RSA exposant petit
Le
Roland Le Franc
J'ai peur de poser une question déjà discutée plusieurs fois, mais j'ai
un doute sur mon application précise.
J'ai un outil d'authentification de documents DRM qui utilise RSA.
Sur un PC gardé précieusement, le document est signé avec une clé privée
RSA.
Sur un appareil mobile à faible puissance, la signature doit être
vérifiée. Il fait donc un RSA avec l'exposant public.
1e question: il n'est pas clair pour moi si on appelle l'exposant public
d ou e, ça prête à confusion dans la littérature.
2e question: peut-on utiliser ce schéma de signature avec un exposant
public petit, genre 3, 17 ou 65537 (i.e. poids de Hamming faible). Je
parle de celui qui sert à la vérification dans l'appareil mobile
Merci
un doute sur mon application précise.
J'ai un outil d'authentification de documents DRM qui utilise RSA.
Sur un PC gardé précieusement, le document est signé avec une clé privée
RSA.
Sur un appareil mobile à faible puissance, la signature doit être
vérifiée. Il fait donc un RSA avec l'exposant public.
1e question: il n'est pas clair pour moi si on appelle l'exposant public
d ou e, ça prête à confusion dans la littérature.
2e question: peut-on utiliser ce schéma de signature avec un exposant
public petit, genre 3, 17 ou 65537 (i.e. poids de Hamming faible). Je
parle de celui qui sert à la vérification dans l'appareil mobile
Merci
Poser une question
L'exposant public est noté e. L'exposant secret est noté d.
L'exposant public e peut être petit, par exemple e=3.
L'exposant secret d est toujours "grand" (sinon il serait
possible de le découvrir).
Oui. Si on abandonne les initiales RSA pour Rabin-Williams, on
descend même à e=2 et c'est encore plus efficace.
Le message signé doit être mis en forme avant signature,
ce quel que soit e. Voir par exemple ISO/IEC 9796-2:2002
pour un système normalisé.
Un système très rapide et à sécurité démontrée:
http://cr.yp.to/sigs.html
François Grieu