Cryptography Reference
In-Depth Information
12.3.3
Weitere DLSSs
Weitere DLSSs mit einer gewissen Bedeutung sind
Nyberg-Rueppel
[NybRue],
das
GOST-Signaturverfahren
(dieses stammt aus Russland und wird im selben
Standard beschrieben wie das gleichnamige symmetrische Verschlüsselungsver-
fahren; eine Beschreibung gibt es in [Schn96]) und
KCDSA
(
Korean Certificate-
based Digital Signature Algorithm
) [BHJKKL]. Ein ISO-Standard beschreibt drei
weitere Varianten [ISO9796].
12.4
Unterschiede zwischen DLSSs und RSA
RSA und DLSSs weisen einige interessante Unterschiede auf. Hier die wichtigsten:
■
Aus einer RSA-Signatur lässt sich mit dem öffentlichen Schlüssel die signierte
Nachricht berechnen. Durch diese Eigenschaft zählt RSA zu den
Signaturver-
fahren mit Message Recovery
. Diese Bezeichnung ist etwas unglücklich
gewählt, da eine Verwechslungsgefahr mit dem Thema Recovery (Abschnitt
24.1.8) besteht - damit hat es aber nichts zu tun. Der DSA ist dagegen keine
Signaturverfahren mit Message Recovery, da Bob aus der Signatur nicht die
signierte Nachricht berechnen kann. Es gibt jedoch RSA-Varianten ohne Mes-
sage Recovery sowie DLSSs mit Message Recovery.
■
RSA kann gleichermaßen verschlüsseln und signieren. Ein DLSS kann dage-
gen nur für Signaturen eingesetzt werden. Es gibt zwar auch Verschlüsse-
lungsverfahren auf Basis des diskreten Logarithmus, doch diese haben einen
anderen Ablauf als eine DLSS-Signatur. Die Trennung zwischen Signatur- und
Verschlüsselungsschlüsseln ist bei RSA daher wichtiger als bei DLSSs.
■
Während die Generierung einer Signatur bei beiden Verfahren etwa gleich
lange dauert, ist die Verifikation beim RSA-Verfahren etwa zehnmal schneller
als bei einem DLSS. Dies gilt insbesondere dann, wenn für den Wert
e
beim
RSA kleine Standardwerte verwendet werden.
■
Die Länge des öffentlichen Schlüssels beim RSA beträgt in der Praxis meist
1.024 oder 2.048 Bit. Die jeweils gleiche Sicherheit kann bei einem DLSS mit
etwas kürzeren Schlüsseln erreicht werden.
■
Die gängigen DLSSs benötigen für jede Signatur eine eigene Zufallszahl, beim
RSA-Verfahren muss dagegen nur der Schlüssel zufällig generiert werden.
Dieser Nachteil der DLSSs ist nicht zu unterschätzen, da das Generieren von
Zufallszahlen deutlich schwieriger ist, als es scheint.
Sie sehen, abgesehen von der unwesentlich kürzeren Schlüssellänge spricht
scheinbar alles gegen DLSSs und für das RSA-Verfahren. Dass DLSSs trotzdem
ihren Marktanteil haben, hat mehrere Gründe:
■
DLSSs können mithilfe elliptischer Kurven implementiert werden, wodurch
sie entscheidend schneller als RSA werden (es gibt zwar auch eine RSA-Vari-
