מודל אורקל אקראי – הבדלי גרסאות

תוכן שנמחק תוכן שנוסף
שורה 32:
הצעה טובה יותר של בלייר ורוגווי נקראת OAE{{הערה|[https://cseweb.ucsd.edu/~mihir/papers/oae.pdf Optimal Asymmetric Encryption - How to Encrypt with RSA]}} קיצור של Optimal Asymmetric Encryption היא כדלהלן:
:<math>E^{G,H}(x)=f(x\oplus G(r) \ \| \ r\oplus H(x\oplus G(r)))</math>
שיטה זו 'אופטימלית' במובן שהיא יעילה כמו הקודמות והתוצאה נשמרת בגודל כמעט זהה וניתנה הוכחה לביטחונה במסגרת מודל אורקל אקראי כמו כן נוספה הגדרה שנקראת plaintext-aware שאומרת שהסכימה בטוחה באופן כזה שלא ניתן לייצר טקסט מוצפן תקף שפונקציית הפענוח תקבל מבלי לדעת את הטקסט המקורי. על בסיס הרעיון הזה עודכן תקן PKCS שבו נוספה סכימת ריפוד שנקראת RSA-OAES. ההוכחה שניתנה על ידי המחברים לא הייתה נכונה כפי שהתברר על ידי [[ויקטור שופ|שופ]]{{הערה|[http://www.shoup.net/papers/oaep.pdf Shoup, V. (2001). “OAEP reconsidered.” Advances in Cryptology—CRYPTO 2001, Lecture Notes in Computer Science, vol. 2139, ed. J. Kilian. Springer-Verlag, Berlin, 239–259]}}. למרות זאת מסתבר שהגרסה שמתשמשתשמשתמשת ב-RSA למרות זאת בטוחה וזאת בעיקר בגלל תכונות של RSA.
 
==ראו גם==