Has leído mal la página sobre el rastreo de paquetes; ya es paranoico y alarmista, pero no hasta ese punto.
Al producir una firma DSA , el motor de firmas funciona en un grupo que está integrado por un módulo p (un número primo grande) y una orden de grupo q (un primo más pequeño, divisor de p-1 ). Estos valores forman parte de la clave pública. Para cada firma , el motor de firmas debe usar un generador de números aleatorios para producir un valor aleatorio k que DEBE seleccionarse uniformemente en el 1..q-1 rango. El término "uniformemente" es muy importante. Si la elección de k es parcial, entonces permite la recuperación de claves después de observar varias firmas. Si esto es crítico o no depende del sesgo. Un sesgo relativamente pequeño (p. Ej., k se genera como una secuencia de bits del tamaño de q , luego el módulo reducido q ) incurrirá en un " académico "rompe con la recuperación de claves después de aproximadamente 263 firmas: un ataque, sí, pero no es práctico. Por otro lado, si el generador aleatorio es tan inestable que siempre da el mismo valor para k , entonces las firmas dos son suficientes para volver a calcular la clave privada. Sony implementó un sistema de firma / firma RNG totalmente fallido .
Lo que esto significa es que si la implementación de un algoritmo de firma es falsa, bueno, puede filtrar datos importantes, incluida la clave privada. Esto es cierto para cualquier algoritmo criptográfico, y RSA no está exento. Señalar a DSA es injustificado.
(Lo que puede decirse con toda neutralidad es que DSA y ECDSA requieren una fuente de aleatoriedad para cada firma, que es un requisito relativamente importante para los sistemas integrados como las tarjetas inteligentes. Existen soluciones; tengo tiempo, Yo trabajo en el tema . Edit: ahora es un RFC publicado .)
En cuanto al tamaño de clave , el estándar actual especifica tamaños de 1024, 2048 y 3072 bits (que es el tamaño de p ). Una versión anterior del estándar solo permitía 1024 bits, mientras que una versión más antigua permitía todos los tamaños múltiples de 64 a 524 bits. Varias implementaciones implementadas de DSA están un poco retrasadas respecto al estándar de 2009 y, por lo tanto, solo permiten claves de 1024 bits.
Una clave DSA de 1024 bits no es un riesgo crítico. Por lo que sabemos, DSA parece ser al menos tan fuerte como RSA con el mismo tamaño de clave y, en la práctica, un poco más fuerte. DSA se basa en logaritmo discreto y el registro actual de DL-break es de 530 bits, mientras que el registro actual de factorización (RSA) es de 768 bits. Los mejores algoritmos conocidos para la factorización y la DL tienen muchas similitudes, pero el paso final (donde se necesita mucha RAM rápida) parece ser más costoso con la DL que con la factorización. Por lo tanto, en este momento, una clave DSA de 1024 bits no es un verdadero riesgo de seguridad . Sobre todo porque, para las firmas, tenemos menos de qué preocuparnos por las futuras interrupciones que por el cifrado; y DSA es solo de firma.
El problema principal con DSA es que no es tan ampliamente soportado como RSA; cuando se admite , puede tener limitaciones (por ejemplo, limitadas a claves de 1024 bits, o utilizables solo en conjunto con un conjunto limitado de otros algoritmos criptográficos). Estas limitaciones no son intrínsecas al algoritmo, sino que reflejan el estado del mercado, que está dominado por RSA. Sin embargo, actualmente está bastante de moda cambiar a variantes de curva elíptica de DSA y, en consecuencia, el mercado está lentamente > muy lentamente) cambiando hacia un mayor soporte para DSA (EC).