RSA и safe primes
Не подскажут ли здешние спецы по криптографии, обязательно ли в качестве p и q в RSA выбирать safe prime (когда (num-1)/2 = prime), или подойдут любые простые числа?
Если safe prime требуется обязательно, то как можно ускорить факторизацию N составленого из обычных простых?
комментариев: 9796 документов: 488 редакций: 5664
А safe-primes защищает против менее эффективных аглоритмов факторизации (метод Полларда p-1), cycling attack.
Но были разработаны обобщения этих методов, против которых Safe primes не помогают. И все эти атаки всё равно непрактичны.
Вывод такой: толку от safe primes мало, но и хуже они не делают. Дополнительные расходы на их использование незначительны.
Хотя использование Safe Primes вроде бы и не является обязательным для RSA, их включили в некоторые стандарты.
Вот ответ от RSA labs
комментариев: 9796 документов: 488 редакций: 5664
Т.е. на данный момент safe primes это уже (или снова пока) неактуально.
см. статью на IACR ePrint