Cryptography 生成强RSA密钥的技巧

是否有任何文档包括生成强RSA密钥的提示

我的意思不仅仅是“使用带有-X标志的XXX实用程序”

我指的是一些理论上的规则。例如，模块n应不小于1024位，等等

---

有人能告诉我吗？

关键力量通常遵循当前最先进的计算能力。密钥大小只是安全计划的一部分。您还需要考虑您的密钥的安全存储以及更改密钥的次数。

基本上，您需要选择与要使用的软件兼容的最宽密钥宽度

目前，从2014年开始使用最小2048位RSA是一个很好的经验法则。这确实取决于：

使用速度和频率 你在保护什么 软件支持的最大宽度 如果你的钥匙被破解只是一个不便，不会影响你的财务或健康，那么你可能会在方便方面犯错。但是，如果你真的关心隐私，那么就使用你能承受的最坚固的钥匙，至少2048把

好的文档是OpenPGP最佳实践

---

在回答您的问题时，有以下文件： ANSI X9.31标准要求使用强素数来生成用于数字签名的RSA密钥。这使得n=pq的因式分解使用Pollard的p− 1算法在计算上不可行。然而，强素数不能防止使用新算法（如Lenstra椭圆曲线分解和数字域筛选算法）进行模分解

版本4 RSA Laboratories关于当今密码学的常见问题解答于1998年发布，可在此处找到 请注意以下问题：

问题3.1.4。什么是强素数？它们是RSA所必需的吗

在有关RSA的文献中，经常有人建议在选择密钥对时，应使用所谓的 “强”素数p和q生成模n。强素数具有某些性质，使得 产品n难以通过特定的因子分解方法进行因子分解；例如，这些属性包括存在性 p-1的大素数因子和p+1的大素数因子。这些担忧的原因是一些因素 方法，例如Pollard p-1和p+1方法，见问题2.3.4，特别适用于素数p p-1或p+1只有很小的因子；强素数可以抵抗这些攻击。 然而，在过去十年中，因子分解的进展似乎已经消除了强素数的优势； 椭圆曲线分解算法就是这样一个进步。新的因式分解方法也有很好的应用前景 强素数和弱素数的成功。因此，仅选择传统的“强”素数并不重要 显著提高安全性。选择足够大的素数才是重要的。然而，这并不危险 使用强大素数，尽管生成强素数可能比生成任意素数花费稍长的时间。 将来可能会开发出新的因式分解算法，再次以具有 某些属性。如果发生这种情况，选择强素数可能再次有助于提高安全性

问题3.1.5。RSA中应该使用多大的密钥

RSA密钥的大小通常指模n的大小。两个素数p和q构成了 模量，长度应大致相等；这使得模量比其中一个素数更难计算 比另一个小得多。如果选择使用768位模，则每个素数的长度应约为 384位。如果两个素数非常接近，除了100-200位，或者更一般地说，如果 它们的差值接近于任何预定的数值，那么就存在潜在的安全风险，但是概率 两个随机选择的素数如此接近是可以忽略不计的。 RSA模数的最佳大小取决于用户的安全需求。模量越大，弹性模量越大 安全性，但RSA操作的速度也越慢。首先，应根据以下因素选择模数长度： 受保护数据的价值以及需要保护多长时间，其次是其潜力有多大 威胁可能是

---

截至2010年，最大系数RSA数为768位长232位十进制数字。它的因式分解通过最先进的分布式实现，在数百台计算机上花费了大约1500 CPU年和两年的实时时间。这意味着，到目前为止，还没有考虑到更大的RSA密钥。实际上，RSA密钥的长度通常为1024到2048位。一些专家认为，1024位密钥在不久的将来可能会变得易碎；很少有人认为4096位密钥在可预见的未来会被破解。因此，一般认为，如果n足够大，则RSA是安全的。

这个问题似乎与主题b无关 因为这与编程无关。试问