www.wikidata.de-de.nina.az

Digital Signature Algorithm Der DSA deutsch Digitaler Signaturalgorithmus ist ein Standard der US Regierung für Digitale

Digital Signature Algorithm

Der Digital Signature Algorithm (DSA; deutsch „Digitaler Signaturalgorithmus“) ist ein Standard der US-Regierung für Digitale Signaturen. Er wurde vom National Institute of Standards and Technology (NIST) im August 1991 für die Verwendung in deren Digital Signature Standard (DSS) empfohlen. Der DSS enthielt neben dem DSA (ursprünglich der einzige im DSS definierte Algorithmus) als weitere Algorithmen die RSA-Signatur und ECDSA. Der DSS wurde zuerst in FIPS-PUB 186 veröffentlicht und zuletzt wurde FIPS-PUB 186-4 durch PUB 186-5 überarbeitet und ersetzt. Mit der Version 186-5 ist DSA ohne elliptische Kurven nicht mehr zulässig.

Entworfen wurde er von der NSA im Rahmen des Versuchs der US-Regierung, hochsichere Verschlüsselung unter Kontrolle zu bringen. Bestandteil dieser Strategie war auch das Exportverbot starker Verschlüsselungsalgorithmen, dessen Missachtung strafrechtlich verfolgt wurde. Der DSA basiert auf dem diskreten Logarithmus in endlichen Körpern. Er orientiert sich am Elgamal-Signaturverfahren und ist verwandt mit der Schnorr-Signatur. Die Übertragung des DSA auf elliptische Kurven wird als ECDSA (Elliptic Curve Digital Signature Algorithm) bezeichnet und ist in ANSI X9.62 standardisiert.

Claus-Peter Schnorr warf im Rahmen der Standardisierung IEEE P1363 der NIST vor, mit dem von ihr entwickelten Signatur-Verfahren Digital Signature Algorithm sein Patent zu verletzen. Dieses galt bis zum Jahre 2008. Vor der Entwicklung des DSA waren Verhandlungen mit Schnorr gescheitert, sein Signatur-Schema zu nutzen. Die Firma RSA, die eine exklusive Lizenz an Schnorrs Signaturverfahren hält, hätte mit Patentstreitigkeiten ein Diskreter-Logarithmus-Verfahren statt ihres RSA-Systems als Standard erschweren können, scheute aber vermutlich eine offene Konfrontation mit der US-Regierung.

Funktionsweise Bearbeiten

Für DSA wird ein Hashverfahren und eine mathematische Gruppe benötigt. Als Hashverfahren war ursprünglich nur SHA-1 zugelassen, in neueren Versionen des Standards wurde auch SHA-2 zugelassen. Die Wahl der Gruppe hängt von zwei Parametern und ab, die die Sicherheit des Verfahrens bestimmen. Im ursprünglichen Standard wird und gefordert, wobei ein Vielfaches von 64 sein muss. Der noch gültige Standard lässt folgende Kombinationen von und zu: (1024, 160), (2048, 224), (2048, 256), (3072, 256). darf höchstens so groß sein wie die Ausgabelänge des Hashalgorithmus.

Parameter erzeugen Bearbeiten

  1. Wähle eine Primzahl der Länge bit.
  2. Wähle eine Primzahl der Länge bit, so dass ein Vielfaches von ist.
  3. Wähle ein , das die Ordnung in der Einheitengruppe hat. Ein einfacher Weg, dies sicherzustellen ist, zuerst ein Gruppenelement mit und zu finden und dann zu setzen. Die gewünschte Eigenschaft folgt dann aus dem Satz von Lagrange (Weil teilerfremd zur Primzahl ist, muss nach dem Kleinen Satz von Fermat sein – die Ordnung von kann also höchstens sein. Da prim ist, kann die Ordnung von kein Teiler von sein.)

Die Parameter sind öffentlich und können von mehreren Benutzern verwendet werden.

Schlüssel erzeugen Bearbeiten

  1. Wähle ein zufälliges für das gilt:
  2. Berechne

Der Verifikationsschlüssel wird veröffentlicht (öffentlicher Schlüssel), der Signaturschlüssel muss geheim bleiben, da es der geheime Schlüssel ist.

Signieren Bearbeiten

Um die Nachricht zu signieren, reicht es auch, ihren Hashwert zu signieren.

  1. Wähle für jede zu signierende Nachricht ein zufälliges mit
  2. Berechne ; ist so muss ein neues gewählt werden.
  3. Berechne ; ist so muss ebenfalls neu mit Schritt 1 begonnen werden

Die Signatur der Nachricht ist das Tupel . Der Wert muss geheim gehalten werden, darf nicht leicht zu erraten sein und darf nicht wiederverwendet werden, da sonst der geheime Signaturschlüssel berechnet werden kann (s. Abschnitt Sicherheit).

Überprüfung Bearbeiten

Gegeben ist eine Signatur sowie die Nachricht .

  1. Überprüfe, ob und . Ist das nicht der Fall, weise die Signatur als ungültig zurück.
  2. Berechne
  3. Berechne
  4. Berechne
  5. Berechne
  6. Wenn , dann ist die Signatur gültig, sonst ungültig.

Sicherheit Bearbeiten

Anforderungen an Zufallswerte Bearbeiten

Wie bei allen Signaturverfahren, die auf dem diskreten Logarithmus basieren, insbesondere für Verfahren, die auf elliptischen Kurven beruhen, hängt die Sicherheit ganz wesentlich von den Eigenschaften der berechneten Zufallswerte ab.

Für jede Signatur muss ein Zufallswert generiert werden. Dieser muss ausreichend Entropie besitzen, geheim gehalten werden und darf nur einmal verwendet werden. Diese Anforderungen sind kritisch: Wird der Wert bekannt, so kann aus der Signatur der geheime Signaturschlüssel berechnet werden: . Das ist ebenfalls möglich, wenn der gleiche Wert zweimal verwendet wird. Aus zwei mit dem gleichen signierten Nachrichten mit Signaturen kann berechnet werden. Damit wird dann wie eben berechnet. Falls nur geringe Entropie hat, kann ein Angreifer für jedes mögliche einen geheimen Schlüssel berechnen und dann mit Hilfe des öffentlichen Verifikationsschlüssels testen, welcher davon der richtige ist.

Verdeckte Kanäle Bearbeiten

Gustavus Simmons entdeckte mehrere verdeckte Kanäle in DSA. Damit kann ein Implementierer eine Nachricht in eine Unterschrift einschleusen, die nur jemand lesen kann, der den Schlüssel des verdeckten Kanals kennt. Kennt der Empfänger der Nachricht den geheimen Signaturschlüssel, ist der Kanal breitbandig. Teilen sich Sender und Empfänger ein gemeinsames Geheimnis, ohne dass der Empfänger den geheimen Signaturschlüssel kennt, ist der Kanal schmalbandig. Laut Simmons sei es ein „bemerkenswerter Zufall“, dass die offensichtlichen Nachteile beim El-Gamal-Verfahren in DSS alle überwunden werden können und dass DSS die „günstigsten Voraussetzungen für verdeckte Kommunikation bietet, die bis heute entdeckt wurden“. Weder das NIST noch die NSA äußerten sich zu dem Vorwurf. Da ein boshafter DSS-Entwickler über den verdeckten Kanal mit jeder Signatur Teile des geheimen Schlüssels versenden kann, darf man nur DSS-Implementierungen trauen, deren Entwicklern man völlig vertraut.

Einzelnachweise Bearbeiten

  1. FIPS-186
  2. FIPS-186-4 (PDF; 776 kB), die vierte Revision.
  3. FIPS-186-5 die aktuelle Revision.
  4. G.J. Simmons: The Subliminal Channels in the U.S. Digital Signature Algorithm (DSA). In: Proceedings of the Third Symposium on: State and Progress of Research in Cryptography. Fondazione Ugo Bordoni, Rom 1993, S. 35–54.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Der Digital Signature Algorithm DSA deutsch Digitaler Signaturalgorithmus ist ein Standard der US Regierung fur Digitale Signaturen Er wurde vom National Institute of Standards and Technology NIST im August 1991 fur die Verwendung in deren Digital Signature Standard DSS empfohlen Der DSS enthielt neben dem DSA ursprunglich der einzige im DSS definierte Algorithmus als weitere Algorithmen die RSA Signatur und ECDSA Der DSS wurde zuerst in FIPS PUB 186 1 veroffentlicht und zuletzt wurde FIPS PUB 186 4 2 durch PUB 186 5 3 uberarbeitet und ersetzt Mit der Version 186 5 ist DSA ohne elliptische Kurven nicht mehr zulassig Entworfen wurde er von der NSA im Rahmen des Versuchs der US Regierung hochsichere Verschlusselung unter Kontrolle zu bringen Bestandteil dieser Strategie war auch das Exportverbot starker Verschlusselungsalgorithmen dessen Missachtung strafrechtlich verfolgt wurde Der DSA basiert auf dem diskreten Logarithmus in endlichen Korpern Er orientiert sich am Elgamal Signaturverfahren und ist verwandt mit der Schnorr Signatur Die Ubertragung des DSA auf elliptische Kurven wird als ECDSA Elliptic Curve Digital Signature Algorithm bezeichnet und ist in ANSI X9 62 standardisiert Claus Peter Schnorr warf im Rahmen der Standardisierung IEEE P1363 der NIST vor mit dem von ihr entwickelten Signatur Verfahren Digital Signature Algorithm sein Patent zu verletzen Dieses galt bis zum Jahre 2008 Vor der Entwicklung des DSA waren Verhandlungen mit Schnorr gescheitert sein Signatur Schema zu nutzen Die Firma RSA die eine exklusive Lizenz an Schnorrs Signaturverfahren halt hatte mit Patentstreitigkeiten ein Diskreter Logarithmus Verfahren statt ihres RSA Systems als Standard erschweren konnen scheute aber vermutlich eine offene Konfrontation mit der US Regierung Inhaltsverzeichnis 1 Funktionsweise 1 1 Parameter erzeugen 1 2 Schlussel erzeugen 1 3 Signieren 1 4 Uberprufung 2 Sicherheit 2 1 Anforderungen an Zufallswerte 2 2 Verdeckte Kanale 3 EinzelnachweiseFunktionsweise BearbeitenFur DSA wird ein Hashverfahren H displaystyle H nbsp und eine mathematische Gruppe benotigt Als Hashverfahren war ursprunglich nur SHA 1 zugelassen in neueren Versionen des Standards wurde auch SHA 2 zugelassen Die Wahl der Gruppe hangt von zwei Parametern L displaystyle L nbsp und N displaystyle N nbsp ab die die Sicherheit des Verfahrens bestimmen Im ursprunglichen Standard wird 512 L 1024 displaystyle 512 leq L leq 1024 nbsp und N 160 displaystyle N 160 nbsp gefordert wobei L displaystyle L nbsp ein Vielfaches von 64 sein muss Der noch gultige Standard lasst folgende Kombinationen von L displaystyle L nbsp und N displaystyle N nbsp zu 1024 160 2048 224 2048 256 3072 256 N displaystyle N nbsp darf hochstens so gross sein wie die Ausgabelange des Hashalgorithmus Parameter erzeugen Bearbeiten Wahle eine Primzahl q displaystyle q nbsp der Lange N displaystyle N nbsp bit Wahle eine Primzahl p displaystyle p nbsp der Lange L displaystyle L nbsp bit so dass p 1 displaystyle p 1 nbsp ein Vielfaches von q displaystyle q nbsp ist Wahle ein g displaystyle g nbsp das die Ordnung q displaystyle q nbsp in der Einheitengruppe Z p Z displaystyle mathbb Z p mathbb Z times nbsp hat Ein einfacher Weg dies sicherzustellen ist zuerst ein Gruppenelement h displaystyle h nbsp mit 1 lt h lt p 1 displaystyle 1 lt h lt p 1 nbsp und h p 1 q mod p 1 displaystyle h frac p 1 q mod p neq 1 nbsp zu finden und dann g h p 1 q mod p displaystyle g h frac p 1 q mod p nbsp zu setzen Die gewunschte Eigenschaft folgt dann aus dem Satz von Lagrange Weil h displaystyle h nbsp teilerfremd zur Primzahl p displaystyle p nbsp ist muss nach dem Kleinen Satz von Fermat g q h p 1 1 mod p displaystyle g q h p 1 1 mod p nbsp sein die Ordnung von g displaystyle g nbsp kann also hochstens q displaystyle q nbsp sein Da q displaystyle q nbsp prim ist kann die Ordnung von g displaystyle g nbsp kein Teiler von q displaystyle q nbsp sein Die Parameter p q g displaystyle p q g nbsp sind offentlich und konnen von mehreren Benutzern verwendet werden Schlussel erzeugen Bearbeiten Wahle ein zufalliges x displaystyle x nbsp fur das gilt 1 lt x lt q displaystyle 1 lt x lt q nbsp Berechne y g x mod p displaystyle y g x mod p nbsp Der Verifikationsschlussel y displaystyle y nbsp wird veroffentlicht offentlicher Schlussel der Signaturschlussel x displaystyle x nbsp muss geheim bleiben da es der geheime Schlussel ist Signieren Bearbeiten Um die Nachricht m displaystyle m nbsp zu signieren reicht es auch ihren Hashwert H m displaystyle H m nbsp zu signieren Wahle fur jede zu signierende Nachricht ein zufalliges k displaystyle k nbsp mit 1 lt k lt q displaystyle 1 lt k lt q nbsp Berechne r g k mod p mod q displaystyle r g k mod p mod q nbsp ist r 0 displaystyle r 0 nbsp so muss ein neues k displaystyle k nbsp gewahlt werden Berechne s k 1 H m r x mod q displaystyle s k 1 cdot H m r cdot x mod q nbsp ist s 0 displaystyle s 0 nbsp so muss ebenfalls neu mit Schritt 1 begonnen werdenDie Signatur der Nachricht ist das Tupel r s displaystyle r s nbsp Der Wert k displaystyle k nbsp muss geheim gehalten werden darf nicht leicht zu erraten sein und darf nicht wiederverwendet werden da sonst der geheime Signaturschlussel x displaystyle x nbsp berechnet werden kann s Abschnitt Sicherheit Uberprufung Bearbeiten Gegeben ist eine Signatur r s displaystyle r s nbsp sowie die Nachricht m displaystyle m nbsp Uberprufe ob 0 lt r lt q displaystyle 0 lt r lt q nbsp und 0 lt s lt q displaystyle 0 lt s lt q nbsp Ist das nicht der Fall weise die Signatur als ungultig zuruck Berechne w s 1 mod q displaystyle w s 1 mod q nbsp Berechne u 1 H m w mod q displaystyle u 1 H m cdot w mod q nbsp Berechne u 2 r w mod q displaystyle u 2 r cdot w mod q nbsp Berechne v g u 1 y u 2 mod p mod q displaystyle v g u 1 cdot y u 2 mod p mod q nbsp Wenn v r displaystyle v r nbsp dann ist die Signatur gultig sonst ungultig Sicherheit BearbeitenAnforderungen an Zufallswerte Bearbeiten Wie bei allen Signaturverfahren die auf dem diskreten Logarithmus basieren insbesondere fur Verfahren die auf elliptischen Kurven beruhen hangt die Sicherheit ganz wesentlich von den Eigenschaften der berechneten Zufallswerte ab Fur jede Signatur muss ein Zufallswert k displaystyle k nbsp generiert werden Dieser muss ausreichend Entropie besitzen geheim gehalten werden und darf nur einmal verwendet werden Diese Anforderungen sind kritisch Wird der Wert k displaystyle k nbsp bekannt so kann aus der Signatur der geheime Signaturschlussel berechnet werden x k s H m r 1 mod q displaystyle x k cdot s H m cdot r 1 mod q nbsp Das ist ebenfalls moglich wenn der gleiche Wert zweimal verwendet wird Aus zwei mit dem gleichen k displaystyle k nbsp signierten Nachrichten m 1 m 2 displaystyle m 1 m 2 nbsp mit Signaturen r s 1 r s 2 displaystyle r s 1 r s 2 nbsp kann k H m 1 H m 2 s 1 s 2 displaystyle k H m 1 H m 2 s 1 s 2 nbsp berechnet werden Damit wird dann wie eben x displaystyle x nbsp berechnet Falls k displaystyle k nbsp nur geringe Entropie hat kann ein Angreifer fur jedes mogliche k displaystyle k nbsp einen geheimen Schlussel berechnen und dann mit Hilfe des offentlichen Verifikationsschlussels testen welcher davon der richtige ist Verdeckte Kanale Bearbeiten Gustavus Simmons entdeckte mehrere verdeckte Kanale in DSA Damit kann ein Implementierer eine Nachricht in eine Unterschrift einschleusen die nur jemand lesen kann der den Schlussel des verdeckten Kanals kennt Kennt der Empfanger der Nachricht den geheimen Signaturschlussel ist der Kanal breitbandig Teilen sich Sender und Empfanger ein gemeinsames Geheimnis ohne dass der Empfanger den geheimen Signaturschlussel kennt ist der Kanal schmalbandig Laut Simmons sei es ein bemerkenswerter Zufall dass die offensichtlichen Nachteile beim El Gamal Verfahren in DSS alle uberwunden werden konnen und dass DSS die gunstigsten Voraussetzungen fur verdeckte Kommunikation bietet die bis heute entdeckt wurden Weder das NIST noch die NSA ausserten sich zu dem Vorwurf Da ein boshafter DSS Entwickler uber den verdeckten Kanal mit jeder Signatur Teile des geheimen Schlussels versenden kann darf man nur DSS Implementierungen trauen deren Entwicklern man vollig vertraut 4 Einzelnachweise Bearbeiten FIPS 186 FIPS 186 4 PDF 776 kB die vierte Revision FIPS 186 5 die aktuelle Revision G J Simmons The Subliminal Channels in the U S Digital Signature Algorithm DSA In Proceedings of the Third Symposium on State and Progress of Research in Cryptography Fondazione Ugo Bordoni Rom 1993 S 35 54 Abgerufen von https de wikipedia org w index php title Digital Signature Algorithm amp oldid 237295155