Ok, evitiamo di confondere la terminologia, perché "DSS" significa anche "standard di firma digitale" come in FIPS 186-3 , che non è affatto RSA.
RSA è uno schema di firma "con ripristino", il che significa che c'è un po 'di spazio per incorporare alcuni dati arbitrari all'interno della firma stessa. Il documento che citate utilizza ISO 9796-2, che implementa questo tipo di incorporamento. Ad esempio, se hai una chiave RSA a 2048 bit e la usi con SHA-256 come funzione hash, la firma ha una lunghezza di 256 byte, ma puoi riutilizzare 222 byte per il tuo messaggio, quindi l'overhead di dimensioni effettive per la firma essere solo 34 byte. D'altra parte, ECDSA (lo schema di firma della curva ellittica a cui il vostro documento allude) non ha la caratteristica di "recupero", quindi mentre una firma ECDSA robusta è più corta di una firma RSA di forza simile (ad esempio circa 64 byte per qualcosa come buono come RSA-2048), l'overhead delle dimensioni effettive è più alto (cioè 64 byte). Tutto ciò dipende dalle dimensioni della chiave e dalle funzioni hash utilizzate; il tuo chilometraggio può variare.
La sicurezza di ISO 9796-2 è discutibile (in pratica, non si ottiene il valore dei soldi dalla funzione hash dimensione dell'output, è necessario utilizzare una funzione hash con un output più grande per riottenere la sicurezza, aumentando il sovraccarico delle dimensioni). Inoltre, ECDSA è meno costoso dal punto di vista computazionale per la generazione di firme e questo può essere importante per alcuni dispositivi embedded a bassa potenza. D'altra parte, RSA è matematicamente più semplice, più ampiamente utilizzato e supportato (perché è piuttosto vecchio) e, a seconda dei parametri, può offrire un leggero vantaggio in termini di dimensioni.
Qualunque cosa abbia le curve ellittiche è, ovviamente, molto di moda.