Шифрование RSA с DSA

С 512 áèòàìè DSA недостаточно надежен для длительной безопасности, но он вполне надежен при 1024 битах. В своем первом заявлении на эту тему NSA так комментировало утверждение Джо Эбернети (Joe Aber- nathy) из The Houston Chronicle по поводу лазейки в DSS [363]:

Что касается предполагаемой лазейки в DSS. Мы считаем, что термин "лазейка" вводит в заблуждение, так он предполагает, что через лазейку можно как-то расшифровать (прочитать) зашифрованные сообщения, подписываемые с помощью DSS, без разрешения отправителя.

DSS не шифрует никаких данных. По сути вопросом является, не может ли кто-то при помощи DSS подделать подпись, и, таким образом, дискредитировать всю систему. Мы категорически заявляем, что вероятность, что кто-нибудь - включая NSA - сможет подделать подпись DSS, при правильном использовании стандарта бесконечно мала.

Более того, предположение о чувствительности к лазейке справедливо для любой системы проверки подлинности с открытыми ключами, включая RSA. Утверждение, что это влияет только на DSS (аргумент, популярный в прессе), полностью неверно. Вопрос в реализации и способе выбора простых чисел. Мы призываем вас уделить внимание недавней конференции EUROCRYPT, где "за круглым столом" обсуждался вопрос лазеек в DSS. Одним из участников обсуждения был один из исследователей из Bellcore, утверждавший о возможности лазейки, и по нашему пониманию участники дискуссии - включая этого исследователя из Bellcore - пришли к выводу, что вопрос о лазейке в DSS не представляет проблемы. Более того, всеми было признано, что вопрос о лазейке является тривиальным и был раздут прессой. Однако, пытаясь по просьбе NIST ответить на обвинение о лазейке, мы разработали процесс генерации простых чисел, позволяющий избежать выбора одного из относительно небольшого числа слабых простых чисел, использование которых ослабляет DSS. Кроме того, NIST настаивает на использовании модулей большей длины, вплоть до 1024, что позволяет не пользоваться разработанным процессом генерации простых чисел, избегая слабых простых чисел. Очень важным дополнительным моментом, на который часто не обращают внимание, является то, что при использовании DSS простые числа общедоступны и, следовательно, могут быть предметом открытого изучения. Не все системы с открытыми ключами способны пройти подобную проверку.

Целостность любой системы защиты информации требует обратить внимание на реализацию. Учитывая уязвимость систем с миллионами равноправных пользователей, NSA по традиции настаивает на использовании централизованных доверенных центров как на способе минимизировать риск в системе. Хотя мы по просьбе NIST и разработали ряд технических модификаций DSS, позволяющих реализовать менее централизованный подход, все же нужно выделить ту часть объявления о DSS в Federal Register, в которой говорится:

"Хотя этот стандарт должен обеспечить общие требования безопасности генерации цифровых подписей, соответствие стандарту не обеспечивает безопасность конкретной реализации. Ответственное лицо в каждом департаменте или управлении должно гарантировать, что общая реализация гарантирует приемлемый уровень безопасности. NIST продолжит работу с правительственными пользователями, обеспечивая правильность реализаций."

Наконец мы изучили все утверждения о небезопасности DSS, и они нас не убедили. DSS был тщательно изучен в NSA, что позволило нашему Директору по безопасности информационных систем разрешить использовать этот стандарт для подписи несекретных данных, обрабатываемых в определенных разведывательных системах, и даже для подписи секретных данных в ряде систем. Мы считаем, что подобное признание свидетельствует о невозможности какого-либо вероятного вскрытия безопасности, обеспечиваемой DSS при его правильных реализации и использовании. Основываясь на требованиях правительства США к технике и безопасности цифровых подписей, мы считаем, что DSS является лучшим выбором. В действительности, DSS выступает в качестве пилотного проекта Системы защиты сообщений (Defense Message System), призванного гарантировать подлинность электронных сообщений для жизненно важных команд и контрольной информации. Эта начальная демонстрация включает участие Комитета начальников штабов, военных служб и оборонных ведомств и проводится в кооперации с NIST.

Я не собираюсь комментировать истинность заявления NSA. Принимать его на вру или нет - зависит от вашего к нему отношения.