구성 탄력 성 패딩기구

Question

Bouncy Castle FIPS Java API guide 버전에 따르면, 0.1 섹션 4.2에서

일부 패딩 메커니즘은 공개 키 알고리즘 (엘가/RSA)과 함께 사용하도록 규정되어

OAEPwithSHA1andMGF1Padding, 되어 OAEPPadding : 별명 -

• OAEPwithSHA1andMGF1Padding을 NoPadding.
• OAEPwithSHA224andMGF1Padding - 별칭 : OAEPwithSHA224andMGF1Padding
• OAEPwithSHA256andMGF1Padding - 별칭 : OAEPwithSHA256andMGF1Padding
• OAEPwithSHA384andMGF1Padding - 별칭 : OAEPwithSHA384andMGF1Padding
• OAEPwithSHA512andMGF1Padding - 별칭 : OAEPwithSHA512andMGF1Padding
• PKCS1Padding

공개 키 알고리즘과 함께 사용되는 패딩 메커니즘을 어떻게 구성 할 수 있습니까? 두 클라이언트 모두 & 서버 통신.

특히 RSA가 TLS에서 키 교환 메커니즘으로 사용되는 경우에 관심이 있습니다.

Answer 1

RSA가 TLS 일반 RSA 키 교환에서 키 전송에 사용될 때 항상 PKCS1-v1_5 패딩을 사용합니다. rfc5246 4.7과 7.4.7.1 또는 해당 이전 버전 (OAEP가 아직 존재하지 않았기 때문에 간단히 블록 유형 2라고도 함)을 참조하십시오. 다른 것은 구성 할 수 없으며 다른 것은 상호 운용되지 않습니다. (현재 제안 된 RSA 키 전송이 더 이상 존재하지 않으므로 TLS1.3에서)

RSA가 TLS에서 서버 또는 클라이언트 인증에 사용되는 경우 1.0 및 1.1의 DHE_RSA 및 ECDHE_RSA와 같은 키 교환의 일부로 서명 알고리즘은 다음과 같습니다. PKCS1-v1_5 (MD5 및 SHA1 해시를 연결하고 ASN.1 DigestInfo를 사용하지 않음)의 수정으로 수정되었습니다. rfc4346 4.7 또는 rfc2246 참조. 1.2에서 서명 알고리즘은 피어 (클라이언트의 CertReq 필드에서 서버의 ClientHello 확장에 있음) 중에서 선택되지만 RSA 옵션은 MD5 SHA-1 또는 SHA-2의 표준 PKCS1-v1_5입니다 해시 및 많은 구현이 아니라면 (최근 Java 업데이트 포함) MD5를 금지합니다. AFAICT 허용되는 해시 중에서 선택할 수있는 JSSE 구성이 없습니다. (PKCS1-v1_5 서명이 인증서에 대해서만 허용되는 1.3 프로토콜에서 PSS로 변경하는 것이 좋습니다.)

미국 정부 응용 프로그램의 FIPS-140 준수에 관심이있는 경우 SP800-135에서 TLS KDF 승인 일반적으로 FIPS-140에서는 승인되지 않지만 TLS에서만 사용되는 경우는입니다. 또한 암호화 프리미티브 외에도 TLS의 다른 부분에 대한 SP800-52의 광범위한 필수 지침이 있습니다.