问为什么ransomware不能实际使用RSA加密所有文件？

EN

与对称密码相比，RSA真的非常慢。您可以自己检查这一点，例如openssl基准测试：

openssl speed rsa

在我的机器上(使用openssl 1.1.1a)，我得到

Doing 2048 bits public rsa's for 10s: 330640 2048 bits public RSA's in 10.00s

所以我们可以每秒进行33k的加密，加密块的大小小于模数，所以小于256字节。如果攻击者想加密1GB文件，则大约需要2分钟。另一方面，

openssl speed aes

显示AES-CBC每秒可加密~300 CBC。

type             16 bytes     64 bytes    256 bytes   1024 bytes   8192 bytes  16384 bytes
aes-128 cbc      94234.08k   136019.99k   137980.25k   304759.81k   304166.23k   315654.14k

同样的1GB文件将在3秒内加密。

对于攻击者来说，速度很重要，因为文件加密得越快，进程被中断的可能性就越小。

首先，这个想法是基于一种误解：

“但大多数赎金使用混合加密方法，在此过程中，他们会犯错误，让安全研究人员制造解密器。”

这是我的观点是不正确的。第一个赎金只使用对称加密。现在，如果留下对称密钥，那么可能会再次检索它。如果在每个文件中使用具有单独对称密钥的混合加密技术，则必须在实现中犯下严重错误。当然，现在仍然会有一个勒索工具傻瓜(这些不是高收入的专业人士)仍然设法把它搞砸了，但我不相信这是常见的。

我在互联网上搜索过RSA和AES在现代计算机中大容量数据加密速度之间的比较，但一无所获。

哦，天哪，你一定要把你的Google-fu举起来。

另一个答案提到了加密速度，但除此之外还有更多。我认为RSA的加密速度并不是一个大问题。然而，还有另一个缺点:当涉及到规模时，效率。

如果您使用RSA加密明文，那么与明文相比，在密文扩展方面将有一定的缺点。密文扩展的大小取决于所使用的填充方案。对于RSA PKCS#1 v1.5填充，您可以降低到11个字节的开销(尽管更大的填充大小更安全)。对于OAEP，有人创建了一个表这里。因此，如果您使用带有2048位密钥的RSA PKCS#1 v1.5，则会将密文展开为每256-11=245个字节的11个字节。这意味着文件将突然变得更大(可能非常引人注目)，或者您当然会耗尽磁盘空间来执行加密。

另一个问题是RSA需要使用随机数生成器来生成填充(除非使用确定性方案，但这将高估ransomware创建者的能力)。如果你继续点击随机数发生器，它可能会决定请求额外的熵，这意味着你的系统可能会耗尽它。当它耗尽时，它会停滞，或者速度很可能会下降到爬行。这将是相当值得注意的，特别是如果有其他应用程序从系统请求随机数据。

最后，虽然加密速度仍然足以加密大量数据，但解密速度是否足够值得怀疑。RSA的解密速度远低于加密速度。也就是说，赎金背后的人可能不会那么在意。