Digital Signature Algorithm

Digital Signature Algorithm (DSA) è uno standard FIPS per la firma digitale proposto dal National Institute of Standards and Technology (NIST) nell'agosto del 1991 per essere impiegato nel Digital Signature Standard (DSS), le sue specifiche sono contenute nel documento FIPS 186^[1], viene definitivamente adottato nel 1993. In seguito è stato riveduto ulteriormente nel 1996 con FIPS 186-1^[2], nel 2000 con FIPS 186-2^[3], nel 2009 con FIPS 186-3^[4], e nel 2013 con FIPS 186-4^[5].

Negli Stati Uniti l'algoritmo DSA è coperto da brevetto^[6] attribuito a David W. Kravitz, un ex-ricercatore della NSA; il NIST ha reso questo brevetto disponibile liberamente per qualsiasi uso^[7].

Descrizione dell'algoritmo

Di seguito vengono descritti i passi fondamentali per l'impiego di DSA, che fa uso di un sistema crittografico a chiave pubblica simile ad ElGamal.

Generazione delle chiavi

• Si scelga un numero primo di ${\displaystyle d}$-bit ${\displaystyle q}$^[8].
• Si scelga un numero primo p lungo L bit, tale che ${\displaystyle p=qz+1}$ per un qualche numero intero z, con 512≤L≤1024 e divisibile per 64 (nell'ultima revisione dello standard si specifica che L deve corrispondere a 1024).
• Si scelga h tale che ${\displaystyle 1<h<p-1}$ e ${\displaystyle g=h^{z}{\bmod {p}}>1}$
• Si generi un numero casuale ${\displaystyle x}$ tale che ${\displaystyle 0<x<q}$
• Calcolare ${\displaystyle y=g^{x}{\bmod {p}}}$

La chiave pubblica è y, la chiave privata è x.
I parametri (p, q, g) sono pubblici e possono essere condivisi da diversi utenti.

Esistono algoritmi efficienti per il calcolo delle esponenziazioni modulari ${\displaystyle h^{z}{\bmod {p}}}$ e ${\displaystyle g^{x}{\bmod {p}}}$.

Calcolo della firma

• Si generi un numero casuale k tale che ${\displaystyle 0<k<q}$
• Calcolare ${\displaystyle r=(g^{k}{\bmod {p}}){\bmod {q}}}$
• Calcolare ${\displaystyle s=(k^{-1}(H(m)+x*r)){\bmod {q}}}$ dove H(m)^[8] è una funzione di hash SHA-d applicata al messaggio m
• Nel caso in cui ${\displaystyle r=0}$ o ${\displaystyle s=0}$ bisogna ricalcolare la firma
• La firma è (r,s)

L'algoritmo esteso di Euclide può essere usato per calcolare l'inverso modulare ${\displaystyle k^{-1}{\bmod {q}}}$.

Verifica della firma

• Rifiutare firme se non sono soddisfatte le condizioni ${\displaystyle 0<r<q}$ e ${\displaystyle 0<s<q}$
• Calcolare ${\displaystyle w=s^{-1}{\bmod {q}}}$
• Calcolare ${\displaystyle u_{1}=(H(m)*w){\bmod {q}}}$
• Calcolare ${\displaystyle u_{2}=(r*w){\bmod {q}}}$
• Calcolare ${\displaystyle v=((g^{u_{1}}*y^{u_{2}}){\bmod {p}}){\bmod {q}}}$
• La firma è verificata se ${\displaystyle v=r}$

Dimostrazione

L'algoritmo è corretto nel senso che il destinatario verificherà sempre le firme valide.

Da ${\displaystyle g=h^{z}{\bmod {p}}\Rightarrow g^{q}\equiv h^{qz}\equiv h^{p-1}\equiv 1{\pmod {p}}}$ per il piccolo teorema di Fermat. Dato che ${\displaystyle g>1}$ e q è primo segue che g è di ordine q.

Il firmatario calcola: ${\displaystyle s=k^{-1}(H(m)+xr){\bmod {q}}}$

quindi

${\displaystyle {\begin{matrix}k&\equiv &H(m)s^{-1}+xrs^{-1}\\&\equiv &H(m)w+xrw{\pmod {q}}\\\end{matrix}}}$

visto che g è di ordine q

${\displaystyle {\begin{matrix}g^{k}&\equiv &g^{H(m)w}g^{xrw}\\&\equiv &g^{H(m)w}y^{rw}\\&\equiv &g^{u_{1}}y^{u_{2}}{\pmod {p}}\\\end{matrix}}}$

La correttezza di DSA è provata da: ${\displaystyle r=(g^{k}{\bmod {p}}){\bmod {q}}=(g^{u_{1}}y^{u_{2}}{\bmod {p}}){\bmod {q}}=v}$.

Sicurezza

Come molti sistemi di crittografia a chiave pubblica, la sicurezza di DSA si basa sull'intrattabilità di un problema matematico, in questo caso sull'inesistenza di un algoritmo efficiente per il calcolo del logaritmo discreto.

Particolare attenzione va posta al calcolo della quantità k: deve essere generata casualmente in modo che non sia possibile risalirvi, nel qual caso sarebbe possibile risalire facilmente ad x (la chiave privata) a partire dalla firma.