Ok, evitemos la terminología confusa, porque "DSS" también significa "estándar de firma digital" como en FIPS 186-3 , que no es en absoluto RSA.
RSA es un esquema de firma "con recuperación", lo que significa que hay un poco de espacio para incrustar algunos datos arbitrarios dentro de la propia firma. El documento que cita utiliza ISO 9796-2, que implementa este tipo de incrustación. Por ejemplo, si tiene una clave RSA de 2048 bits y la usó con SHA-256 como función hash, entonces la firma tiene una longitud de 256 bytes, pero puede reutilizar 222 bytes para su mensaje, por lo que la sobrecarga de tamaño real para la firma Serán sólo 34 bytes. Por otro lado, ECDSA (el esquema de firma de curva elíptica al que alude su documento) no tiene la función de "recuperación", por lo que mientras una firma ECDSA robusta es más corta que una firma RSA de intensidad similar (por ejemplo, aproximadamente 64 bytes para algo como bueno como RSA-2048), la sobrecarga del tamaño real es mayor (es decir, 64 bytes). Todo esto depende de los tamaños de las teclas y las funciones hash utilizadas; su kilometraje puede variar.
La seguridad de ISO 9796-2 es cuestionable (básicamente, no obtiene el valor de su dinero de su función hash tamaño de salida; debe utilizar una función hash con una salida más grande para recuperar su seguridad, lo que aumenta la sobrecarga de tamaño). Además, ECDSA es computacionalmente menos costoso para la generación de firmas, y eso puede ser importante para algunos dispositivos embebidos de baja potencia. Por otro lado, RSA es matemáticamente más simple, más ampliamente utilizado y compatible (porque es bastante más antiguo) y, dependiendo de los parámetros, puede ofrecer una ligera ventaja de tamaño.
Cualquier cosa con curvas elípticas está, por supuesto, muy de moda.