Digital Signature Algorithm

Eine gesichtete Version dieser Seite, die am 6. Mai 2015 freigegeben wurde, basiert auf dieser Version.

Der Digital Signature Algorithm (DSA) ist ein Standard der US-Regierung für Digitale Signaturen. Er wurde vom National Institute of Standards and Technology (NIST) im August 1991 für die Verwendung in deren Digital Signature Standard (DSS) empfohlen. Der DSS enthält neben dem DSA (ursprünglich der einzige im DSS definierte Algorithmus) als weitere Algorithmen die RSA-Signatur und ECDSA. Der DSS wurde zuerst in FIPS-PUB 186^[1] veröffentlicht und zuletzt im FIPS-PUB 186-4^[2] angepasst.

Entworfen wurde er von der NSA im Rahmen des Versuchs der US-Regierung, hochsichere Verschlüsselung unter Kontrolle zu bringen. Bestandteil dieser Strategie war auch das Exportverbot starker Verschlüsselungsalgorithmen, dessen Missachtung strafrechtlich verfolgt wurde. Der DSA basiert auf dem diskreten Logarithmus in endlichen Körpern. Er orientiert sich am Elgamal-Signaturverfahren und ist verwandt mit der Schnorr-Signatur. Die Übertragung des DSA auf elliptische Kurven wird als ECDSA (Elliptic Curve Digital Signature Algorithm) bezeichnet und ist in ANSI X9.62 standardisiert.

Schnorr warf im Rahmen der Standardisierung IEEE P1363 der NIST vor, mit dem von ihr entwickelten Signatur-Verfahren Digital Signature Algorithm sein Patent zu verletzen. Dieses galt bis zum Jahre 2008. Vor der Entwicklung des DSA waren Verhandlungen mit Schnorr gescheitert, sein Signatur-Schema zu nutzen. Die Firma RSA, die eine exklusive Lizenz an Schnorrs Signaturverfahren hält, hätte mit Patentstreitigkeiten ein Diskreter-Logarithmus-Verfahren statt ihres RSA-Systems als Standard erschweren können, scheute aber vermutlich eine offene Konfrontation mit der US-Regierung.

Funktionsweise

Schlüssel erzeugen

Wähle eine Primzahl $p\,$ der Länge $L\,$ bit, mit $512\leq L\leq 1024$ , wobei $L\,$ ein Vielfaches von 64 ist.
Wähle eine weitere Primzahl $q\,$ der Länge 160 bit, die ein Teiler von $p-1$ ist.
Wähle $h\,$ für das gilt: $1<h<p-1\,$ und $h^{\frac {p-1}{q}}\mod p\neq 1$ .
Berechne $g=h^{\frac {p-1}{q}}\mod p$ . Aus dem Satz von Lagrange folgt, dass $g$ dann die Ordnung $q$ in der Einheitengruppe $(\mathbb {Z} /p\mathbb {Z} )^{\times }$ hat.
Wähle ein zufälliges $x\,$ für das gilt: $1<x<q\,$
Berechne $y=g^{x}\mod p$

$p,q,g,y\,$ werden veröffentlicht (öffentlicher Schlüssel), $x\,$ muss geheim bleiben, da es der geheime Schlüssel ist.

Signieren

Signiert wird die Nachricht $m\,$ ; $\operatorname {SHA} (m)$ bezeichnet den SHA-Hashwert der Nachricht $m\,$ . Ursprünglich war die Hashfunktion immer SHA-1, in neueren Versionen des Standards wurde auch SHA-2 zugelassen.

Wähle für jede zu signierende Nachricht ein zufälliges $s\,$ mit $1<s<q\,$
Berechne $s_{1}=(g^{s}\mod p)\mod q$ , ist $s_{1}=0$ so muss ein neues $s$ gewählt werden
Berechne $s_{2}=s^{-1}\cdot (\operatorname {SHA} (m)+s_{1}\cdot x)\mod q$ , ist $s_{2}=0$ so muss ebenfalls neu mit Schritt 1 begonnen werden

Die Signatur der Nachricht ist nun $(s_{1},s_{2})\,$ . Dabei darf $s$ nicht übermittelt werden, da sonst $s^{-1}\mod q$ und damit auch der geheime Signaturschlüssel $x$ mit dem erweiterten euklidischen Algorithmus berechnet werden kann. Aus dem gleichen Grund ist es wichtig, dass ein Angreifer $s$ nicht leicht erraten kann.

Überprüfung

Gegeben ist die Signatur bestehend aus $s_{1}\,$ und $s_{2}\,$ sowie die Nachricht $m\,$ . Der Wert $s\,$ wird nicht übermittelt.

Überprüfe, ob $0<s_{1}<q$ und $0<s_{2}<q$ . Ist das nicht der Fall, weise die Signatur als ungültig zurück.
Berechne $w=s_{2}^{-1}\mod q$
Berechne $u_{1}=\operatorname {SHA} (m)\cdot w\mod q$
Berechne $u_{2}=s_{1}\cdot w\mod q$
Berechne $v=(g^{u_{1}}\cdot y^{u_{2}}\mod p)\mod q$
Wenn $v=s_{1}\,$ , dann ist die Signatur gültig.

Kritik

Gustavus Simmons entdeckte mehrere verdeckte Kanäle in DSA. Damit kann ein Implementierer eine Nachricht in eine Unterschrift einschleusen, die nur jemand lesen kann, der den Schlüssel des verdeckten Kanals kennt. Kennt der Empfänger der Nachricht den geheimen Signaturschlüssel, ist der Kanal breitbandig. Teilen sich Sender und Empfänger ein gemeinsames Geheimnis, ohne dass der Empfänger den geheimen Signaturschlüssel kennt, ist der Kanal schmalbandig. Laut Simmons sei es ein „bemerkenswerter Zufall“, dass die offensichtlichen Nachteile beim El-Gamal-Verfahren in DSS alle überwunden werden können und dass DSS die „günstigsten Voraussetzungen für verdeckte Kommunikation bietet, die bis heute entdeckt wurden“. Weder das NIST noch die NSA äußerten sich zu dem Vorwurf. Da ein boshafter DSS-Entwickler über den verdeckten Kanal mit jeder Signatur Teile des geheimen Schlüssels versenden kann, darf man nur DSS-Implementierungen trauen, deren Entwicklern man völlig vertraut.^[3]

Einzelnachweise

↑ FIPS-186, die erste Version des Standards.
↑ FIPS-186-4 (PDF; 776 KB), die vierte und aktuelle Revision.
↑ G.J. Simmons, »The Subliminal Channels in the U.S. Digital Signature Algorithm (DSA).« Proceedings of the Third Symposium on: State an Progreess of Research in Cryptography, Rome: Fondazione Ugo Bordoni, 1993, pp. 35–54.

[1] FIPS-186, die erste Version des Standards.

[FIPS186-4-2] FIPS-186-4 (PDF; 776 KB), die vierte und aktuelle Revision.

[Simmons93-3] G.J. Simmons, »The Subliminal Channels in the U.S. Digital Signature Algorithm (DSA).« Proceedings of the Third Symposium on: State an Progreess of Research in Cryptography, Rome: Fondazione Ugo Bordoni, 1993, pp. 35–54.

[1]

[2]

[3]