Ventajas de usar un esquema de firma digital (DSS) con el Apéndice en lugar de que el DSS proporcione la recuperación de mensajes

3

He estado buscando en el especificación del borrador de EMV (pdf) para utilizar la criptografía de curva elíptica en Tarjetas de pago en lugar del RSA utilizado actualmente. Una cosa que he notado es que pasaron de usar el RSA Digital Signature Scheme (DSS) que entrega Message Recovery a ECC DSS con el Apéndice. Mi pregunta es ¿por qué se habría realizado este cambio, de Recuperación de mensajes al Apéndice? ¿Qué ventajas ofrece el Apéndice sobre la recuperación de mensajes?

Sé cómo funcionan ambos esquemas DSS, pero todo lo que puedo ver hasta ahora es que los mensajes con Apéndice son más largos que sus contrapartes de Recuperación de mensajes.

    
pregunta Peanut 26.06.2013 - 14:03
fuente

1 respuesta

4

Ok, evitemos la terminología confusa, porque "DSS" también significa "estándar de firma digital" como en FIPS 186-3 , que no es en absoluto RSA.

RSA es un esquema de firma "con recuperación", lo que significa que hay un poco de espacio para incrustar algunos datos arbitrarios dentro de la propia firma. El documento que cita utiliza ISO 9796-2, que implementa este tipo de incrustación. Por ejemplo, si tiene una clave RSA de 2048 bits y la usó con SHA-256 como función hash, entonces la firma tiene una longitud de 256 bytes, pero puede reutilizar 222 bytes para su mensaje, por lo que la sobrecarga de tamaño real para la firma Serán sólo 34 bytes. Por otro lado, ECDSA (el esquema de firma de curva elíptica al que alude su documento) no tiene la función de "recuperación", por lo que mientras una firma ECDSA robusta es más corta que una firma RSA de intensidad similar (por ejemplo, aproximadamente 64 bytes para algo como bueno como RSA-2048), la sobrecarga del tamaño real es mayor (es decir, 64 bytes). Todo esto depende de los tamaños de las teclas y las funciones hash utilizadas; su kilometraje puede variar.

La seguridad de ISO 9796-2 es cuestionable (básicamente, no obtiene el valor de su dinero de su función hash tamaño de salida; debe utilizar una función hash con una salida más grande para recuperar su seguridad, lo que aumenta la sobrecarga de tamaño). Además, ECDSA es computacionalmente menos costoso para la generación de firmas, y eso puede ser importante para algunos dispositivos embebidos de baja potencia. Por otro lado, RSA es matemáticamente más simple, más ampliamente utilizado y compatible (porque es bastante más antiguo) y, dependiendo de los parámetros, puede ofrecer una ligera ventaja de tamaño.

Cualquier cosa con curvas elípticas está, por supuesto, muy de moda.

    
respondido por el Thomas Pornin 26.06.2013 - 22:05
fuente

Lea otras preguntas en las etiquetas