RSA暗号化の結果はランダムであることが保証されています

Question

RSACryptoServiceProviderを使用して小さなデータブロックを暗号化しています。私が取り組んでいるソリューションでは、ソースデータの同じ部分が同じ公開鍵で2回暗号化されている場合、結果（暗号化されたデータブロック）は同じではないことが重要です。

私はこれを例で確認しましたが、期待したように機能しました。私の質問は、この動作が設計上のもので、保証されている場合、または同じデータを持つデータブロックが暗号化後にもはや一致しないことを保証するためにソースデータにランダムな部分を追加する必要があるかどうかです。ここで

は一例です：

byte[] data=new byte[]{1,7,8,3,4,5}; 
RSACryptoServiceProvider encrypter = cert.PublicKey.Key as RSACryptoServiceProvider; 
byte[] encryptedData = encrypter.Encrypt(data,true); 

// encryptedData has always other values in, although the source data is always 
// 1,7,8,3,4,5 and the certificate is always the same (loaded from disk) 

具体的な質問は、.NETのためですが、それは仕様であれば多分答えは、すべてのRSA-の実装のために、一般的に与えられることができますか？

Answer 1

テキストブックRSAの暗号化アルゴリズムが決定論的である：

ciphertext = plaintext^encryption-exponent mod modulus 

（ここで^mod剰余演算、整数累乗である。）

しかし、あなたが述べて、これは優れたセキュリティを提供しません。平文を推測できる攻撃者は、それを自分で暗号化して結果を比較することで、この推測を単純に検証できます。このため

、公式RSAの仕様（とも実際に使用されるすべての実装）一部（一部はランダム）詰め物が含まれ、私たちは実際にplaintextを暗号化しますが、pad(plaintext)ません：

ciphertext = pad(plaintext)^encryption-exponent mod modulus 

復号化：

このパディングRSAは実際には安全な暗号化方式です。

シグネチャの簡単な偽造を避けるため、RSA署名にも同様のパディングが使用されています。