Vantaggi dell'utilizzo di un DSS (Digital Signature Scheme) con Appendice anziché DSS che fornisce il recupero dei messaggi

3

Ho esaminato la specifica di bozza EMV (pdf) per l'utilizzo della crittografia a curve Eliptic in carte di pagamento al posto della RSA attualmente in uso. Una cosa che ho notato è che sono passati dall'uso del RSA Digital Signature Scheme (DSS) che fornisce il recupero dei messaggi a ECC DSS con l'appendice. La mia domanda è: perché questo cambiamento, dal recupero dei messaggi all'appendice, è stato fatto? Quali vantaggi offre l'Appendice rispetto a Message Recovery?

So come funzionano entrambi gli schemi DSS, ma tutto quello che riesco a vedere finora è che i messaggi con l'Appendice sono più lunghi delle loro controparti per il recupero dei messaggi.

    
posta Peanut 26.06.2013 - 14:03
fonte

1 risposta

4

Ok, evitiamo di confondere la terminologia, perché "DSS" significa anche "standard di firma digitale" come in FIPS 186-3 , che non è affatto RSA.

RSA è uno schema di firma "con ripristino", il che significa che c'è un po 'di spazio per incorporare alcuni dati arbitrari all'interno della firma stessa. Il documento che citate utilizza ISO 9796-2, che implementa questo tipo di incorporamento. Ad esempio, se hai una chiave RSA a 2048 bit e la usi con SHA-256 come funzione hash, la firma ha una lunghezza di 256 byte, ma puoi riutilizzare 222 byte per il tuo messaggio, quindi l'overhead di dimensioni effettive per la firma essere solo 34 byte. D'altra parte, ECDSA (lo schema di firma della curva ellittica a cui il vostro documento allude) non ha la caratteristica di "recupero", quindi mentre una firma ECDSA robusta è più corta di una firma RSA di forza simile (ad esempio circa 64 byte per qualcosa come buono come RSA-2048), l'overhead delle dimensioni effettive è più alto (cioè 64 byte). Tutto ciò dipende dalle dimensioni della chiave e dalle funzioni hash utilizzate; il tuo chilometraggio può variare.

La sicurezza di ISO 9796-2 è discutibile (in pratica, non si ottiene il valore dei soldi dalla funzione hash dimensione dell'output, è necessario utilizzare una funzione hash con un output più grande per riottenere la sicurezza, aumentando il sovraccarico delle dimensioni). Inoltre, ECDSA è meno costoso dal punto di vista computazionale per la generazione di firme e questo può essere importante per alcuni dispositivi embedded a bassa potenza. D'altra parte, RSA è matematicamente più semplice, più ampiamente utilizzato e supportato (perché è piuttosto vecchio) e, a seconda dei parametri, può offrire un leggero vantaggio in termini di dimensioni.

Qualunque cosa abbia le curve ellittiche è, ovviamente, molto di moda.

    
risposta data 26.06.2013 - 22:05
fonte

Leggi altre domande sui tag