https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Digital_Signature_AlgorithmDigital Signature Algorithm - Versionsgeschichte2026-05-16T12:23:49ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Digital_Signature_Algorithm&diff=176114&oldid=previmported>Joschi71: /* Verdeckte Kanäle */ Stil2025-03-12T17:09:39Z<p><span class="autocomment">Verdeckte Kanäle: </span> Stil</p>
<p><b>Neue Seite</b></p><div>Der {{lang|en|'''Digital Signature Algorithm'''}} ('''DSA'''; {{deS|„Digitaler Signaturalgorithmus“}}) ist ein Standard der [[Bundesregierung (Vereinigte Staaten)|US-Regierung]] für [[Digitale Signatur]]en. Er wurde vom [[National Institute of Standards and Technology]] (NIST) im August 1991 für die Verwendung in dessen ''{{lang|en|Digital Signature Standard}} (DSS)'' empfohlen. Der DSS enthielt neben dem DSA (ursprünglich der einzige im DSS definierte [[Algorithmus]]) als weitere Algorithmen die [[RSA-Kryptosystem|RSA-Signatur]] und [[Elliptic Curve DSA|ECDSA]]. Der DSS wurde zuerst in [[Federal Information Processing Standard|FIPS]]-PUB 186<ref>[[doi:10.6028/NIST.FIPS.186|FIPS-186]]</ref> veröffentlicht und zuletzt wurde FIPS-PUB 186-4<ref name="FIPS186-4">[http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-4.pdf FIPS-186-4] (PDF; 776&nbsp;kB), die vierte Revision.</ref> durch PUB 186-5<ref name="FIPS186-5">[https://csrc.nist.gov/publications/detail/fips/186/5/final FIPS-186-5] die aktuelle Revision.</ref> überarbeitet und ersetzt. Mit der Version 186-5 ist DSA ohne [[Elliptische Kurve|elliptische Kurven]] nicht mehr zulässig.<br />
<br />
Entworfen wurde er von der [[National Security Agency|NSA]] im Rahmen des Versuchs der US-Regierung, hochsichere [[Verschlüsselung]] unter Kontrolle zu bringen. Bestandteil dieser Strategie war auch das Exportverbot starker Verschlüsselungsalgorithmen, dessen Missachtung strafrechtlich verfolgt wurde. Der DSA basiert auf dem [[Diskreter Logarithmus|diskreten Logarithmus]] in endlichen Körpern. Er orientiert sich am [[Elgamal-Signaturverfahren]] und ist verwandt mit der [[Schnorr-Signatur]]. Die Übertragung des DSA auf elliptische Kurven wird als '''ECDSA''' ({{lang|en|[[Elliptic Curve Cryptography|Elliptic Curve]] Digital Signature Algorithm}}) bezeichnet und ist in ANSI X9.62 standardisiert.<br />
<br />
[[Claus-Peter Schnorr]] warf im Rahmen der Standardisierung IEEE P1363 der NIST vor, mit dem von ihr entwickelten Signatur-Verfahren {{lang|en|Digital Signature Algorithm}} sein Patent zu verletzen. Dieses galt bis zum Jahre 2008. Vor der Entwicklung des DSA waren Verhandlungen mit Schnorr gescheitert, sein Signatur-Schema zu nutzen. Die Firma [[RSA Security|RSA]], die eine exklusive Lizenz an Schnorrs Signaturverfahren hält, hätte mit Patentstreitigkeiten ein Diskreter-Logarithmus-Verfahren statt ihres RSA-Systems als Standard erschweren können, scheute aber vermutlich eine offene Konfrontation mit der US-Regierung.<br />
<br />
== Funktionsweise ==<br />
Für DSA wird ein Hashverfahren <math>H</math> und eine mathematische [[Gruppe (Mathematik)|Gruppe]] benötigt. Als Hashverfahren war ursprünglich nur [[Secure Hash Algorithm|SHA-1]] zugelassen, in neueren Versionen des Standards wurde auch [[SHA-2]] zugelassen. Die Wahl der Gruppe hängt von zwei Parametern <math>L</math> und <math>N</math> ab, die die Sicherheit des Verfahrens bestimmen. Im ursprünglichen Standard wird <math>512\leq L\leq 1024</math> und <math>N = 160</math> gefordert, wobei <math>L</math> ein Vielfaches von 64 sein muss. Der noch gültige Standard lässt folgende Kombinationen von <math>L</math> und <math>N</math> zu: (1024, 160), (2048, 224), (2048, 256), (3072, 256). <math>N</math> darf höchstens so groß sein wie die Ausgabelänge des Hashalgorithmus.<br />
<br />
=== Parameter erzeugen ===<br />
# Wähle eine Primzahl <math>q\,</math> der Länge <math>N\,</math> bit.<br />
# Wähle eine Primzahl <math>p\,</math> der Länge <math>L\,</math> bit, so dass <math>p-1</math> ein Vielfaches von <math>q\,</math> ist.<br />
# Wähle ein <math>g</math>, das die [[Ordnung eines Gruppenelementes|Ordnung]] <math>q</math> in der [[Einheitengruppe]] <math>(\Z/p\Z)^{\times}</math> hat. Ein einfacher Weg, dies sicherzustellen ist, zuerst ein Gruppenelement <math>h\,</math> mit <math>1<h<p-1\,</math> und <math>h^{\frac{p-1}{q}}\mod p\neq 1</math> zu finden und dann <math>g=h^{\frac{p-1}{q}}\mod p</math> zu setzen. Die gewünschte Eigenschaft folgt dann aus dem [[Satz von Lagrange]] (Weil <math>h</math> [[Teilerfremdheit|teilerfremd]] zur Primzahl <math>p</math> ist, muss nach dem [[Kleiner fermatscher Satz|Kleinen Satz von Fermat]] <math>g^q=h^{p-1}=1 \mod p</math> sein – die Ordnung von <math>g</math> kann also höchstens <math>q</math> sein. Da <math>q</math> prim ist, kann die Ordnung von <math>g</math> kein Teiler von <math>q</math> sein.)<br />
<br />
Die Parameter <math>(p, q, g)</math> sind öffentlich und können von mehreren Benutzern verwendet werden.<br />
<br />
=== Schlüssel erzeugen ===<br />
# Wähle ein zufälliges <math>x\,</math> für das gilt: <math>1<x<q\,</math><br />
# Berechne <math>y=g^{x}\mod p</math><br />
<br />
Der Verifikationsschlüssel <math>y\,</math> wird veröffentlicht ([[öffentlicher Schlüssel]]), der Signaturschlüssel <math>x\,</math> muss geheim bleiben, da es der [[Geheimer Schlüssel|geheime Schlüssel]] ist.<br />
<br />
=== Signieren ===<br />
Um die Nachricht <math>m\,</math> zu signieren, reicht es auch, ihren Hashwert <math>H(m)</math> zu signieren.<br />
# Wähle für jede zu signierende Nachricht ein zufälliges <math>k\,</math> mit <math>1<k<q\,</math><br />
# Berechne <math>r=(g^{k}\mod p)\mod q</math>; ist <math>r = 0</math> so muss ein neues <math>k</math> gewählt werden.<br />
# Berechne <math>s=k^{-1} \cdot (H(m) + r \cdot x)\mod q</math>; ist <math>s = 0</math> so muss ebenfalls neu mit Schritt 1 begonnen werden<br />
Die Signatur der Nachricht ist das Tupel <math>(r,s)\,</math>. Der Wert <math>k</math> muss geheim gehalten werden, darf nicht leicht zu erraten sein und darf nicht wiederverwendet werden, da sonst der [[Geheimer Schlüssel|geheime Signaturschlüssel]] <math>x</math> berechnet werden kann (s. Abschnitt Sicherheit).<br />
<br />
=== Überprüfung ===<br />
Gegeben ist eine Signatur <math>(r, s)</math> sowie die Nachricht <math>m\,</math>.<br />
# Überprüfe, ob <math>0 < r < q</math> und <math>0 < s < q</math>. Ist das nicht der Fall, weise die Signatur als ungültig zurück.<br />
# Berechne <math>w=s^{-1}\mod q</math><br />
# Berechne <math>u_{1}=H(m)\cdot w\mod q</math><br />
# Berechne <math>u_{2}=r\cdot w\mod q</math><br />
# Berechne <math>v=(g^{u_1}\cdot y^{u_2}\mod p)\mod q</math><br />
# Wenn <math>v=r\,</math>, dann ist die Signatur gültig, sonst ungültig.<br />
<br />
== Sicherheit ==<br />
<br />
=== Anforderungen an Zufallswerte ===<br />
Wie bei allen Signaturverfahren, die auf dem diskreten [[Logarithmus#Diskrete Logarithmen|Logarithmus]] basieren, insbesondere bei Verfahren, die auf [[Elliptische Kurve|elliptischen Kurven]] beruhen, hängt die Sicherheit ganz wesentlich von den Eigenschaften der berechneten Zufallswerte ab.<br />
<br />
Für jede Signatur muss ein Zufallswert <math>k</math> generiert werden. Dieser muss ausreichend [[Entropie (Kryptologie)|Entropie]] besitzen, geheim gehalten werden und darf nur einmal verwendet werden. Diese Anforderungen sind kritisch: Wird der Wert <math>k</math> bekannt, so kann aus der Signatur der geheime Signaturschlüssel berechnet werden: <math>x = (k \cdot s - H(m)) \cdot r^{-1} \mod q</math>. Das ist ebenfalls möglich, wenn der gleiche Wert zweimal verwendet wird. Aus zwei mit dem gleichen <math>k</math> signierten Nachrichten <math>m_1, m_2</math> mit Signaturen <math>(r, s_1), (r, s_2)</math> kann <math>k = (H(m_1) - H(m_2)) / (s_1 - s_2)</math> berechnet werden. Damit wird dann wie eben <math>x</math> berechnet. Falls <math>k</math> nur geringe Entropie hat, kann ein Angreifer für jedes mögliche <math>k</math> einen geheimen Schlüssel berechnen und dann mit Hilfe des öffentlichen Verifikationsschlüssels testen, welcher davon der richtige ist.<br />
<br />
=== Verdeckte Kanäle ===<br />
[[Gustavus Simmons]] entdeckte mehrere verdeckte Kanäle in DSA. Damit kann ein Implementierer eine Nachricht in eine Unterschrift einschleusen, die nur jemand lesen kann, der den Schlüssel des verdeckten Kanals kennt. Kennt der Empfänger der Nachricht den geheimen Signaturschlüssel, ist der Kanal breitbandig. Teilen sich Sender und Empfänger ein [[gemeinsames Geheimnis]], ohne dass der Empfänger den geheimen Signaturschlüssel kennt, ist der Kanal schmalbandig. Laut Simmons sei es ein „bemerkenswerter Zufall“, dass die offensichtlichen Nachteile beim El-Gamal-Verfahren in DSS alle überwunden werden können und dass DSS die „günstigsten Voraussetzungen für verdeckte Kommunikation bietet, die bis heute entdeckt wurden“. Weder das NIST noch die NSA äußerten sich zu dem Vorwurf. Da ein böswilliger DSS-Entwickler über den verdeckten Kanal mit jeder Signatur Teile des geheimen Schlüssels versenden kann, darf man nur DSS-Implementierungen trauen, deren Entwicklern man völlig vertraut.<ref name="Simmons93">G.J. Simmons: ''The Subliminal Channels in the U.S. Digital Signature Algorithm (DSA).'' In: ''Proceedings of the Third Symposium on: State and Progress of Research in Cryptography.'' Fondazione Ugo Bordoni, Rom 1993, S.&nbsp;35–54.</ref><br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Signaturverfahren]]</div>imported>Joschi71