DSA vs. RSA


Хотелось бы услышать преимущества DSA перед RSA. Именно так, а не наоборот :) Понимаю, что довольно странно... Просто полгода назад, когда понадобилось написать некую программу для работы с ЭЦП, не задумываясь выбрал DSA. Зря, может быть, тем более если брать во внимание ключи размером только в килобит. Но переписывать поздно, а вот обосновать свой выбор придется. Пока из недостатков RSA увидел только большое количество условий, которые необходимо проверять при генерации ключей, и возможность мультипликативной атаки. Может быть, кто-нибудь подскажет что-нибудь еще?


Комментарии
— SATtva (12/01/2006 17:35)   
http://www.pgpru.com/faq/crypto/#3

А вот обоснованность выбора всецело зависит от области приложения алгоритма...

Зря, может быть, тем более если брать во внимание ключи размером только в килобит.

Не совсем так. Ключ DSA может быть любой длины, но Вам действительно придётся довольствоваться 1024 битами, если хотите следовать нормам стандарта DSS. Заметьте: DSS и DSA — не одно и то же. Если Вы не связаны ограничениями стандарта (например, в целях совместимости с другими приложениями), а лишь ищите подходящий алгоритм, то и вопрос о длине ключа не стоит.
Гость (12/01/2006 23:26)   
SATtva:
http://www.pgpru.com/faq/crypto/#3

Спасибо, но все же никаких более-менее значительных недостатков RSA я так и не нашел...
SATtva:
Не совсем так. Ключ DSA может быть любой длины, но Вам действительно придётся довольствоваться 1024 битами, если хотите следовать нормам стандарта DSS.

Да, я знаю, просто:
1) моя программа – GUI к GnuPG, то есть 1024 бита для DSA – единственно возможный вариант;
2) в PGP DH vs. RSA FAQ нашел такую строчку:
"DSA keys greater than 1024-bits should not technically be called "DSA" as they are no longer compliant with the standard. It is thought that these longer keys do not significantly increase the security offered by the signature scheme."
То есть смысла использовать ключи длиной больше, чем килобит, вроде бы и нет
SATtva:
Заметьте: DSS и DSA — не одно и то же. Если Вы не связаны ограничениями стандарта (например, в целях совместимости с другими приложениями), а лишь ищите подходящий алгоритм, то и вопрос о длине ключа не стоит.

Ограничениями-то не связан – даже выбрал RIPEMD-160 вместо SHA-1 для генерации хеша для подписи, но от килобитного DSA-ключа никуда не деться.
— SATtva (13/01/2006 00:26)   
Спасибо, но все же никаких более-менее значительных недостатков RSA я так и не нашел...

А Вы предлагаете теорию под практику подводить? ;) Почитайте ещё это[link1], правда там больше внимания уделяется RSA нежели DSA (хотя, это Вам вроде бы и надо). Если хотите совсем убойные аргументы, обратитесь к "трудам" Urix'а (здесь[link2] и здесь[link3]) — он давно для RSA могилу копает. Однако называть его работы каноническими и совсем уж научными я бы не рискнул.
Гость (13/01/2006 11:07)   
SATtva:
А Вы предлагаете теорию под практику подводить? ;)

В данном случае приходится :) Потом все равно скорее всего буду использовать ECDSA, как только его официально в GnuPG включат, но в настоящий момент мне надо обосновать выбор в пользу DSA
SATtva:
Почитайте ещё это[link1],

Еще раз спасибо. Увидел еще несколько уязвимостей, думаю, всего этого будет вполне достаточно
SATtva:
Если хотите совсем убойные аргументы, обратитесь к "трудам" Urix'а (здесь[link2] и здесь[link3]) — он давно для RSA могилу копает. Однако называть его работы каноническими и совсем уж научными я бы не рискнул.

Да, читал, но как-то это не очень серьезно... Со второй статьей не разбирался, так как не математик, а первая – сплошная публицистика
Гость (14/01/2006 13:19)   
DSA имеет несколько преимуществ: короткая подпись, скорость операции ЭЦП и скорость генерации новой пары ключей (при использовании общего модуля, что в RSA подрывает безопасность).

Кстати, упорно ходят слухи об обнавлении стандарта DSS с использованием более длинных хещ-функций и модулей.
— sentaus (14/01/2006 21:04)   

Кстати, упорно ходят слухи об обнавлении стандарта DSS с использованием более длинных хещ-функций и модулей.


Ну так ведь дело за малым – надо хеш-функцию выбрать. :)

Ссылки
[link1] http://www.pgpru.com/articles/openpgp/pgp_analysis/03.shtml#3

[link2] http://www.pgpru.com/articles/crypto/urixrsa.shtml

[link3] http://www.pgpru.com/news/crypto/200507.shtml#1710