Diskussion:Digital Signature Algorithm

Ist das nicht eher der Text, der unter Digital Signature Standard (DSS) zu finden sein sollte? Hier unter Digital Signature Algorithm wäre doch eine Beschreibung des Algorithmus' an sich viel besser aufgehoben. - Dyon 15:53, 31. Okt 2004 (CET)

gesagt, getan ;)

--- Wenn man das Dokument 186-3 öffnet steht dort, dass dieses veraltet sei. (nicht signierter Beitrag von 193.175.199.229 (Diskussion) 08:27, 6. Nov. 2013 (CET))Beantworten

Irgendwie vermischt der Artikel immernoch DSS mit DSA. Gerade wenn der Artikel "DSA" heißt, aber im Abschnitt "Kritik" von DSS die Rede ist. Bezieht sich die Kritik nun wirklich auf DSS oder auf DSA? Ich bin verwirrt. --RokerHRO (Diskussion) 10:35, 18. Feb. 2015 (CET)Beantworten

Sollte der Artikel nicht auch darauf Hinweisen, dass DSA nachweislich von Seiten der NSA komprommitiert ist? (Hat Gus Simmons wohl schon 1993 gezeigt) --2001:4B88:106D:1FF:92E6:BAFF:FEB8:FE0B 09:55, 22. Dez. 2013 (CET)Beantworten

hast du dazu einen link? --Mario d 17:51, 22. Dez. 2013 (CET)Beantworten

Es gibt soweit mir bekannt aktuell überhaupt keine Beweise für solch eine Annahme. Zur Signierung von Nachrichten (hmac) gilt SHA1 aktuell noch als sicher genug. Alternativ kann SHA2 oder SHA3 (noch in abschließender Spezifizierung) verwendet werden. Diese sind allerdings noch immer digitale Signaturalgorithmen. Somit ist die Aussage, dass DSA kompromittiert ist, definitiv falsch. --212.184.103.174 01:50, 14. Sep. 2014 (CEST)Beantworten

Das ist nicht was Gus Simmons zeigte. Er zeigte, dass DSA "subliminale Kommunikation" ermöglicht, indem z.B. Unterzeichner und eine verifizierende Partei ein Protokoll vereinbaren, nachdem der Wert k nicht zufällig generiert wird, sondern eine verborgene Nachricht enthält. Die Widerstandsfähigkeit der Signatur gegenüber Fälschungen kann dadurch (je nachdem wie groß man die verborgene Nachricht wählt) etwas herabgesetzt werden, was aber kaum auffallen wird, wenn die Signatur an sich stark genug ist. Außerdem ergibt sich daraus, dass die Verwendung eines schwachen Zufallszahlengenerators für k Teile des privaten Schlüssels preisgeben kann. Es ist durchaus denkbar, dass der NSA diese möglichen Schwachstellen bekannt waren, es heißt aber trotzdem nicht, dass DSA grundsätzlich unsicher ist, sondern dass besonderer Wert auf die zufällige Auswahl von k gelegt werden muss.

Zum Vergleich kann man z.B. das OpenSSL-RSA-Desaster heranziehen. Zur Erinnerung: (auch öffentliche) RSA-Schlüssel enthalten ja eine Zahl n, die das Produkt zweier großer Primzahlen ist. Die Sicherheitsannahme basiert darauf, dass große zusammengesetzte Zahlen schwer zu faktorisieren sind. OpenSSL hatte aber einen Bug, der dazu führte, dass bestimmte Primzahlen (mit nicht vernachlässigbarer Wahrscheinlichkeit) mehrfach als Faktor von n vorkamen, selbst in Schlüsseln, die von völlig verschiedenen Parteien generiert wurden. Die NSA benutzte dann einen optimierten ggT-Algorithmus um Zehntausende – oder vielleicht auch viel mehr – n aus öffentlichen Schlüsseln zu faktorisieren. Wenn man das geschafft hat, ist es dann sehr einfach, den passenden privaten Schlüssel zu berechnen, die NSA konnte also dann Nachrichten der betroffenen Schlüssel beliebig entschlüsseln, und ebenso Signaturen fälschen.

Das war wie gesagt ein Desaster, aber es zeigte nicht, dass RSA grundsätzlich unsicher sei, sondern ist auf schlechte Wahl der Parameter zurückzuführen, und wie auch am Beispiel des DSA-Seitenkanals darauf, dass bei der Qualität der Zufallszahlen eben keine Kompromisse (ob absichtlich oder unabsichtlich) gemacht werden dürfen. Es gibt eigentlich für jedes Kryptosystem die Möglichkeit, schlechte Parameter zu wählen oder auch die Möglichkeit bösartiger Implementierungen, die absichtlich geschwächt sind oder Kleptografie betreiben. Das hat deshalb (abgesehen von der spezifischen Art der Schwäche) meiner Meinung nichts mit DSA zu tun. Aragorn2 (Diskussion) 10:01, 20. Mai 2019 (CEST)Beantworten

"Die Firma RSA, die eine exklusive Lizenz an Schnorrs Signaturverfahren hält, hätte mit Patentstreitigkeiten ein Diskreter-Logarithmus-Verfahren statt ihres RSA-Systems als Standard erschweren können, scheute aber vermutlich eine offene Konfrontation mit der US-Regierung."

Der Satz wirkt seltsam. Ich weiß nicht, was er genau aussagen will (nicht signierter Beitrag von 194.121.90.163 (Diskussion) 09:28, 21. Mär. 2014 (CET))Beantworten

Ich versuche es einmal zu verstehen.

Die Firma RSA hätte mit einem Rechtsstreit auf Grundlage ihres Patents DSA (beruht auf dem diskreten Logarithmus) im Standard (DSS) verhindern oder mindestens erschweren können, so dass ihr Verfahren, RSA, der alleinige zugelassene Algorithmus in DSS gewesen wäre. Sie hat dies aber vermutlich nicht getan, um eine Konfrontation mit der Regierung zu vermeiden.

So verstehe ich den Satz. Das sind jedoch alles Spekulation ohne jeden Beleg. --Franz Scheerer aus Wiesbaden (Diskussion) 22:28, 2. Apr. 2023 (CEST)Beantworten

Der Text in "Schlüssel erzeugen" klingt so, als wäre die Schlüssellänge maximal 1024 Bit. Der englische Artikel zu DSA beschreibt aber, dass dies nur die ursprüngliche Implementierung war und inziwschen auch länger Schlüssel möglich sind. Bitte den deutschen Text entsprechend anpassen. (nicht signierter Beitrag von 2A00:E50:F155:B:5176:ADF:6B5:C69A (Diskussion | Beiträge) 16:46, 12. Aug. 2015 (CEST))Beantworten

Identischer Hashwert bedeutet auch identische Signatur. Kollisionen der Hashfunktion sind auch Kollisionen der Signatur. Aber SHA-1 ist nicht kollisionsresistent und die Signatur damit nicht sicher. --Franz Scheerer aus Wiesbaden (Diskussion) 18:18, 25. Mär. 2023 (CET)Beantworten

Da helfen auch elliptische Kurven nicht weiter. --Franz Scheerer aus Wiesbaden (Diskussion) 18:22, 25. Mär. 2023 (CET)Beantworten

... und wer weiß, ob SHA-2 wirklich sicher ist? --Franz Scheerer aus Wiesbaden (Diskussion) 18:25, 25. Mär. 2023 (CET)Beantworten

Wahrscheinlich der Grund, weshalb das Verfahren zurückgezogen wird, heimlich, still und leise. --Franz Scheerer aus Wiesbaden (Diskussion) 18:23, 25. Mär. 2023 (CET)Beantworten

Außerdem ist das Patent inzwischen abgelaufen. --Franz Scheerer aus Wiesbaden (Diskussion) 20:52, 25. Mär. 2023 (CET)Beantworten

Ihre Privatmeinungen gehören nicht auf diese Diskussionsseite, hier soll am Artikel gearbeitet werden.—Ilse Ongkim (Diskussion) 08:47, 3. Apr. 2023 (CEST)Beantworten

Die diversen Verfahren, Elgamal-Signaturverfahren, die Schnorr-Signatur und der Digital Signature Algorithm unterscheiden sich im Grunde nur marginal. Die Sicherheit dieser Verfahren steht und fällt mit dem sogenannten diskreten Logarithmus-Problem, ob also der geheime Exponent, das ist der zur Signatur-Erstellung benötigte Schlüssel, berechnet werden kann.

Doch dieses Problem ist bei hinreichen großen Primzahlen in der Größenordnung von 256 Bits und 1000 Bits praktisch unlösbar. Wir können also mit geringem Aufwand sichere Signaturen erstellen und benötigen dafür keine elliptische Kurven. --Franz Scheerer aus Wiesbaden (Diskussion) 20:06, 30. Mär. 2023 (CEST)Beantworten

Auch der Diffie-Hellman-Schlüsselaustausch ist so sicher wie das Logarithmus-Problem schwer zu lösen ist. --Franz Scheerer aus Wiesbaden (Diskussion) 20:11, 30. Mär. 2023 (CEST)Beantworten

Doch dies will offenbar niemand wahr haben. --Franz Scheerer aus Wiesbaden (Diskussion) 20:12, 30. Mär. 2023 (CEST)Beantworten

Ihre Privatmeinungen gehören nicht auf diese Diskussionsseite, hier soll am Artikel gearbeitet werden.—Ilse Ongkim (Diskussion) 08:47, 3. Apr. 2023 (CEST)Beantworten

Welch eine Anmaßung, als ob es keine anderen Algorithmen und Standards gäbe. Doch dieser Standard hat ausgedient. Die Schnorr-Signatur ist einfacher und mindestens ebenso sicher. --94.114.243.248 09:41, 25. Jul. 2023 (CEST)Beantworten

Wozu brauchen wir überhaupt einen Standard? --94.114.243.248 09:43, 25. Jul. 2023 (CEST)Beantworten

Ein Standard dient dem Zweck, damit unterschiedliche Teilnehmer miteinander dasselbe Verfahren nutzen können und dabei kompatibel zueinander sind. Das Ziel ist Interoperabilität. --Matthäus Wander 16:15, 25. Jul. 2023 (CEST)Beantworten