RSA vs DSA Digital Signature Message Digest Recovery

È davvero praticamente irrilevante. I digest dei messaggi vengono eseguiti utilizzando un algoritmo di hashing resistente alle preimage, il che significa che conoscere l'hash non aiuta a trovare qualsiasi cosa che hash a quel valore più velocemente della forza bruta. Ma l'attaccante potrebbe anche eseguire l'attacco di forza bruta direttamente sulla firma - con RSA e DSA, un utente malintenzionato può vedere se la firma è una firma valida per un messaggio candidato. Questo è inerente a tutti gli algoritmi di firma a chiave pubblica; significa che se l'utente malintenzionato ha una lista (non molto lunga) di possibili messaggi, può vedere abbastanza rapidamente se uno di questi è la cosa che fa la firma.

L'unica cosa che posso pensare che potrebbe essere differente è che le firme e le firme RSA da manuale utilizzando il vecchio padding PKCS 1.5 permetteranno a qualcuno di dire se due firme sono per lo stesso messaggio, senza conoscere il messaggio, anche se le firme sono con chiavi diverse (se sono la stessa chiave, le firme stesse sono le stesse, dato che entrambi i metodi sono deterministici).

RSA-PSS (il più recente schema di riempimento della firma randomizzato per RSA) non ha effettivamente recupero del digest del messaggio, perché calcola effettivamente H(0..0||H(m)||S) , dove S è un sale casuale, e quindi usa quello nel resto della firma. Non ha la proprietà sopra; senza conoscere il messaggio, non si può facilmente dire se due firme erano per lo stesso messaggio. Quindi, il recupero del digest dei messaggi dipende dal riempimento.

In realtà, tuttavia, le firme in generale non sono progettate per fornire riservatezza. Chiunque può confermare un'ipotesi su quale sia il tuo messaggio se hanno una firma per questo, quindi dovresti dare alle tue firme la massima riservatezza che desideri per il tuo messaggio.