DSSの代わりに付録でデジタル署名方式(DSS)を使用する利点
私は、現在使用されているRSAの代わりに、支払いカードで楕円曲線暗号を使用するための EMVドラフト仕様(pdf) を見てきました。私が気付いたことの1つは、RSAデジタル署名方式(DSS)を使用してメッセージリカバリをECCに移行することから移行していることですDSS付録付き。私の質問は、なぜメッセージからこの変更になるのかということです。付録への回復が行われましたか?メッセージ回復に比べて、付録にはどのような利点がありますか?
DSS=スキームがどのように機能するかは知っていますが、これまでのところわかるのは、Appendixを含むメッセージがMessage Recoveryの対応するメッセージよりも長いことです。
「DSS」は FIPS 186- のように「デジタル署名標準」も意味するため、用語の混乱を避けましょう。これは、RSAではありません。
RSAは「回復あり」の署名方式です。つまり、署名自体に任意のデータを埋め込む余地が少しあります。引用するドキュメントは、この種の埋め込みを実装するISO 9796-2を使用しています。たとえば、2048ビットのRSAキーがあり、ハッシュ関数としてSHA-256と一緒に使用した場合、署名の長さは256バイトですが、メッセージに222バイトを再利用できるため、署名の実際のサイズのオーバーヘッドは34バイトのみである。一方、ECDSA(ドキュメントで言及されている楕円曲線署名方式)には「回復」機能がないため、堅牢なECDSA署名は同様の強度のRSA署名よりも短い(たとえば、 RSA-2048と同様に)、実際のサイズのオーバーヘッドは高くなります(つまり、64バイト)。これはすべて、キーのサイズと使用されるハッシュ関数に依存します。あなたのマイレージは異なる場合があります。
ISO 9796-2のセキュリティは 問題あり (基本的に、ハッシュ関数の出力サイズから価値のあるお金を得ることはできません。より大きな出力のハッシュ関数を使用してセキュリティを回復する必要があるため、サイズのオーバーヘッド)。また、ECDSAはシグネチャ生成の計算コストが低く、一部の低電力組み込みデバイスにとっては重要な場合があります。一方、RSAは数学的に単純で、広く使用およびサポートされています(かなり古いため)。また、パラメーターによっては、サイズがわずかに有利になる場合があります。
もちろん、楕円曲線を持つものはどれもファッショナブルです。