TKEM1 的符号体系下，固定 $R = B_{384}$，$k_t = k_r = 384$，$k_z = 96$，而 $k_s$ 取决于所选的密码套件。

TKEM2 加密操作需要一个 16 位的版本号 $v$，为简化，假设版本号固定。随机数 $\rho$ 是两个 32 字节字符串 $\rho_1$ 和 $\rho_2$ 的拼接（分别由客户端和服务器提供），前 4 字节表示自 1970 年 1 月 1 日以来的秒数，其余随机生成。TKEM2 加密操作流程如下：

TKEM2 - Encrypt(ρ, L)
– r0 ← v ∈ {0, 1}^{16}; r1 ←R {0, 1}^{k_r - 16}; r = r0∥r1;
– y ← RSA - P1