RSA со схемами дополнения и отдельные ключи


Верно ли моё понимание, что при использовании надёжных схем дополнения для шифрования (OAEP) и подписи (RSA-PSS) не существует криптографически обоснованной необходимости в использовании раздельных ключевых пар RSA для шифрования и подписи, т.е. любые операции могут выполняться единственной парой? Или всё же по каким-то (но строго криптографическим) причинам следует использовать две пары: одну только для шифрования, другую — только для подписи?

Комментарии
— unknown (14/09/2013 22:33, исправлен 15/09/2013 09:15)   

IETF не рекомендует[link1], несмотря на все формальные "можно":

Generally, good cryptographic practice employs a given RSA key pair
in only one scheme. This practice avoids the risk that vulnerability
in one scheme may compromise the security of the other, and may be
essential to maintain provable security. While PKCS #1 Version 1.5
[P1v1.5] has been employed for both key transport and digital
signature without any known bad interactions, such a combined use of
an RSA key pair is not recommended in the future. Therefore, an RSA
key pair used for RSASSA-PSS signature generation should not be used
for other purposes. For similar reasons, one RSA key pair should
always be used with the same RSASSA-PSS parameters (except possibly
for the salt length). Likewise, an RSA key pair used for RSAES-OAEP
key transport should not be used for other purposes. For similar
reasons, one RSA key pair should always be used with the same RSAES-
OAEP parameters.

Несмотря на то, что "по строго криптографическим" причинам две пары необязательны.

— SATtva (15/09/2013 09:18)   
Понял, подстраховка и соблюдение условий доказуемой безопасности. Спасибо.
— unknown (15/09/2013 19:08)   
Не за что. Даже не обратил внимание, кто спрашивал — думал чей-то постинг сюда перенесли :)

Ссылки
[link1] https://www.ietf.org/rfc/rfc4055.txt