如何在 python 中使用 RSA/ECB/PKCS1Padding 创建密钥？

Question

我正在努力寻找在 ECB 模式下使用 RSA 和 python 中的 PKCS1 填充的任何方法。我研究过 pyCrypto，但他们在主分支中没有 PKCS1 填充（但在补丁中有）。尽管如此，我在M2Crypto包中发现了带有PKCS1的RSA，但我不确定是否可以选择ECB模式......

Answer 1

ECB 等链接模式对于 RSA 来说没有任何意义，除非你做错了。

ECB 用于分组密码：输入数据被分割成大小相等的块，并且每个块单独加密。这会带来一些弱点，因此分组密码最好避免 ECB 模式。

RSA 不是分组密码。特别是，RSA 必然会放大加密的消息：使用 1024 位 RSA 密钥（相当典型的大小），可以将消息加密至 117 字节，但结果是 128 字节的值。

人们可以想象接收一条更大的消息，将其分割成长度为 117 字节（或更少）的单独块，并对每个块单独进行 RSA 加密，但没有人这样做，主要是因为大小增加和 CPU 成本。而且，与分裂和重组相关的安全问题根本没有被研究过，因此结果很可能会很弱。通常，当加密库需要填充模式作为算法名称的一部分时，例如在“RSA/ECB/PKCS1Padding”中，这仅仅是由于名称和链接的语法约束部分 (ECB) 实际上被忽略（例如，这就是 Java 所做的）。

在实践中，当加密一些可能大于最大RSA输入大小的数据时，会使用混合加密：RSA加密的是随机对称密钥（例如一堆16个均匀随机字节），并且该密钥用于对称加密（例如使用 AES）实际数据。这更节省空间（因为对称加密不会扩大块）和 CPU 效率（对称加密比非对称加密快得多，特别是 RSA解密）。