Ключевой механизм инкапсуляции

Блок-схема ключевого механизма инкапсуляции, связывающая входы и выходы алгоритмов Gen, Encap и Decap KEM. — Механизм инкапсуляции ключей для безопасной транспортировки секретного ключа. $k$ от отправителя к получателю состоит из трех алгоритмов: Gen, Encap и Decap. Кружочки, заштрихованные синим цветом — открытый ключ получателя. $pk$ и инкапсуляция $c$ — может быть безопасно раскрыт злоумышленнику, а поля закрашены красным — закрытый ключ получателя $sk$ и инкапсулированный секретный ключ $k$ — должно храниться в тайне.

В криптографии механизм инкапсуляции ключей , или KEM , представляет собой криптосистему с открытым ключом , которая позволяет отправителю генерировать короткий секретный ключ и безопасно передавать его получателю, несмотря на подслушивание и перехват злоумышленниками. ^[1]^[2]^[3]^[4]

KEM позволяет отправителю, знающему открытый ключ, одновременно генерировать короткий случайный секретный ключ и инкапсуляцию или зашифрованный текст секретного ключа с помощью алгоритма инкапсуляции KEM . KEM Получатель, которому известен закрытый ключ, соответствующий открытому ключу, может восстановить тот же случайный секретный ключ из инкапсуляции с помощью алгоритма декапсуляции . ^[1]^[2]^[3]

Целью безопасности KEM является предотвращение восстановления любой информации об инкапсулированных секретных ключах кем-либо, кто не знает закрытого ключа, даже после подслушивания или отправки получателю других инкапсуляций для изучения реакции получателя. ^[1]^[2]^[3]

Отличие от шифрования с открытым ключом

Блок-схема схемы шифрования с открытым ключом, связывающая входные и выходные данные алгоритмов генерации, шифрования и дешифрования. — Схема шифрования с открытым ключом.

Разница между схемой шифрования с открытым ключом и KEM заключается в том, что схема шифрования с открытым ключом позволяет отправителю выбирать произвольное сообщение из некоторого пространства возможных сообщений, тогда как KEM выбирает для отправителя короткий секретный ключ случайным образом. ^[1]^[2]^[3]

Отправитель может взять случайный секретный ключ, созданный KEM, и использовать его в качестве симметричного ключа для аутентифицированного шифра , зашифрованный текст которого отправляется получателю вместе с инкапсуляцией. Это служит для составления схемы шифрования с открытым ключом из KEM и шифра с аутентификацией симметричным ключом в гибридной криптосистеме . ^[1]^[2]^[3]^[5]

Большинство схем шифрования с открытым ключом, таких как RSAES-PKCS1-v1_5 , RSAES-OAEP и шифрование Эльгамала , ограничены небольшими сообщениями. ^[6]^[7] и в любом случае почти всегда используются для шифрования короткого случайного секретного ключа в гибридной криптосистеме. ^[8]^[9]^[5] И хотя схему шифрования с открытым ключом, наоборот, можно преобразовать в KEM, выбрав случайный секретный ключ и зашифровав его как сообщение, легче спроектировать и проанализировать безопасный KEM, чем разработать безопасную схему шифрования с открытым ключом как основе. Таким образом, большинство современных схем шифрования с открытым ключом основаны на KEM, а не наоборот. ^[10]^[5]

Определение

Синтаксис

КЕМ состоит из трех алгоритмов: ^[1]^[2]^[3]^[11]^[12]

Генерация ключей , $({\mathit {pk}},{\mathit {sk}}):=\operatorname {Gen} ()$ , не принимает никаких входных данных и возвращает пару открытых ключей ${\mathit {pk}}$ и закрытый ключ ${\mathit {sk}}$ .
Инкапсуляция , $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ , принимает открытый ключ ${\mathit {pk}}$ , случайным образом выбирает секретный ключ $k$ и возвращает $k$ вместе с его инкапсуляцией $c$ .
Декапсуляция , $k':=\operatorname {Decap} ({\mathit {sk}},c')$ , принимает закрытый ключ ${\mathit {sk}}$ и инкапсуляция $c'$ и любой из них возвращает инкапсулированный секретный ключ $k'$ или терпит неудачу, что иногда обозначается возвратом $\bot$ (так называемое « дно »).

Корректность

KEM является правильным , если для любой пары ключей $({\mathit {pk}},{\mathit {sk}})$ созданный $\operatorname {Gen}$ , декапсуляция инкапсуляции $c$ возвращенный $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ с высокой вероятностью дает тот же ключ $k$ , то есть, $\operatorname {Decap} ({\mathit {sk}},c)=k$ . ^[2]^[3]^[11]^[12]

Безопасность: IND-CCA

Безопасность KEM количественно определяется его неотличимостью от атаки с выбранным зашифрованным текстом , IND-CCA, которая примерно определяет, насколько лучше злоумышленник может сделать, чем подбрасывание монеты, чтобы определить, инкапсулирован ли ключ, учитывая случайный ключ и инкапсуляцию, эта инкапсуляция или является независимым случайным ключом. ^[2]^[3]^[11]^[12]

В частности, в игре IND-CCA:

Алгоритм генерации ключей запускается для генерации $({\mathit {pk}},{\mathit {sk}}):=\operatorname {Gen} ()$ .
${\mathit {pk}}$ раскрывается противнику.
Противник может запросить $\operatorname {Decap} ({\mathit {sk}},c')$ для произвольных инкапсуляций $c'$ по выбору противника.
Алгоритм инкапсуляции запускается для случайной генерации секретного ключа и инкапсуляции. $(k_{0},c):=\operatorname {Encap} ({\mathit {pk}})$ и еще один секретный ключ $k_{1}$ генерируется независимо случайным образом.
Подбрасывается честная монета, дающая результат $b\in \{0,1\}$ .
Пара $(k_{b},c)$ раскрывается противнику.
Противник может снова запросить $\operatorname {Decap} ({\mathit {sk}},c')$ для произвольных инкапсуляций $c'$ по выбору противника, исключением за $c$ .
Противник возвращает предположение $b'\in \{0,1\}$ , и выигрывает игру, если $b=b'$ .

Преимущество IND-CCA противника по $\left|\Pr[b'=b]-1/2\right|$ , то есть вероятность правильного различения инкапсулированного ключа от независимо случайно выбранного ключа, выходящая за рамки честного подбрасывания монеты.

Примеры и мотивация

ЮАР

Традиционное шифрование RSA с $t$ -битовые модули и экспонента $e$ , определяется следующим образом: ^[13]^[14]^[15]

Генерация ключей , $({\mathit {pk}},{\mathit {sk}}):=\operatorname {Gen} ()$ :

Создать $t$ -полупервичный бит $n$ с $2^{t-1}<n<2^{t}$ случайное удовлетворение $\gcd(e,\lambda (n))=1$ , где $\lambda (n)$ – функция Кармайкла .
Вычислить $d:=e^{-1}{\bmod {\lambda }}(n)$ .
Возвращаться ${\mathit {pk}}:=n$ как открытый ключ и ${\mathit {sk}}:=(n,d)$ в качестве закрытого ключа. (Доступно множество вариаций алгоритмов генерации ключей и форматов закрытых ключей. ^[16])

Шифрование $(t-1)$ -битное сообщение $m$ к открытому ключу ${\mathit {pk}}=n$ , давая $c:=\operatorname {Encrypt} ({\mathit {pk}},m)$ :

Закодировать битовую строку $m$ как целое число $r$ с $0\leq r<n$ .
Возвращаться $c:=r^{e}{\bmod {n}}$ .

Расшифровка зашифрованного текста $c'$ с секретным ключом ${\mathit {sk}}=(n,d)$ , давая $m':=\operatorname {Decrypt} ({\mathit {sk}},c')$ :

Вычислить $r':=(c')^{d}{\bmod {n}}$ .
Расшифровать целое число $r'$ как битовая строка $m'$ .

Этот наивный подход совершенно небезопасен. Например, поскольку оно нерандомизировано, оно не может быть защищено даже от атак с использованием известного открытого текста — злоумышленник может определить, отправляет ли отправитель сообщение. ATTACK AT DAWN против сообщения ATTACK AT DUSK просто зашифровав эти сообщения и сравнив зашифрованный текст.

Даже если $m$ всегда является случайным секретным ключом, например 256-битным ключом AES , когда $e$ выбран для оптимизации эффективности, поскольку $e=3$ , сообщение $m$ можно вычислить по зашифрованному тексту $c$ просто извлекая кубические корни действительных чисел, и существует множество других атак на простой RSA . ^[13]^[14] различные схемы рандомизированного заполнения В ходе попыток были разработаны , иногда неудачные, например RSAES-PKCS1-v1_5. ^[13]^[17]^[18]— чтобы сделать его безопасным для произвольных коротких сообщений $m$ . ^[13]^[14]

Поскольку сообщение $m$ почти всегда является коротким секретным ключом для с симметричным ключом, аутентифицированного шифра используемого для шифрования сообщения произвольной битовой строки, более простой подход, называемый RSA-KEM, заключается в выборе элемента $\mathbb {Z} /n\mathbb {Z}$ случайным образом и использовать это для получения секретного ключа с помощью функции получения ключа. $H$ , примерно так: ^[19]^[8]

Генерация ключей : Как указано выше.
Инкапсуляция открытого ключа ${\mathit {pk}}=n$ , давая $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ :

Выберите целое число $r$ с $0\leq r<n$ равномерно случайным образом.
Возвращаться $k:=H(r)$ и $c:=r^{e}{\bmod {n}}$ как его инкапсуляция.

Декапсуляция $c'$ с секретным ключом ${\mathit {sk}}=(n,d)$ , давая $k':=\operatorname {Decap} ({\mathit {sk}},c')$ :

Вычислить $r':=(c')^{d}{\bmod {n}}$ .
Возвращаться $k':=H(r')$ .

Этот подход проще реализовать и обеспечивает более четкое решение проблемы RSA , чем схемы заполнения, такие как RSAES-OAEP . ^[19]

Эльгамаль

Традиционное шифрование Эльгамаля определяется в мультипликативной подгруппе конечного поля. $\mathbb {Z} /p\mathbb {Z}$ с генератором $g$ порядка $q$ следующее: ^[20]^[21]

Генерация ключей , $(pk,sk):=\operatorname {Gen} ()$ :

Выбирать $x\in \mathbb {Z} /q\mathbb {Z}$ равномерно случайным образом.
Вычислить $y:=g^{x}{\bmod {p}}$ .
Возвращаться ${\mathit {sk}}:=x$ в качестве закрытого ключа и ${\mathit {pk}}:=y$ в качестве открытого ключа.

Шифрование сообщения $m\in \mathbb {Z} /p\mathbb {Z}$ к открытому ключу ${\mathit {pk}}=y$ , давая $c:=\operatorname {Encrypt} ({\mathit {pk}},m)$ :

Выбирать $r\in \mathbb {Z} /q\mathbb {Z}$ равномерно случайным образом.
Вычислить: ${\begin{aligned}t&:=y^{r}{\bmod {p}}\\c_{1}&:=g^{r}{\bmod {p}}\\c_{2}&:=(t\cdot m){\bmod {p}}\end{aligned}}$
Вернуть зашифрованный текст $c:=(c_{1},c_{2})$ .

Расшифровка зашифрованного текста $c'=(c'_{1},c'_{2})$ для секретного ключа ${\mathit {sk}}=x$ , давая $m':=\operatorname {Decrypt} ({\mathit {sk}},c')$ :

Проиграть и вернуться $\bot$ если $(c'_{1})^{(p-1)/q}\not \equiv 1{\pmod {p}}$ или если $(c'_{2})^{(p-1)/q}\not \equiv 1{\pmod {p}}$ , то есть, если $c'_{1}$ или $c'_{2}$ не входит в подгруппу, созданную $g$ .
Вычислить $t':=(c'_{1})^{x}{\bmod {p}}$ .
Возвращаться $m':=t^{-1}c'_{2}{\bmod {p}}$ .

Это соответствует синтаксису схемы шифрования с открытым ключом, ограниченной сообщениями в пространстве. $\mathbb {Z} /p\mathbb {Z}$ (что ограничивает его сообщением размером в несколько сотен байт для типичных значений $p$ ). Проверяя зашифрованные тексты при расшифровке, он позволяет избежать утечки битов закрытого ключа. $x$ через злонамеренно выбранные зашифрованные тексты вне группы, созданные $g$ .

Однако это не позволяет добиться неотличимости от атаки с выбранным зашифрованным текстом . Например, противник, имеющий зашифрованный текст $c=(c_{1},c_{2})$ за неизвестное сообщение $m$ может тривиально расшифровать его, запросив у оракула дешифрования отдельный зашифрованный текст $c':=(c_{1},c_{2}g)$ , давая связанный открытый текст $m':=mg{\bmod {p}}$ , из которого $m$ может быть восстановлен с помощью $m=m'g^{-1}{\bmod {p}}$ . ^[20]

Традиционное шифрование Эльгамаля можно адаптировать к настройке эллиптической кривой, но для этого требуется какой-то способ обратимого кодирования сообщений в виде точек на кривой, что менее тривиально, чем кодирование сообщений в виде целых чисел mod. $p$ . ^[22]

Поскольку сообщение $m$ почти всегда является коротким секретным ключом для с симметричным ключом, аутентифицированного шифра используемого для шифрования сообщения произвольной битовой строки, более простой подход состоит в том, чтобы получить секретный ключ из $t$ и обойтись без $m$ и $c_{2}$ вообще, как КЕМ, используя функцию деривации ключей $H$ : ^[1]

Генерация ключей : Как указано выше.
Инкапсуляция открытого ключа ${\mathit {pk}}=y$ , давая $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ :

Выбирать $r\in \mathbb {Z} /q\mathbb {Z}$ равномерно случайным образом.
Вычислить $t:=y^{r}{\bmod {p}}$ .
Возвращаться $k:=H(t)$ и $c:=g^{r}{\bmod {p}}$ как его инкапсуляция.

Декапсуляция $c'$ с секретным ключом ${\mathit {sk}}=x$ , давая $k':=\operatorname {Decap} ({\mathit {sk}},c')$ :

Проиграть и вернуться $\bot$ если $(c')^{(p-1)/q}\not \equiv 1{\pmod {p}}$ , то есть, если $c'$ не входит в подгруппу, созданную $g$ .
Вычислить $t':=(c')^{x}{\bmod {p}}$ .
Возвращаться $k':=H(t')$ .

В сочетании с аутентифицированным шифром для шифрования сообщений произвольной битовой строки такая комбинация по сути представляет собой интегрированную схему шифрования . Поскольку для этого KEM требуется только односторонняя функция получения ключа для хеширования случайных элементов группы, для которой он определен, $\mathbb {Z} /p\mathbb {Z}$ в этом случае, а не обратимое кодирование сообщений, его легко расширить до более компактных и эффективных групп эллиптических кривых для той же безопасности, что и в ECIES, Elliptic Curve Integrated Encryption Scheme .

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г Гэлбрейт, Стивен (2012). «§23.1.1: Парадигма KEM/DEM». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Шуп, Виктор (май 2000 г.). Пренил, Барт (ред.). Использование хэш-функций в качестве защиты от атаки с использованием выбранного зашифрованного текста . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Том. 1807. Брюгге, Бельгия: Спрингер. стр. 275–288. дои : 10.1007/3-540-45539-6_19 . ISBN 978-3-540-67517-4 .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Крамер, Рональд ; Шуп, Виктор (2003). «Разработка и анализ практических схем шифрования с открытым ключом, обеспечивающих защиту от атак с использованием адаптивно выбранного зашифрованного текста» . SIAM Journal по вычислительной технике . 33 (1). Общество промышленной и прикладной математики : 167–226. дои : 10.1137/S0097539702403773 .
^ FIPS 203 (проект): Стандарт механизма инкапсуляции ключей на основе модульной решетки (PDF) , Национальный институт стандартов и технологий , 24 августа 2023 г., номер документа : 10.6028/NIST.FIPS.203.ipd
^ Jump up to: ^а ^б ^с Барнс, Р.; Бхаргаван, К.; Липп, Б.; Вуд, К. (февраль 2022 г.). Гибридное шифрование с открытым ключом . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC9180 . РФК 9180 .
^ Калиски, Б. ; Йонссон, Дж.; Раш, А. (ноябрь 2016 г.). Мориарити, К. (ред.). PKCS #1: Спецификации криптографии RSA, версия 2.2 . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC8017 . РФК 8017 .
^ Менезес, Альфред Дж .; ван Оршот, Пол С .; Ванстон, Скотт А. (октябрь 1996 г.). «8. Шифрование с открытым ключом». Справочник по прикладной криптографии (PDF) . ЦРК Пресс. стр. 283–319. ISBN 0-8493-8523-7 .
^ Jump up to: ^а ^б Фергюсон, Нильс ; Коно, Тадаёси ; Шнайер, Брюс (2010). «12. РСА». Криптографическая инженерия . Уайли. стр. 195–211. ISBN 978-0-470-47424-2 .
^ Каллас, Дж . ; Доннерхаке, Л.; Финни, Х .; Шоу, Д.; Тайер, Р. (ноябрь 2007 г.). Формат сообщения OpenPGP . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC4880 . РФК 4880 .
^ «Постквантовая криптография: часто задаваемые вопросы» . Национальный институт стандартов и технологий . 2024-07-19. Архивировано из оригинала 26 июня 2024 г. Проверено 20 июля 2024 г.
^ Jump up to: ^а ^б ^с Дент, Александр В. (2002), Руководство дизайнера по KEM , Архив электронной печати криптологии, Международная ассоциация криптологических исследований
^ Jump up to: ^а ^б ^с Хофхайнц, Деннис; Хевельманс, Катрин; Кильц, Эйке (ноябрь 2017 г.). Калай, Яэль; Рейзин, Леонид (ред.). Модульный анализ преобразования Фудзисаки-Окамото . Теория криптографии – TCC 2017 . Конспекты лекций по информатике. Том. 10677. Балтимор, Мэриленд, США: Спрингер. стр. 341–371. дои : 10.1007/978-3-319-70500-2_12 . ISBN 978-3-319-70499-9 .
^ Jump up to: ^а ^б ^с ^д Омассон, Жан-Филипп (2018). «10. РСА». Серьезная криптография: практическое введение в современное шифрование . Нет крахмального пресса. стр. 181–199. ISBN 978-1-59327-826-7 .
^ Jump up to: ^а ^б ^с Стинсон, Дуглас Р. (2006). «5. Криптосистема RSA и факторизация целых чисел». Теория и практика криптографии (3-е изд.). Чепмен и Холл/CRC. стр. 161–232. ISBN 978-1-58488-508-5 .
^ Ривест, РЛ ; Шамир, А. ; Адлеман, Л. (1 февраля 1978 г.). «Метод получения цифровых подписей и криптосистем с открытым ключом» (PDF) . Коммуникации АКМ . 21 (2). Ассоциация компьютерной техники: 120–126. дои : 10.1145/359340.359342 .
^ Швенда, Питер; Герман, Матуш; Секан, Питер; Квасьневский, Рудольф; Форманек, Давид; Комарек, Дэвид; Матяш, Вашек (август 2016 г.). Вопрос на миллион ключей: исследование происхождения открытых ключей RSA . 25-й симпозиум USENIX по безопасности. Остин, Техас, США: Ассоциация USENIX. стр. 893–910. ISBN 978-1-931971-32-4 .
^ Бляйхенбахер, Дэниел (август 1998 г.). Кравчик, Хьюго (ред.). Атаки с использованием выбранного зашифрованного текста против протоколов, основанных на стандарте шифрования RSA PKCS #1 . Достижения в криптологии – КРИПТО '98 . Конспекты лекций по информатике. Том. 1462. Санта-Барбара, Калифорния, США: Спрингер. стр. 1–12. дои : 10.1007/BFb0055716 . ISBN 978-3-540-64892-5 .
^ Корон, Жан-Себастьян; Джой, Марк; Наккеш, Дэвид ; Пайе, Паскаль (май 2000 г.). Пренил, Барт (ред.). Новые атаки на шифрование PKCS#1 v1.5 . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Полный. 1807. Брюгге, Бельгия: Спрингер. стр. 369–381. дои : 10.1007/3-540-45539-6_25 . ISBN 978-3-540-67517-4 .
^ Jump up to: ^а ^б Шуп, Виктор (2001), Предложение по стандарту ISO для шифрования с открытым ключом (версия 2.1) , Архив электронной печати криптологии, Международная ассоциация криптологических исследований
^ Jump up to: ^а ^б Гэлбрейт, Стивен (2012). «§20.3: Учебник по шифрованию Эльгамаля». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .
^ Эльгамал, Тахер (август 1984 г.). Блейкли, Джордж Роберт ; Чаум, Дэвид (ред.). Криптосистема с открытым ключом и схема подписи на основе дискретных логарифмов . Достижения в криптологии – КРИПТО 1984 . Конспекты лекций по информатике. Том. 196. Санта-Барбара, Калифорния, США: Спрингер. стр. 10–18. дои : 10.1007/3-540-39568-7_2 . ISBN 978-3-540-15658-1 .
^ Коблиц, Нил (январь 1987 г.). «Криптосистемы с эллиптической кривой» (PDF) . Математика вычислений . 48 (177). Американское математическое общество : 203–209. дои : 10.1090/S0025-5718-1987-0866109-5 .

См. также

[galbraith2012mathpkcbook-kemdem-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г Гэлбрейт, Стивен (2012). «§23.1.1: Парадигма KEM/DEM». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .

[shoup2000hashhedgecca-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Шуп, Виктор (май 2000 г.). Пренил, Барт (ред.). Использование хэш-функций в качестве защиты от атаки с использованием выбранного зашифрованного текста . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Том. 1807. Брюгге, Бельгия: Спрингер. стр. 275–288. дои : 10.1007/3-540-45539-6_19 . ISBN 978-3-540-67517-4 .

[cramer-shoup2003pkecca-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Крамер, Рональд ; Шуп, Виктор (2003). «Разработка и анализ практических схем шифрования с открытым ключом, обеспечивающих защиту от атак с использованием адаптивно выбранного зашифрованного текста» . SIAM Journal по вычислительной технике . 33 (1). Общество промышленной и прикладной математики : 167–226. дои : 10.1137/S0097539702403773 .

[fips203draft-4] FIPS 203 (проект): Стандарт механизма инкапсуляции ключей на основе модульной решетки (PDF) , Национальный институт стандартов и технологий , 24 августа 2023 г., номер документа : 10.6028/NIST.FIPS.203.ipd

[rfc9180-5] Jump up to: ^а ^б ^с Барнс, Р.; Бхаргаван, К.; Липп, Б.; Вуд, К. (февраль 2022 г.). Гибридное шифрование с открытым ключом . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC9180 . РФК 9180 .

[pkcs1-6] Калиски, Б. ; Йонссон, Дж.; Раш, А. (ноябрь 2016 г.). Мориарити, К. (ред.). PKCS #1: Спецификации криптографии RSA, версия 2.2 . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC8017 . РФК 8017 .

[menezes-vanoorschoot-vanstone1996hac-7] Менезес, Альфред Дж .; ван Оршот, Пол С .; Ванстон, Скотт А. (октябрь 1996 г.). «8. Шифрование с открытым ключом». Справочник по прикладной криптографии (PDF) . ЦРК Пресс. стр. 283–319. ISBN 0-8493-8523-7 .

[ferguson-kohno-schneier2010cryptoengineering-8] Jump up to: ^а ^б Фергюсон, Нильс ; Коно, Тадаёси ; Шнайер, Брюс (2010). «12. РСА». Криптографическая инженерия . Уайли. стр. 195–211. ISBN 978-0-470-47424-2 .

[rfc4880-9] Каллас, Дж . ; Доннерхаке, Л.; Финни, Х .; Шоу, Д.; Тайер, Р. (ноябрь 2007 г.). Формат сообщения OpenPGP . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC4880 . РФК 4880 .

[nist-pqc-faqs-10] «Постквантовая криптография: часто задаваемые вопросы» . Национальный институт стандартов и технологий . 2024-07-19. Архивировано из оригинала 26 июня 2024 г. Проверено 20 июля 2024 г.

[dent2002designerkem-11] Jump up to: ^а ^б ^с Дент, Александр В. (2002), Руководство дизайнера по KEM , Архив электронной печати криптологии, Международная ассоциация криптологических исследований

[hofheinz-hövelmanns-kiltz2017modularfo-12] Jump up to: ^а ^б ^с Хофхайнц, Деннис; Хевельманс, Катрин; Кильц, Эйке (ноябрь 2017 г.). Калай, Яэль; Рейзин, Леонид (ред.). Модульный анализ преобразования Фудзисаки-Окамото . Теория криптографии – TCC 2017 . Конспекты лекций по информатике. Том. 10677. Балтимор, Мэриленд, США: Спрингер. стр. 341–371. дои : 10.1007/978-3-319-70500-2_12 . ISBN 978-3-319-70499-9 .

[aumasson2018seriouscrypto-13] Jump up to: ^а ^б ^с ^д Омассон, Жан-Филипп (2018). «10. РСА». Серьезная криптография: практическое введение в современное шифрование . Нет крахмального пресса. стр. 181–199. ISBN 978-1-59327-826-7 .

[stinson2006cryptotheorypracticebook-14] Jump up to: ^а ^б ^с Стинсон, Дуглас Р. (2006). «5. Криптосистема RSA и факторизация целых чисел». Теория и практика криптографии (3-е изд.). Чепмен и Холл/CRC. стр. 161–232. ISBN 978-1-58488-508-5 .

[rsa1978method-15] Ривест, РЛ ; Шамир, А. ; Адлеман, Л. (1 февраля 1978 г.). «Метод получения цифровых подписей и криптосистем с открытым ключом» (PDF) . Коммуникации АКМ . 21 (2). Ассоциация компьютерной техники: 120–126. дои : 10.1145/359340.359342 .

[svenda2016mkq-16] Швенда, Питер; Герман, Матуш; Секан, Питер; Квасьневский, Рудольф; Форманек, Давид; Комарек, Дэвид; Матяш, Вашек (август 2016 г.). Вопрос на миллион ключей: исследование происхождения открытых ключей RSA . 25-й симпозиум USENIX по безопасности. Остин, Техас, США: Ассоциация USENIX. стр. 893–910. ISBN 978-1-931971-32-4 .

[bleichenbacher1998pkcs1cca-17] Бляйхенбахер, Дэниел (август 1998 г.). Кравчик, Хьюго (ред.). Атаки с использованием выбранного зашифрованного текста против протоколов, основанных на стандарте шифрования RSA PKCS #1 . Достижения в криптологии – КРИПТО '98 . Конспекты лекций по информатике. Том. 1462. Санта-Барбара, Калифорния, США: Спрингер. стр. 1–12. дои : 10.1007/BFb0055716 . ISBN 978-3-540-64892-5 .

[coron-joye-naccache-paillier2000newpkcs1attacks-18] Корон, Жан-Себастьян; Джой, Марк; Наккеш, Дэвид ; Пайе, Паскаль (май 2000 г.). Пренил, Барт (ред.). Новые атаки на шифрование PKCS#1 v1.5 . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Полный. 1807. Брюгге, Бельгия: Спрингер. стр. 369–381. дои : 10.1007/3-540-45539-6_25 . ISBN 978-3-540-67517-4 .

[shoup2001isoproposal-19] Jump up to: ^а ^б Шуп, Виктор (2001), Предложение по стандарту ISO для шифрования с открытым ключом (версия 2.1) , Архив электронной печати криптологии, Международная ассоциация криптологических исследований

[galbraith2012mathpkcbook-elgamal-20] Jump up to: ^а ^б Гэлбрейт, Стивен (2012). «§20.3: Учебник по шифрованию Эльгамаля». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .

[elgamal1985pke-21] Эльгамал, Тахер (август 1984 г.). Блейкли, Джордж Роберт ; Чаум, Дэвид (ред.). Криптосистема с открытым ключом и схема подписи на основе дискретных логарифмов . Достижения в криптологии – КРИПТО 1984 . Конспекты лекций по информатике. Том. 196. Санта-Барбара, Калифорния, США: Спрингер. стр. 10–18. дои : 10.1007/3-540-39568-7_2 . ISBN 978-3-540-15658-1 .

[koblitz1987ecc-22] Коблиц, Нил (январь 1987 г.). «Криптосистемы с эллиптической кривой» (PDF) . Математика вычислений . 48 (177). Американское математическое общество : 203–209. дои : 10.1090/S0025-5718-1987-0866109-5 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]