Ключевой механизм инкапсуляции

Блок-схема ключевого механизма инкапсуляции, связывающая входы и выходы алгоритмов Gen, Encap и Decap KEM. — Механизм инкапсуляции ключей для безопасной транспортировки секретного ключа. $k$ от отправителя к получателю состоит из трех алгоритмов: Gen, Encap и Decap. Кружочки, заштрихованные синим цветом — открытый ключ получателя. $pk$ и инкапсуляция $c$ — может быть безопасно раскрыт злоумышленнику, а поля закрашены красным — закрытый ключ получателя $sk$ и инкапсулированный секретный ключ $k$ — должно храниться в тайне.

В криптографии механизм инкапсуляции ключей , или KEM , представляет собой криптосистему с открытым ключом , которая позволяет отправителю генерировать короткий секретный ключ и безопасно передавать его получателю, несмотря на подслушивание и перехват злоумышленниками. ^[1]^[2]^[3]^[4]

KEM позволяет отправителю, знающему открытый ключ, одновременно генерировать короткий случайный секретный ключ и инкапсуляцию или зашифрованный текст секретного ключа с помощью алгоритма инкапсуляции KEM . KEM Получатель, которому известен закрытый ключ, соответствующий открытому ключу, может восстановить тот же случайный секретный ключ из инкапсуляции с помощью алгоритма декапсуляции . ^[1]^[2]^[3]

Целью безопасности KEM является предотвращение восстановления любой информации об инкапсулированных секретных ключах кем-либо, кто не знает закрытого ключа, даже после подслушивания или отправки получателю других инкапсуляций для изучения реакции получателя. ^[1]^[2]^[3]

Отличие от шифрования с открытым ключом

Блок-схема схемы шифрования с открытым ключом, связывающая входные и выходные данные алгоритмов генерации, шифрования и дешифрования. — Схема шифрования с открытым ключом.

Разница между схемой шифрования с открытым ключом и KEM заключается в том, что схема шифрования с открытым ключом позволяет отправителю выбирать произвольное сообщение из некоторого пространства возможных сообщений, тогда как KEM выбирает для отправителя короткий секретный ключ случайным образом. ^[1]^[2]^[3]

Отправитель может взять случайный секретный ключ, созданный KEM, и использовать его в качестве симметричного ключа для аутентифицированного шифра , зашифрованный текст которого отправляется получателю вместе с инкапсуляцией.Это служит для составления схемы шифрования с открытым ключом из KEM и шифра с аутентификацией симметричным ключом в гибридной криптосистеме . ^[1]^[2]^[3]^[5]

Большинство схем шифрования с открытым ключом, таких как RSAES-PKCS1-v1_5 , RSAES-OAEP и шифрование Эльгамала , ограничены небольшими сообщениями. ^[6]^[7] и в любом случае почти всегда используются для шифрования короткого случайного секретного ключа в гибридной криптосистеме. ^[8]^[9]^[5]И хотя схему шифрования с открытым ключом, наоборот, можно преобразовать в KEM, выбрав случайный секретный ключ и зашифровав его как сообщение, легче спроектировать и проанализировать безопасный KEM, чем разработать безопасную схему шифрования с открытым ключом как основе.Таким образом, большинство современных схем шифрования с открытым ключом основаны на KEM, а не наоборот. ^[10]^[5]

Определение

Синтаксис

КЕМ состоит из трех алгоритмов: ^[1]^[2]^[3]^[11]^[12]

Генерация ключей , $({\mathit {pk}},{\mathit {sk}}):=\operatorname {Gen} ()$ , не принимает никаких входных данных и возвращает пару открытых ключей ${\mathit {pk}}$ и закрытый ключ ${\mathit {sk}}$ .
Инкапсуляция , $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ , принимает открытый ключ ${\mathit {pk}}$ , случайным образом выбирает секретный ключ $k$ и возвращает $k$ вместе с его инкапсуляцией $c$ .
Декапсуляция , $k':=\operatorname {Decap} ({\mathit {sk}},c')$ , принимает закрытый ключ ${\mathit {sk}}$ и инкапсуляция $c'$ и любой из них возвращает инкапсулированный секретный ключ $k'$ или терпит неудачу, что иногда обозначается возвратом $\bot$ (так называемое « дно »).

Корректность

KEM является правильным , если для любой пары ключей $({\mathit {pk}},{\mathit {sk}})$ созданный $\operatorname {Gen}$ , декапсуляция инкапсуляции $c$ возвращенный $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ с высокой вероятностью дает тот же ключ $k$ , то есть, $\operatorname {Decap} ({\mathit {sk}},c)=k$ . ^[2]^[3]^[11]^[12]

Безопасность: IND-CCA

Безопасность KEM количественно определяется его неотличимостью от атаки с выбранным зашифрованным текстом , IND-CCA, которая примерно определяет, насколько лучше злоумышленник может сделать, чем подбрасывание монеты, чтобы определить, инкапсулирован ли ключ, учитывая случайный ключ и инкапсуляцию, эта инкапсуляция или является независимым случайным ключом. ^[2]^[3]^[11]^[12]

В частности, в игре IND-CCA:

Алгоритм генерации ключей запускается для генерации $({\mathit {pk}},{\mathit {sk}}):=\operatorname {Gen} ()$ .
${\mathit {pk}}$ раскрывается противнику.
Противник может запросить $\operatorname {Decap} ({\mathit {sk}},c')$ для произвольных инкапсуляций $c'$ по выбору противника.
Алгоритм инкапсуляции запускается для случайной генерации секретного ключа и инкапсуляции. $(k_{0},c):=\operatorname {Encap} ({\mathit {pk}})$ и еще один секретный ключ $k_{1}$ генерируется независимо случайным образом.
Подбрасывается честная монета, дающая результат $b\in \{0,1\}$ .
Пара $(k_{b},c)$ раскрывается противнику.
Противник может снова запросить $\operatorname {Decap} ({\mathit {sk}},c')$ для произвольных инкапсуляций $c'$ по выбору противника, исключением за $c$ .
Противник возвращает предположение $b'\in \{0,1\}$ , и выигрывает игру, если $b=b'$ .

Преимущество IND-CCA противника по $\left|\Pr[b'=b]-1/2\right|$ , то есть вероятность правильного различения инкапсулированного ключа от независимо случайно выбранного ключа, выходящая за рамки честного подбрасывания монеты.

Примеры и мотивация

ЮАР

Традиционное шифрование RSA с $t$ -битовые модули и экспонента $e$ , определяется следующим образом: ^[13]^[14]^[15]

Генерация ключей , $({\mathit {pk}},{\mathit {sk}}):=\operatorname {Gen} ()$ :

Создать $t$ -полупервичный бит $n$ с $2^{t-1}<n<2^{t}$ случайное удовлетворение $\gcd(e,\lambda (n))=1$ , где $\lambda (n)$ – функция Кармайкла .
Вычислить $d:=e^{-1}{\bmod {\lambda }}(n)$ .
Возвращаться ${\mathit {pk}}:=n$ как открытый ключ и ${\mathit {sk}}:=(n,d)$ в качестве закрытого ключа. (Доступно множество вариаций алгоритмов генерации ключей и форматов закрытых ключей. ^[16])

Шифрование $(t-1)$ -битное сообщение $m$ к открытому ключу ${\mathit {pk}}=n$ , давая $c:=\operatorname {Encrypt} ({\mathit {pk}},m)$ :

Закодировать битовую строку $m$ как целое число $r$ с $0\leq r<n$ .
Возвращаться $c:=r^{e}{\bmod {n}}$ .

Расшифровка зашифрованного текста $c'$ с секретным ключом ${\mathit {sk}}=(n,d)$ , давая $m':=\operatorname {Decrypt} ({\mathit {sk}},c')$ :

Вычислить $r':=(c')^{d}{\bmod {n}}$ .
Расшифровать целое число $r'$ как битовая строка $m'$ .

Этот наивный подход совершенно небезопасен.Например, поскольку оно нерандомизировано, оно не может быть защищено даже от атак с использованием известного открытого текста — злоумышленник может определить, отправляет ли отправитель сообщение. ATTACK AT DAWN против сообщения ATTACK AT DUSK просто зашифровав эти сообщения и сравнив зашифрованный текст.

Даже если $m$ всегда является случайным секретным ключом, например 256-битным ключом AES , когда $e$ выбран для оптимизации эффективности, поскольку $e=3$ , сообщение $m$ можно вычислить по зашифрованному тексту $c$ просто извлекая кубические корни действительных чисел, и существует множество других атак на простой RSA . ^[13]^[14] различные схемы рандомизированного заполнения В ходе попыток были разработаны , иногда неудачные, например RSAES-PKCS1-v1_5. ^[13]^[17]^[18]— чтобы сделать его безопасным для произвольных коротких сообщений $m$ . ^[13]^[14]

Поскольку сообщение $m$ почти всегда является коротким секретным ключом для с симметричным ключом, аутентифицированного шифра используемого для шифрования сообщения произвольной битовой строки, более простой подход, называемый RSA-KEM, заключается в выборе элемента $\mathbb {Z} /n\mathbb {Z}$ случайным образом и использовать это для получения секретного ключа с помощью функции получения ключа. $H$ , примерно так: ^[19]^[8]

Генерация ключей : Как указано выше.
Инкапсуляция открытого ключа ${\mathit {pk}}=n$ , давая $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ :

Выберите целое число $r$ с $0\leq r<n$ равномерно случайным образом.
Возвращаться $k:=H(r)$ и $c:=r^{e}{\bmod {n}}$ как его инкапсуляция.

Декапсуляция $c'$ с секретным ключом ${\mathit {sk}}=(n,d)$ , давая $k':=\operatorname {Decap} ({\mathit {sk}},c')$ :

Вычислить $r':=(c')^{d}{\bmod {n}}$ .
Возвращаться $k':=H(r')$ .

Этот подход проще реализовать и обеспечивает более четкое решение проблемы RSA , чем схемы заполнения, такие как RSAES-OAEP . ^[19]

Эльгамаль

Традиционное шифрование Эльгамаля определяется над мультипликативной подгруппой конечного поля. $\mathbb {Z} /p\mathbb {Z}$ с генератором $g$ порядка $q$ следующее: ^[20]^[21]

Генерация ключей , $(pk,sk):=\operatorname {Gen} ()$ :

Выбирать $x\in \mathbb {Z} /q\mathbb {Z}$ равномерно случайным образом.
Вычислить $y:=g^{x}{\bmod {p}}$ .
Возвращаться ${\mathit {sk}}:=x$ в качестве закрытого ключа и ${\mathit {pk}}:=y$ в качестве открытого ключа.

Шифрование сообщения $m\in \mathbb {Z} /p\mathbb {Z}$ к открытому ключу ${\mathit {pk}}=y$ , давая $c:=\operatorname {Encrypt} ({\mathit {pk}},m)$ :

Выбирать $r\in \mathbb {Z} /q\mathbb {Z}$ равномерно случайным образом.
Вычислить: ${\begin{aligned}t&:=y^{r}{\bmod {p}}\\c_{1}&:=g^{r}{\bmod {p}}\\c_{2}&:=(t\cdot m){\bmod {p}}\end{aligned}}$
Вернуть зашифрованный текст $c:=(c_{1},c_{2})$ .

Расшифровка зашифрованного текста $c'=(c'_{1},c'_{2})$ для секретного ключа ${\mathit {sk}}=x$ , давая $m':=\operatorname {Decrypt} ({\mathit {sk}},c')$ :

Проиграть и вернуться $\bot$ если $(c'_{1})^{(p-1)/q}\not \equiv 1{\pmod {p}}$ или если $(c'_{2})^{(p-1)/q}\not \equiv 1{\pmod {p}}$ , то есть, если $c'_{1}$ или $c'_{2}$ не входит в подгруппу, созданную $g$ .
Вычислить $t':=(c'_{1})^{x}{\bmod {p}}$ .
Возвращаться $m':=t^{-1}c'_{2}{\bmod {p}}$ .

Это соответствует синтаксису схемы шифрования с открытым ключом, ограниченной сообщениями в пространстве. $\mathbb {Z} /p\mathbb {Z}$ (что ограничивает его сообщением размером в несколько сотен байт для типичных значений $p$ ).Проверяя зашифрованные тексты при расшифровке, он позволяет избежать утечки битов закрытого ключа. $x$ через злонамеренно выбранные зашифрованные тексты вне группы, созданные $g$ .

Однако это не позволяет добиться неотличимости от атаки с выбранным зашифрованным текстом .Например, противник, имеющий зашифрованный текст $c=(c_{1},c_{2})$ за неизвестное сообщение $m$ может тривиально расшифровать его, запросив у оракула дешифрования отдельный зашифрованный текст $c':=(c_{1},c_{2}g)$ , давая связанный открытый текст $m':=mg{\bmod {p}}$ , из которого $m$ может быть восстановлен с помощью $m=m'g^{-1}{\bmod {p}}$ . ^[20]

Традиционное шифрование Эльгамаля можно адаптировать к настройке эллиптической кривой, но для этого требуется какой-то способ обратимого кодирования сообщений в виде точек на кривой, что менее тривиально, чем кодирование сообщений в виде целых чисел mod. $p$ . ^[22]

Поскольку сообщение $m$ почти всегда является коротким секретным ключом для с симметричным ключом, аутентифицированного шифра используемого для шифрования сообщения произвольной битовой строки, более простой подход состоит в том, чтобы получить секретный ключ из $t$ и обойтись без $m$ и $c_{2}$ вообще, как КЕМ, используя функцию деривации ключей $H$ : ^[1]

Генерация ключей : Как указано выше.
Инкапсуляция открытого ключа ${\mathit {pk}}=y$ , давая $(k,c):=\operatorname {Encap} ({\mathit {pk}})$ :

Выбирать $r\in \mathbb {Z} /q\mathbb {Z}$ равномерно случайным образом.
Вычислить $t:=y^{r}{\bmod {p}}$ .
Возвращаться $k:=H(t)$ и $c:=g^{r}{\bmod {p}}$ как его инкапсуляция.

Декапсуляция $c'$ с секретным ключом ${\mathit {sk}}=x$ , давая $k':=\operatorname {Decap} ({\mathit {sk}},c')$ :

Проиграть и вернуться $\bot$ если $(c')^{(p-1)/q}\not \equiv 1{\pmod {p}}$ , то есть, если $c'$ не входит в подгруппу, созданную $g$ .
Вычислить $t':=(c')^{x}{\bmod {p}}$ .
Возвращаться $k':=H(t')$ .

В сочетании с аутентифицированным шифром для шифрования сообщений произвольной битовой строки такая комбинация по сути представляет собой интегрированную схему шифрования .Поскольку этому KEM требуется только односторонняя функция получения ключа для хэширования случайных элементов группы, в которой он определен, $\mathbb {Z} /p\mathbb {Z}$ в этом случае, а не обратимое кодирование сообщений, его легко расширить до более компактных и эффективных групп эллиптических кривых для той же безопасности, что и в ECIES, Elliptic Curve Integrated Encryption Scheme .

Ссылки

^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г Гэлбрейт, Стивен (2012). «§23.1.1: Парадигма KEM/DEM». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Шуп, Виктор (май 2000 г.). Пренил, Барт (ред.). Использование хэш-функций в качестве защиты от атаки с использованием выбранного зашифрованного текста . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Том. 1807. Брюгге, Бельгия: Спрингер. стр. 275–288. дои : 10.1007/3-540-45539-6_19 . ISBN 978-3-540-67517-4 .
^ Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Крамер, Рональд ; Шуп, Виктор (2003). «Разработка и анализ практических схем шифрования с открытым ключом, обеспечивающих защиту от атак с использованием адаптивно выбранного зашифрованного текста» . SIAM Journal по вычислительной технике . 33 (1). Общество промышленной и прикладной математики : 167–226. дои : 10.1137/S0097539702403773 .
^ FIPS 203 (проект): Стандарт механизма инкапсуляции ключей на основе модульной решетки (PDF) , Национальный институт стандартов и технологий , 24 августа 2023 г., номер документа : 10.6028/NIST.FIPS.203.ipd
^ Jump up to: ^а ^б ^с Барнс, Р.; Бхаргаван, К.; Липп, Б.; Вуд, К. (февраль 2022 г.). Гибридное шифрование с открытым ключом . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC9180 . РФК 9180 .
^ Калиски, Б. ; Йонссон, Дж.; Раш, А. (ноябрь 2016 г.). Мориарити, К. (ред.). PKCS #1: Спецификации криптографии RSA, версия 2.2 . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC8017 . РФК 8017 .
^ Менезес, Альфред Дж .; ван Оршот, Пол К .; Ванстон, Скотт А. (октябрь 1996 г.). «8. Шифрование с открытым ключом». Справочник по прикладной криптографии (PDF) . ЦРК Пресс. стр. 283–319. ISBN 0-8493-8523-7 .
^ Jump up to: ^а ^б Фергюсон, Нильс ; Коно, Тадаёси ; Шнайер, Брюс (2010). «12. РСА». Криптографическая инженерия . Уайли. стр. 195–211. ISBN 978-0-470-47424-2 .
^ Каллас, Дж . ; Доннерхаке, Л.; Финни, Х .; Шоу, Д.; Тайер, Р. (ноябрь 2007 г.). Формат сообщения OpenPGP . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC4880 . РФК 4880 .
^ «Постквантовая криптография: часто задаваемые вопросы» . Национальный институт стандартов и технологий . 2024-07-19. Архивировано из оригинала 26 июня 2024 г. Проверено 20 июля 2024 г.
^ Jump up to: ^а ^б ^с Дент, Александр В. (2002), Руководство дизайнера по KEM , Архив электронной печати криптологии, Международная ассоциация криптологических исследований
^ Jump up to: ^а ^б ^с Хофхайнц, Деннис; Хевельманс, Катрин; Кильц, Эйке (ноябрь 2017 г.). Калай, Яэль; Рейзин, Леонид (ред.). Модульный анализ преобразования Фудзисаки-Окамото . Теория криптографии – TCC 2017 . Конспекты лекций по информатике. Том. 10677. Балтимор, Мэриленд, США: Спрингер. стр. 341–371. дои : 10.1007/978-3-319-70500-2_12 . ISBN 978-3-319-70499-9 .
^ Jump up to: ^а ^б ^с ^д Омассон, Жан-Филипп (2018). «10. РСА». Серьезная криптография: практическое введение в современное шифрование . Нет крахмального пресса. стр. 181–199. ISBN 978-1-59327-826-7 .
^ Jump up to: ^а ^б ^с Стинсон, Дуглас Р. (2006). «5. Криптосистема RSA и факторизация целых чисел». Теория и практика криптографии (3-е изд.). Чепмен и Холл/CRC. стр. 161–232. ISBN 978-1-58488-508-5 .
^ Ривест, РЛ ; Шамир, А. ; Адлеман, Л. (1 февраля 1978 г.). «Метод получения цифровых подписей и криптосистем с открытым ключом» (PDF) . Коммуникации АКМ . 21 (2). Ассоциация компьютерной техники: 120–126. дои : 10.1145/359340.359342 .
^ Швенда, Питер; Герман, Матуш; Секан, Питер; Квасьневский, Рудольф; Форманек, Давид; Комарек, Дэвид; Матяш, Вашек (август 2016 г.). Вопрос на миллион ключей: исследование происхождения открытых ключей RSA . 25-й симпозиум USENIX по безопасности. Остин, Техас, США: Ассоциация USENIX. стр. 893–910. ISBN 978-1-931971-32-4 .
^ Бляйхенбахер, Дэниел (август 1998 г.). Кравчик, Хьюго (ред.). Атаки с использованием выбранного зашифрованного текста против протоколов, основанных на стандарте шифрования RSA PKCS #1 . Достижения в криптологии – КРИПТО '98 . Конспекты лекций по информатике. Том. 1462. Санта-Барбара, Калифорния, США: Спрингер. стр. 1–12. дои : 10.1007/BFb0055716 . ISBN 978-3-540-64892-5 .
^ Корон, Жан-Себастьян; Джой, Марк; Наккеш, Дэвид ; Пайе, Паскаль (май 2000 г.). Пренил, Барт (ред.). Новые атаки на шифрование PKCS#1 v1.5 . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Полный. 1807. Брюгге, Бельгия: Спрингер. стр. 369–381. дои : 10.1007/3-540-45539-6_25 . ISBN 978-3-540-67517-4 .
^ Jump up to: ^а ^б Шуп, Виктор (2001), Предложение по стандарту ISO для шифрования с открытым ключом (версия 2.1) , Архив электронной печати криптологии, Международная ассоциация криптологических исследований
^ Jump up to: ^а ^б Гэлбрейт, Стивен (2012). «§20.3: Учебник по шифрованию Эльгамаля». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .
^ Эльгамал, Тахер (август 1984 г.). Блейкли, Джордж Роберт ; Чаум, Дэвид (ред.). Криптосистема с открытым ключом и схема подписи на основе дискретных логарифмов . Достижения в криптологии – КРИПТО 1984 . Конспекты лекций по информатике. Том. 196. Санта-Барбара, Калифорния, США: Спрингер. стр. 10–18. дои : 10.1007/3-540-39568-7_2 . ISBN 978-3-540-15658-1 .
^ Коблиц, Нил (январь 1987 г.). «Криптосистемы с эллиптической кривой» (PDF) . Математика вычислений . 48 (177). Американское математическое общество : 203–209. дои : 10.1090/S0025-5718-1987-0866109-5 .

См. также

[galbraith2012mathpkcbook-kemdem-1] Jump up to: ^а ^б ^с ^д ^и ^ж ^г Гэлбрейт, Стивен (2012). «§23.1.1: Парадигма KEM/DEM». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .

[shoup2000hashhedgecca-2] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Шуп, Виктор (май 2000 г.). Пренил, Барт (ред.). Использование хэш-функций в качестве защиты от атаки с использованием выбранного зашифрованного текста . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Том. 1807. Брюгге, Бельгия: Спрингер. стр. 275–288. дои : 10.1007/3-540-45539-6_19 . ISBN 978-3-540-67517-4 .

[cramer-shoup2003pkecca-3] Jump up to: ^а ^б ^с ^д ^и ^ж ^г ^час Крамер, Рональд ; Шуп, Виктор (2003). «Разработка и анализ практических схем шифрования с открытым ключом, обеспечивающих защиту от атак с использованием адаптивно выбранного зашифрованного текста» . SIAM Journal по вычислительной технике . 33 (1). Общество промышленной и прикладной математики : 167–226. дои : 10.1137/S0097539702403773 .

[fips203draft-4] FIPS 203 (проект): Стандарт механизма инкапсуляции ключей на основе модульной решетки (PDF) , Национальный институт стандартов и технологий , 24 августа 2023 г., номер документа : 10.6028/NIST.FIPS.203.ipd

[rfc9180-5] Jump up to: ^а ^б ^с Барнс, Р.; Бхаргаван, К.; Липп, Б.; Вуд, К. (февраль 2022 г.). Гибридное шифрование с открытым ключом . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC9180 . РФК 9180 .

[pkcs1-6] Калиски, Б. ; Йонссон, Дж.; Раш, А. (ноябрь 2016 г.). Мориарити, К. (ред.). PKCS #1: Спецификации криптографии RSA, версия 2.2 . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC8017 . РФК 8017 .

[menezes-vanoorschoot-vanstone1996hac-7] Менезес, Альфред Дж .; ван Оршот, Пол К .; Ванстон, Скотт А. (октябрь 1996 г.). «8. Шифрование с открытым ключом». Справочник по прикладной криптографии (PDF) . ЦРК Пресс. стр. 283–319. ISBN 0-8493-8523-7 .

[ferguson-kohno-schneier2010cryptoengineering-8] Jump up to: ^а ^б Фергюсон, Нильс ; Коно, Тадаёси ; Шнайер, Брюс (2010). «12. РСА». Криптографическая инженерия . Уайли. стр. 195–211. ISBN 978-0-470-47424-2 .

[rfc4880-9] Каллас, Дж . ; Доннерхаке, Л.; Финни, Х .; Шоу, Д.; Тайер, Р. (ноябрь 2007 г.). Формат сообщения OpenPGP . Рабочая группа по интернет-инжинирингу . дои : 10.17487/RFC4880 . РФК 4880 .

[nist-pqc-faqs-10] «Постквантовая криптография: часто задаваемые вопросы» . Национальный институт стандартов и технологий . 2024-07-19. Архивировано из оригинала 26 июня 2024 г. Проверено 20 июля 2024 г.

[dent2002designerkem-11] Jump up to: ^а ^б ^с Дент, Александр В. (2002), Руководство дизайнера по KEM , Архив электронной печати криптологии, Международная ассоциация криптологических исследований

[hofheinz-hövelmanns-kiltz2017modularfo-12] Jump up to: ^а ^б ^с Хофхайнц, Деннис; Хевельманс, Катрин; Кильц, Эйке (ноябрь 2017 г.). Калай, Яэль; Рейзин, Леонид (ред.). Модульный анализ преобразования Фудзисаки-Окамото . Теория криптографии – TCC 2017 . Конспекты лекций по информатике. Том. 10677. Балтимор, Мэриленд, США: Спрингер. стр. 341–371. дои : 10.1007/978-3-319-70500-2_12 . ISBN 978-3-319-70499-9 .

[aumasson2018seriouscrypto-13] Jump up to: ^а ^б ^с ^д Омассон, Жан-Филипп (2018). «10. РСА». Серьезная криптография: практическое введение в современное шифрование . Нет крахмального пресса. стр. 181–199. ISBN 978-1-59327-826-7 .

[stinson2006cryptotheorypracticebook-14] Jump up to: ^а ^б ^с Стинсон, Дуглас Р. (2006). «5. Криптосистема RSA и факторизация целых чисел». Теория и практика криптографии (3-е изд.). Чепмен и Холл/CRC. стр. 161–232. ISBN 978-1-58488-508-5 .

[rsa1978method-15] Ривест, РЛ ; Шамир, А. ; Адлеман, Л. (1 февраля 1978 г.). «Метод получения цифровых подписей и криптосистем с открытым ключом» (PDF) . Коммуникации АКМ . 21 (2). Ассоциация компьютерной техники: 120–126. дои : 10.1145/359340.359342 .

[svenda2016mkq-16] Швенда, Питер; Герман, Матуш; Секан, Питер; Квасьневский, Рудольф; Форманек, Давид; Комарек, Дэвид; Матяш, Вашек (август 2016 г.). Вопрос на миллион ключей: исследование происхождения открытых ключей RSA . 25-й симпозиум USENIX по безопасности. Остин, Техас, США: Ассоциация USENIX. стр. 893–910. ISBN 978-1-931971-32-4 .

[bleichenbacher1998pkcs1cca-17] Бляйхенбахер, Дэниел (август 1998 г.). Кравчик, Хьюго (ред.). Атаки с использованием выбранного зашифрованного текста против протоколов, основанных на стандарте шифрования RSA PKCS #1 . Достижения в криптологии – КРИПТО '98 . Конспекты лекций по информатике. Том. 1462. Санта-Барбара, Калифорния, США: Спрингер. стр. 1–12. дои : 10.1007/BFb0055716 . ISBN 978-3-540-64892-5 .

[coron-joye-naccache-paillier2000newpkcs1attacks-18] Корон, Жан-Себастьян; Джой, Марк; Наккеш, Дэвид ; Пайе, Паскаль (май 2000 г.). Пренил, Барт (ред.). Новые атаки на шифрование PKCS#1 v1.5 . Достижения в криптологии – EUROCRYPT 2000 . Конспекты лекций по информатике. Полный. 1807. Брюгге, Бельгия: Спрингер. стр. 369–381. дои : 10.1007/3-540-45539-6_25 . ISBN 978-3-540-67517-4 .

[shoup2001isoproposal-19] Jump up to: ^а ^б Шуп, Виктор (2001), Предложение по стандарту ISO для шифрования с открытым ключом (версия 2.1) , Архив электронной печати криптологии, Международная ассоциация криптологических исследований

[galbraith2012mathpkcbook-elgamal-20] Jump up to: ^а ^б Гэлбрейт, Стивен (2012). «§20.3: Учебник по шифрованию Эльгамаля». Математика криптографии с открытым ключом . Издательство Кембриджского университета. стр. 471–478. ISBN 978-1-107-01392-6 .

[elgamal1985pke-21] Эльгамал, Тахер (август 1984 г.). Блейкли, Джордж Роберт ; Чаум, Дэвид (ред.). Криптосистема с открытым ключом и схема подписи на основе дискретных логарифмов . Достижения в криптологии – КРИПТО 1984 . Конспекты лекций по информатике. Том. 196. Санта-Барбара, Калифорния, США: Спрингер. стр. 10–18. дои : 10.1007/3-540-39568-7_2 . ISBN 978-3-540-15658-1 .

[koblitz1987ecc-22] Коблиц, Нил (январь 1987 г.). «Криптосистемы с эллиптической кривой» (PDF) . Математика вычислений . 48 (177). Американское математическое общество : 203–209. дои : 10.1090/S0025-5718-1987-0866109-5 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]