Digital Signature Algorithm

Für DSA wird ein Hashverfahren und eine mathematische Gruppe benötigt. Als Hashverfahren war ursprünglich nur SHA-1 zugelassen, mittlerweile ist auch SHA-2 erlaubt. Die Wahl der Gruppe hängt von zwei Parametern ${\displaystyle L}$  und ${\displaystyle N}$  ab, die die Sicherheit des Verfahrens bestimmen. Im ursprünglichen Standard wird ${\displaystyle 512\leq L\leq 1024}$  und ${\displaystyle N=160}$  gefordert, wobei ${\displaystyle L}$  ein Vielfaches von 64 sein muss. Der aktuelle Standard lässt folgende Kobinationen von ${\displaystyle L}$  und ${\displaystyle N}$  zu: (1,024, 160), (2,048, 224), (2,048, 256), and (3,072, 256). ${\displaystyle N}$  darf höchstens so groß sein wie die Ausgabelänge des Hashalgorithmus.

• Wähle eine Primzahl ${\displaystyle p\,}$  der Länge ${\displaystyle L\,}$  bit, mit .
• Wähle eine weitere Primzahl ${\displaystyle q\,}$  der Länge ${\displaystyle N\,}$  bit, die ein Teiler von ${\displaystyle p-1}$  ist.
• Wähle ${\displaystyle h\,}$  für das gilt: ${\displaystyle 1<h<p-1\,}$  und ${\displaystyle h^{\frac {p-1}{q}}\mod p\neq 1}$ .
• Berechne ${\displaystyle g=h^{\frac {p-1}{q}}\mod p}$ . Aus dem Satz von Lagrange folgt, dass ${\displaystyle g}$  dann die Ordnung ${\displaystyle q}$  in der Einheitengruppe ${\displaystyle (\mathbb {Z} /p\mathbb {Z} )^{\times }}$  hat.

(Weil ${\displaystyle h}$  teilerfremd zur Primzahl ${\displaystyle p}$  ist, muss nach dem Kleinen Satz von Fermat ${\displaystyle g^{q}=h^{p-1}=1\mod p}$  sein - die Ordnung von ${\displaystyle g}$  kann also höchstens ${\displaystyle q}$  sein. Da ${\displaystyle q}$  prim ist, kann die Ordnung von ${\displaystyle g}$  kein Teiler von ${\displaystyle q}$  sein.)

• Wähle ein zufälliges ${\displaystyle x\,}$  für das gilt: ${\displaystyle 1<x<q\,}$ 
• Berechne ${\displaystyle y=g^{x}\mod p}$ 

${\displaystyle p,q,g,y\,}$  werden veröffentlicht (öffentlicher Schlüssel), ${\displaystyle x\,}$  muss geheim bleiben, da es der geheime Schlüssel ist.

Signiert wird die Nachricht ${\displaystyle m\,}$ ; ${\displaystyle \operatorname {SHA} (m)}$  bezeichnet den SHA-Hashwert der Nachricht ${\displaystyle m\,}$ . Ursprünglich war die Hashfunktion immer SHA-1, in neueren Versionen des Standards wurde auch SHA-2 zugelassen.

• Wähle für jede zu signierende Nachricht ein zufälliges ${\displaystyle s\,}$  mit ${\displaystyle 1<s<q\,}$ 
• Berechne ${\displaystyle s_{1}=(g^{s}\mod p)\mod q}$ , ist ${\displaystyle s_{1}=0}$  so muss ein neues ${\displaystyle s}$  gewählt werden
• Berechne ${\displaystyle s_{2}=s^{-1}\cdot (\operatorname {SHA} (m)+s_{1}\cdot x)\mod q}$ , ist ${\displaystyle s_{2}=0}$  so muss ebenfalls neu mit Schritt 1 begonnen werden

Die Signatur der Nachricht ist nun ${\displaystyle (s_{1},s_{2})\,}$ . Dabei darf ${\displaystyle s}$  nicht übermittelt werden, da sonst ${\displaystyle s^{-1}\mod q}$  und damit auch der geheime Signaturschlüssel ${\displaystyle x}$  mit dem erweiterten euklidischen Algorithmus berechnet werden kann. Aus dem gleichen Grund ist es wichtig, dass ein Angreifer ${\displaystyle s}$  nicht leicht erraten kann.

Gegeben ist die Signatur bestehend aus ${\displaystyle s_{1}\,}$  und ${\displaystyle s_{2}\,}$  sowie die Nachricht ${\displaystyle m\,}$ . Der Wert ${\displaystyle s\,}$  wird nicht übermittelt.

• Überprüfe, ob ${\displaystyle 0<s_{1}<q}$  und ${\displaystyle 0<s_{2}<q}$ . Ist das nicht der Fall, weise die Signatur als ungültig zurück.
• Berechne ${\displaystyle w=s_{2}^{-1}\mod q}$ 
• Berechne ${\displaystyle u_{1}=\operatorname {SHA} (m)\cdot w\mod q}$ 
• Berechne ${\displaystyle u_{2}=s_{1}\cdot w\mod q}$ 
• Berechne ${\displaystyle v=(g^{u_{1}}\cdot y^{u_{2}}\mod p)\mod q}$ 
• Wenn ${\displaystyle v=s_{1}\,}$ , dann ist die Signatur gültig.

Für jede Signatur muss ein Zufallswert ${\displaystyle k}$  generiert werden. Dieser muss ausreichend Entropie besitzen, geheim gehalten werden und darf nur einmal verwendet werden. Diese Anforderungen sind kritisch: Wird der Wert ${\displaystyle k}$  bekannt, so kann aus der Signatur der geheime Signaturschlüssel berechnet werden. Das ist ebenfalls möglich, wenn der gleiche Wert zweimal verwendet wird.

Gustavus Simmons entdeckte mehrere verdeckte Kanäle in DSA. Damit kann ein Implementierer eine Nachricht in eine Unterschrift einschleusen, die nur jemand lesen kann, der den Schlüssel des verdeckten Kanals kennt. Kennt der Empfänger der Nachricht den geheimen Signaturschlüssel, ist der Kanal breitbandig. Teilen sich Sender und Empfänger ein gemeinsames Geheimnis, ohne dass der Empfänger den geheimen Signaturschlüssel kennt, ist der Kanal schmalbandig. Laut Simmons sei es ein „bemerkenswerter Zufall“, dass die offensichtlichen Nachteile beim El-Gamal-Verfahren in DSS alle überwunden werden können und dass DSS die „günstigsten Voraussetzungen für verdeckte Kommunikation bietet, die bis heute entdeckt wurden“. Weder das NIST noch die NSA äußerten sich zu dem Vorwurf. Da ein boshafter DSS-Entwickler über den verdeckten Kanal mit jeder Signatur Teile des geheimen Schlüssels versenden kann, darf man nur DSS-Implementierungen trauen, deren Entwicklern man völlig vertraut.^[3]

1. ↑ FIPS-186, die erste Version des Standards.
2. ↑ FIPS-186-4 (PDF; 776 KB), die vierte und aktuelle Revision.
3. ↑ G.J. Simmons, »The Subliminal Channels in the U.S. Digital Signature Algorithm (DSA).« Proceedings of the Third Symposium on: State an Progreess of Research in Cryptography, Rome: Fondazione Ugo Bordoni, 1993, pp. 35–54.