Diskussion:Digital Signature Algorithm

Ist das nicht eher der Text, der unter Digital Signature Standard (DSS) zu finden sein sollte? Hier unter Digital Signature Algorithm wäre doch eine Beschreibung des Algorithmus' an sich viel besser aufgehoben. - Dyon 15:53, 31. Okt 2004 (CET)

gesagt, getan ;)

--- Wenn man das Dokument 186-3 öffnet steht dort, dass dieses veraltet sei. (nicht signierter Beitrag von 193.175.199.229 (Diskussion) 08:27, 6. Nov. 2013 (CET))[Beantworten]

Irgendwie vermischt der Artikel immernoch DSS mit DSA. Gerade wenn der Artikel "DSA" heißt, aber im Abschnitt "Kritik" von DSS die Rede ist. Bezieht sich die Kritik nun wirklich auf DSS oder auf DSA? Ich bin verwirrt. --RokerHRO (Diskussion) 10:35, 18. Feb. 2015 (CET)[Beantworten]

Sollte der Artikel nicht auch darauf Hinweisen, dass DSA nachweislich von Seiten der NSA komprommitiert ist? (Hat Gus Simmons wohl schon 1993 gezeigt) --2001:4B88:106D:1FF:92E6:BAFF:FEB8:FE0B 09:55, 22. Dez. 2013 (CET)[Beantworten]

hast du dazu einen link? --Mario d 17:51, 22. Dez. 2013 (CET)[Beantworten]

Es gibt soweit mir bekannt aktuell überhaupt keine Beweise für solch eine Annahme. Zur Signierung von Nachrichten (hmac) gilt SHA1 aktuell noch als sicher genug. Alternativ kann SHA2 oder SHA3 (noch in abschließender Spezifizierung) verwendet werden. Diese sind allerdings noch immer digitale Signaturalgorithmen. Somit ist die Aussage, dass DSA kompromittiert ist, definitiv falsch. --212.184.103.174 01:50, 14. Sep. 2014 (CEST)[Beantworten]

Das ist nicht was Gus Simmons zeigte. Er zeigte, dass DSA "subliminale Kommunikation" ermöglicht, indem z.B. Unterzeichner und eine verifizierende Partei ein Protokoll vereinbaren, nachdem der Wert k nicht zufällig generiert wird, sondern eine verborgene Nachricht enthält. Die Widerstandsfähigkeit der Signatur gegenüber Fälschungen kann dadurch (je nachdem wie groß man die verborgene Nachricht wählt) etwas herabgesetzt werden, was aber kaum auffallen wird, wenn die Signatur an sich stark genug ist. Außerdem ergibt sich daraus, dass die Verwendung eines schwachen Zufallszahlengenerators für k Teile des privaten Schlüssels preisgeben kann. Es ist durchaus denkbar, dass der NSA diese möglichen Schwachstellen bekannt waren, es heißt aber trotzdem nicht, dass DSA grundsätzlich unsicher ist, sondern dass besonderer Wert auf die zufällige Auswahl von k gelegt werden muss.

Zum Vergleich kann man z.B. das OpenSSL-RSA-Desaster heranziehen. Zur Erinnerung: (auch öffentliche) RSA-Schlüssel enthalten ja eine Zahl n, die das Produkt zweier großer Primzahlen ist. Die Sicherheitsannahme basiert darauf, dass große zusammengesetzte Zahlen schwer zu faktorisieren sind. OpenSSL hatte aber einen Bug, der dazu führte, dass bestimmte Primzahlen (mit nicht vernachlässigbarer Wahrscheinlichkeit) mehrfach als Faktor von n vorkamen, selbst in Schlüsseln, die von völlig verschiedenen Parteien generiert wurden. Die NSA benutzte dann einen optimierten ggT-Algorithmus um Zehntausende – oder vielleicht auch viel mehr – n aus öffentlichen Schlüsseln zu faktorisieren. Wenn man das geschafft hat, ist es dann sehr einfach, den passenden privaten Schlüssel zu berechnen, die NSA konnte also dann Nachrichten der betroffenen Schlüssel beliebig entschlüsseln, und ebenso Signaturen fälschen.

Das war wie gesagt ein Desaster, aber es zeigte nicht, dass RSA grundsätzlich unsicher sei, sondern ist auf schlechte Wahl der Parameter zurückzuführen, und wie auch am Beispiel des DSA-Seitenkanals darauf, dass bei der Qualität der Zufallszahlen eben keine Kompromisse (ob absichtlich oder unabsichtlich) gemacht werden dürfen. Es gibt eigentlich für jedes Kryptosystem die Möglichkeit, schlechte Parameter zu wählen oder auch die Möglichkeit bösartiger Implementierungen, die absichtlich geschwächt sind oder Kleptografie betreiben. Das hat deshalb (abgesehen von der spezifischen Art der Schwäche) meiner Meinung nichts mit DSA zu tun. Aragorn2 (Diskussion) 10:01, 20. Mai 2019 (CEST)[Beantworten]

"Die Firma RSA, die eine exklusive Lizenz an Schnorrs Signaturverfahren hält, hätte mit Patentstreitigkeiten ein Diskreter-Logarithmus-Verfahren statt ihres RSA-Systems als Standard erschweren können, scheute aber vermutlich eine offene Konfrontation mit der US-Regierung."

Der Satz wirkt seltsam. Ich weiß nicht, was er genau aussagen will (nicht signierter Beitrag von 194.121.90.163 (Diskussion) 09:28, 21. Mär. 2014 (CET))[Beantworten]

Ich versuche es einmal zu verstehen.

Die Firma RSA hätte mit einem Rechtsstreit auf Grundlage ihres Patents DSA (beruht auf dem diskreten Logarithmus) im Standard (DSS) verhindern oder mindestens erschweren können, so dass ihr Verfahren, RSA, der alleinige zugelassene Algorithmus in DSS gewesen wäre. Sie hat dies aber vermutlich nicht getan, um eine Konfrontation mit der Regierung zu vermeiden.

So verstehe ich den Satz. Das sind jedoch alles Spekulation ohne jeden Beleg. --Franz Scheerer aus Wiesbaden (Diskussion) 22:28, 2. Apr. 2023 (CEST)[Beantworten]

Der Text in "Schlüssel erzeugen" klingt so, als wäre die Schlüssellänge maximal 1024 Bit. Der englische Artikel zu DSA beschreibt aber, dass dies nur die ursprüngliche Implementierung war und inziwschen auch länger Schlüssel möglich sind. Bitte den deutschen Text entsprechend anpassen. (nicht signierter Beitrag von 2A00:E50:F155:B:5176:ADF:6B5:C69A (Diskussion | Beiträge) 16:46, 12. Aug. 2015 (CEST))[Beantworten]