DSA-Signaturen

Schlüsselgenerierung Signatur erstellen Signatur prüfen Korrektheit Beispiel

Das im Folgenden betrachtete Verfahren DSA (Digital Signature Algorithm) - auch bekannt als U.S. Federal Information Processing Standard 186 unter dem Namen DSS (Digital Signature Standard) - ist eine Variante des ElGamal-Schemas und verlangt explizit die Verwendung von SHA-1 als Hashalgorithmus. Im Gegensatz zu RSA-Signaturen, deren Sicherheit auf dem Problem der Primfaktorenzerlegung großer Zahlen beruht, basieren DSA-Signaturen darauf, dass die Berechnung diskreter Logarithmen in $\text{[math]}$ für große Primzahlen $\text{[math]}$ nicht mit realistischem Zeitaufwand zu bewältigen ist.

Schlüsselgenerierung

A wählt eine Primzahl $\text{[math]}$ , sodass $\text{[math]}$ gilt.
A wählt eine zweite Primzahl $\text{[math]}$ mit $\text{[math]}$ und $\text{[math]}$ . Die Wahl muss außerdem so erfolgen, dass $\text{[math]}$ ein Teiler von $\text{[math]}$ ist.
(Bestimme erzeugendes Element der zyklischen Untergruppe mit Ordnung in )
1. A bestimmt ein $\text{[math]}$ , berechnet $\text{[math]}$ und
2. wiederholt diesen Schritt bis $\text{[math]}$ ist.
A wählt ein zufälliges $\text{[math]}$ mit $\text{[math]}$ .
A berechnet $\text{[math]}$ .

Das Tupel $\text{[math]}$ wird von A als öffentlicher Schlüssel bekanntgegeben und die Zahl $\text{[math]}$ stellt den zugehörigen geheimen Schlüssel dar.

Signatur erstellen

Um eine Nachricht $\text{[math]}$ zu signieren, werden folgende Schritte ausgeführt:

A wählt ein zufälliges $\text{[math]}$ mit $\text{[math]}$ .
A berechnet $\text{[math]}$ .
A bestimmt mit dem erweiterten Euklidischen Algorithmus das Inverse $\text{[math]}$ ,
d.h. die Zahl $\text{[math]}$ für die gilt: $\text{[math]}$ .
A berechnet $\text{[math]}$ .

Das Paar $\text{[math]}$ bildet nun die Signatur der Nachricht $\text{[math]}$ .

Signatur prüfen

Unter Verwendung des öffentlichen Schlüssels $\text{[math]}$ von A kann B wie folgt eine Signatur $\text{[math]}$ einer Nachricht $\text{[math]}$ prüfen:

B verwirft die Signatur, falls $\text{[math]}$ oder $\text{[math]}$ nicht erfüllt ist.
B berechnet $\text{[math]}$
B ermittelt $\text{[math]}$ und $\text{[math]}$ .
B berechnet $\text{[math]}$ .

Die Signatur wird nur dann als gültig erkannt, wenn $\text{[math]}$ gilt.

Korrektheit

Wenn das Tupel $\text{[math]}$ eine gültige Signatur darstellt, so gilt:

\text{[math]}

Beispiel

Am Beispiel des ASCII-Strings "DSA ist ein im OpenPGP-Standard enthaltener Algorithmus." soll das Verfahren demonstriert werden. Dieser Satz besitzt als SHA-1 Hashwert - DSA schreibt die Verwendung von SHA-1 vor - die Zeichenkette AB00 EB6A FD5F 6308 8352 9F98 AE96 0F93 8A10 7F28 (eine 160 Bits lange Binärzahl in Hexadezimalschreibweise). Um die Berechnungen nicht unnötig zu verkomplizieren, werden wir in dem Beispiel nur die letzten 16 Bits, d.h. 7F28, verwenden. Die zu signierende Nachricht ist der Hashwert als Dezimalzahl, in unserem Fall also $\text{[math]}$ .

Schlüsselgenerierung.
Die für dieses Beispiel verwendeten Primzahlen sind ebenfalls kleiner als verlangt, hier wählen wir $\text{[math]}$ und $\text{[math]}$ , somit folgt daraus, dass $\text{[math]}$ . Sei $\text{[math]}$ , dann ergibt sich

\text{[math]}

Der geheime Schlüssel ist $\text{[math]}$ und der letzte Teil des öffentlichen Schlüssels berechnet sich wie folgt

\text{[math]}

Signatur erstellen.
Für die Erstellung benötigen wir eine geheime, zufällig gewählte Zahl $\text{[math]}$ , in diesem Beispiel sei $\text{[math]}$ . Den ersten Teil der Signatur erhalten wir nun als