Recuperación resumida del mensaje de firma digital RSA vs DSA

Es realmente bastante irrelevante. Los compendios de los mensajes se realizan utilizando un algoritmo de hash resistente a la preimagen, lo que significa que conocer el hash no le ayuda a encontrar nada que ceda ese valor más rápido que la fuerza bruta. Pero el atacante también podría realizar el ataque de fuerza bruta directamente en la firma, con RSA y DSA, un atacante puede ver si la firma es una firma válida para un mensaje candidato. Esto es inherente a todos los algoritmos de firma de clave pública; significa que si el atacante tiene una lista (no muy larga) de posibles mensajes, pueden ver rápidamente si alguno de ellos fue para lo que sirve la firma.

Lo único que puedo pensar de que podría ser diferente es que las firmas RSA de los libros de texto y las firmas que usan el antiguo relleno PKCS 1.5 permitirán que alguien diga si dos firmas son para el mismo mensaje, sin saber el mensaje, incluso si las firmas tienen claves diferentes (si son la misma clave, las firmas son las mismas, ya que ambos métodos son deterministas).

RSA-PSS (el esquema de relleno de firma aleatorio más nuevo para RSA) no realmente tiene recuperación de resumen de mensajes, porque en realidad calcula H(0..0||H(m)||S) , donde S es una sal aleatoria, y luego usa that en el resto de la firma. No tiene la propiedad de arriba; sin conocer el mensaje, no se puede saber fácilmente si dos firmas fueron para el mismo mensaje. Por lo tanto, la recuperación del resumen del mensaje depende del relleno.

Realmente, sin embargo, las firmas en general no están diseñadas para proporcionar confidencialidad. Cualquiera puede confirmar su conjetura acerca de cuál es su mensaje si tiene una firma para el mismo, por lo que debe dar a sus firmas tanta confidencialidad como desee para su mensaje.