Digital Signature Algorithm

Der

Digital Signature Algorithm

(DSA; deutsch „Digitaler Signaturalgorithmus“) ist ein Standard der US-Regierung für Digitale Signaturen. Er wurde vom National Institute of Standards and Technology (NIST) im August 1991 für die Verwendung in deren

Digital Signature Standard

(DSS) empfohlen. Der DSS enthält neben dem DSA (ursprünglich der einzige im DSS definierte Algorithmus) als weitere Algorithmen die RSA-Signatur und ECDSA. Der DSS wurde zuerst in FIPS-PUB 186^[1] veröffentlicht und zuletzt im FIPS-PUB 186-4^[2] angepasst. Entworfen wurde er von der NSA im Rahmen des Versuchs der US-Regierung, hochsichere Verschlüsselung unter Kontrolle zu bringen. Bestandteil dieser Strategie war auch das Exportverbot starker Verschlüsselungsalgorithmen, dessen Missachtung strafrechtlich verfolgt wurde. Der DSA basiert auf dem diskreten Logarithmus in endlichen Körpern. Er orientiert sich am Elgamal-Signaturverfahren und ist verwandt mit der Schnorr-Signatur. Die Übertragung des DSA auf elliptische Kurven wird als ECDSA (

Elliptic Curve Digital Signature Algorithm

) bezeichnet und ist in ANSI X9.62 standardisiert. Schnorr warf im Rahmen der Standardisierung IEEE P1363 der NIST vor, mit dem von ihr entwickelten Signatur-Verfahren

Digital Signature Algorithm

sein Patent zu verletzen. Dieses galt bis zum Jahre 2008. Vor der Entwicklung des DSA waren Verhandlungen mit Schnorr gescheitert, sein Signatur-Schema zu nutzen. Die Firma RSA, die eine exklusive Lizenz an Schnorrs Signaturverfahren hält, hätte mit Patentstreitigkeiten ein Diskreter-Logarithmus-Verfahren statt ihres RSA-Systems als Standard erschweren können, scheute aber vermutlich eine offene Konfrontation mit der US-Regierung.

Funktionsweise

Für DSA wird ein Hashverfahren Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle H} und eine mathematische Gruppe benötigt. Als Hashverfahren war ursprünglich nur SHA-1 zugelassen, in neueren Versionen des Standards wurde auch SHA-2 zugelassen. Die Wahl der Gruppe hängt von zwei Parametern Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle L} und Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle N} ab, die die Sicherheit des Verfahrens bestimmen. Im ursprünglichen Standard wird Fehler beim Parsen (Konvertierungsfehler. Der Server („https://wikimedia.org/api/rest_“) hat berichtet: „Cannot get mml. Server problem.“): {\displaystyle 512\leq L\leq 1024} und $N=160$ gefordert, wobei $L$ ein Vielfaches von 64 sein muss. Der aktuelle Standard lässt folgende Kombinationen von $L$ und $N$ zu: (1024, 160), (2048, 224), (2048, 256), (3072, 256). $N$ darf höchstens so groß sein wie die Ausgabelänge des Hashalgorithmus.

Parameter erzeugen

Wähle eine Primzahl $q\,$ der Länge $N\,$ bit.
Wähle eine Primzahl $p\,$ der Länge $L\,$ bit, so dass $p-1$ ein Vielfaches von $q\,$ ist.
Wähle ein $g$ , das die Ordnung $q$ in der Einheitengruppe $(\mathbb {Z} /p\mathbb {Z} )^{\times }$ hat. Ein einfacher Weg, dies sicherzustellen ist, zuerst ein Gruppenelement $h\,$ mit $1<h<p-1\,$ und $h^{\frac {p-1}{q}}\mod p\neq 1$ zu finden und dann $g=h^{\frac {p-1}{q}}\mod p$ zu setzen. Die gewünschte Eigenschaft folgt dann aus dem Satz von Lagrange (Weil $h$ teilerfremd zur Primzahl $p$ ist, muss nach dem Kleinen Satz von Fermat $g^{q}=h^{p-1}=1\mod p$ sein – die Ordnung von $g$ kann also höchstens $q$ sein. Da $q$ prim ist, kann die Ordnung von $g$ kein Teiler von $q$ sein.)

Die Parameter Fehler beim Parsen (Konvertierungsfehler. Der Server („https://wikimedia.org/api/rest_“) hat berichtet: „Cannot get mml. Server problem.“): {\displaystyle (p,q,g)} sind öffentlich und können von mehreren Benutzern verwendet werden.

Schlüssel erzeugen

Wähle ein zufälliges $x\,$ für das gilt: Fehler beim Parsen (Konvertierungsfehler. Der Server („https://wikimedia.org/api/rest_“) hat berichtet: „Cannot get mml. Server problem.“): {\displaystyle 1<x<q\,}
Berechne $y=g^{x}\mod p$

Der Verifikationsschlüssel Fehler beim Parsen (Konvertierungsfehler. Der Server („https://wikimedia.org/api/rest_“) hat berichtet: „Cannot get mml. Server problem.“): {\displaystyle y\,} wird veröffentlicht (öffentlicher Schlüssel), der Signaturschlüssel $x\,$ muss geheim bleiben, da es der geheime Schlüssel ist.

Signieren

Um die Nachricht Fehler beim Parsen (Konvertierungsfehler. Der Server („https://wikimedia.org/api/rest_“) hat berichtet: „Cannot get mml. Server problem.“): {\displaystyle m\,} zu signieren, reicht es auch, ihren Hashwert $H(m)$ zu signieren.

Wähle für jede zu signierende Nachricht ein zufälliges $k\,$ mit $1<k<q\,$
Berechne $r=(g^{k}\mod p)\mod q$ ; ist $r=0$ so muss ein neues $k$ gewählt werden.
Berechne Fehler beim Parsen (Konvertierungsfehler. Der Server („https://wikimedia.org/api/rest_“) hat berichtet: „Cannot get mml. Server problem.“): {\displaystyle s=k^{-1}\cdot (H(m)+r\cdot x)\mod q} ; ist $s=0$ so muss ebenfalls neu mit Schritt 1 begonnen werden

Die Signatur der Nachricht ist das Tupel Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle (r,s)\,} . Der Wert Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle k} muss geheim gehalten werden, darf nicht leicht zu erraten sein und darf nicht wiederverwendet werden, da sonst der geheime Signaturschlüssel Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle x} berechnet werden kann (s. Abschnitt Sicherheit).

Überprüfung

Gegeben ist eine Signatur Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle (r, s)} sowie die Nachricht Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle m\,} .

Überprüfe, ob Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle 0 < r < q} und Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle 0 < s < q} . Ist das nicht der Fall, weise die Signatur als ungültig zurück.
Berechne Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle w=s^{-1}\mod q}
Berechne Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle u_{1}=H(m)\cdot w\mod q}
Berechne $u_{2}=r\cdot w\mod q$
Berechne Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle v=(g^{u_1}\cdot y^{u_2}\mod p)\mod q}
Wenn Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle v=r\,} , dann ist die Signatur gültig, sonst ungültig.

Sicherheit

Anforderungen an Zufallswerte

Wie bei allen Signaturverfahren, die auf dem diskreten Logarithmus basieren, insbesondere für Verfahren, die auf elliptischen Kurven beruhen, hängt die Sicherheit ganz wesentlich von den Eigenschaften der berechneten Zufallswerte ab.

Für jede Signatur muss ein Zufallswert Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle k} generiert werden. Dieser muss ausreichend Entropie besitzen, geheim gehalten werden und darf nur einmal verwendet werden. Diese Anforderungen sind kritisch: Wird der Wert Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle k} bekannt, so kann aus der Signatur der geheime Signaturschlüssel berechnet werden: $x=(k\cdot s-H(m))\cdot r^{-1}\mod q$ . Das ist ebenfalls möglich, wenn der gleiche Wert zweimal verwendet wird. Aus zwei mit dem gleichen $k$ signierten Nachrichten Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle m_1, m_2} mit Signaturen Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle (r, s_1), (r, s_2)} kann Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle k = (H(m_1) - H(m_2)) / (s_1 - s_2)} berechnet werden. Damit wird dann wie eben Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle x} berechnet. Falls Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle k} nur geringe Entropie hat, kann ein Angreifer für jedes mögliche Fehler beim Parsen (MathML mit SVG- oder PNG-Rückgriff (empfohlen für moderne Browser und Barrierefreiheitswerkzeuge): Ungültige Antwort („Math extension cannot connect to Restbase.“) von Server „https://wikimedia.org/api/rest_v1/“:): {\displaystyle k} einen geheimen Schlüssel berechnen und dann mit Hilfe des öffentlichen Verifikationsschlüssels testen, welcher davon der richtige ist.

Verdeckte Kanäle

Gustavus Simmons entdeckte mehrere verdeckte Kanäle in DSA. Damit kann ein Implementierer eine Nachricht in eine Unterschrift einschleusen, die nur jemand lesen kann, der den Schlüssel des verdeckten Kanals kennt. Kennt der Empfänger der Nachricht den geheimen Signaturschlüssel, ist der Kanal breitbandig. Teilen sich Sender und Empfänger ein gemeinsames Geheimnis, ohne dass der Empfänger den geheimen Signaturschlüssel kennt, ist der Kanal schmalbandig. Laut Simmons sei es ein „bemerkenswerter Zufall“, dass die offensichtlichen Nachteile beim El-Gamal-Verfahren in DSS alle überwunden werden können und dass DSS die „günstigsten Voraussetzungen für verdeckte Kommunikation bietet, die bis heute entdeckt wurden“. Weder das NIST noch die NSA äußerten sich zu dem Vorwurf. Da ein boshafter DSS-Entwickler über den verdeckten Kanal mit jeder Signatur Teile des geheimen Schlüssels versenden kann, darf man nur DSS-Implementierungen trauen, deren Entwicklern man völlig vertraut.^[3]

Einzelnachweise

↑ FIPS-186 (Memento des Originals vom 7. April 2012 auf WebCite) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.itl.nist.gov, die erste Version des Standards.
↑ FIPS-186-4 (PDF; 776 kB), die vierte und aktuelle Revision.
↑ G.J. Simmons: The Subliminal Channels in the U.S. Digital Signature Algorithm (DSA). In: Proceedings of the Third Symposium on: State and Progress of Research in Cryptography. Fondazione Ugo Bordoni, Rom 1993, S. 35–54.

[1] FIPS-186 (Memento des Originals vom 7. April 2012 auf WebCite) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.itl.nist.gov, die erste Version des Standards.

[FIPS186-4-2] FIPS-186-4 (PDF; 776 kB), die vierte und aktuelle Revision.

[Simmons93-3] G.J. Simmons: The Subliminal Channels in the U.S. Digital Signature Algorithm (DSA). In: Proceedings of the Third Symposium on: State and Progress of Research in Cryptography. Fondazione Ugo Bordoni, Rom 1993, S. 35–54.

[1]

[2]

[3]

Anonym

Suche

Digital Signature Algorithm

Namensräume

Mehr

Seitenaktionen

Inhaltsverzeichnis