这种基于 RSA 的签名（带恢复）方案在加密方面是否可靠？

Question

我正在实现一个简单的许可证文件系统，并且想知道我当前的实现行是否犯了任何错误。

消息数据小于密钥。 我使用 RSA，密钥大小为 3072 位。

许可证的颁发者生成要签名的消息，并使用简单的基于 RSA 的方法对其进行签名，然后应用类似的方法对消息进行加密。 加密的消息和签名一起存储为许可证文件。

1. sha512的消息。
2. 使用私钥对哈希进行签名。
3. 使用私钥对消息进行签名。
4. 连接并传输。

收到后，验证过程为：

1. 使用公钥解密消息 对
2. 消息进行哈希处理 使用公钥
3. 从文件中解密哈希值，并与本地哈希值进行比较。

到目前为止，实现工作正常，并且似乎是有效的。

我目前正在对消息进行零填充以匹配密钥大小，这可能是 这是一个糟糕的举动（我想我应该使用 PKCS 填充算法，例如 1 或 1.5？）

这个策略看起来有效吗？ 是否有任何明显的缺陷或我忽略的观点？

Answer 1

我注意到的主要缺陷：您必须在解密时验证填充仍然存在。

（如果您提前知道消息长度，那么您可能可以使用自己的填充方案，但正如您提到的那样，使用现有的填充方案可能仍然是一个好主意）。

我不确定你为什么要费心加密消息本身 - 正如你所指出的，任何拥有公钥的人都可以解密它，因此除了混淆之外，它不会添加任何内容。 您也可以只发送消息和加密的填充哈希。

我建议使用提供“签名消息”功能的高级库，例如 cryptlib 或 KeyCzar（如果可以的话）。 这些受益于比您的代码可能看到的更多的眼球，并处理所有棘手的填充问题和类似问题。