Digital Signature Algorithm

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

Digital Signature Algorithmתרגום חופשי אלגוריתם חתימה דיגיטאלית) הוא מנגנון קריפטוגרפי לחתימה דיגיטלית שאומץ על ידי ממשלת ארצות הברית כתקן פדרלי (FIPS) בתחילת 1993. אלגוריתם DSA הוצע לראשונה על ידי המכון הלאומי לתקנים וטכנולוגיה באוגוסט 1991 כחלק מתקן חתימה דיגיטלית DSS הקרוי תקן FIPS 186. ב-1996 פורסם עדכון FIPS 186-1 שהורחב בשנת 2000 בתקן FIPS 186-2. ב-2009 פורסם עדכון FIPS 186-3 וב-2013 פורסם עדכון FIPS 186-4. האלגוריתם רשום כפטנט בארצות הברית מאז 1991 על שמו של דויד קרביץ, עובד לשעבר של NSA והזכויות על הפטנט הוענקו לממשלת ארצות הברית. לאחר מכן פורסם האלגוריתם והופץ על ידי NIST באופן רשמי לשימוש חופשי. חתימת DSA היא ערך נפרד מן המסר. החותם מייצר בעזרת המפתח הפרטי מעין תווית המוצמדת למסר ומאפשרת את בדיקת אמינותו ושלמותו ומקורו באמצעות המפתח הפומבי השייך לו. בעוד שהמסר עצמו יכול להיות במצב קריא. על כן במובן זה אלגוריתם DSA אינו נחשב להצפנה.

DSA sign.jpg

בעיית לוגריתם דיסקרטי[עריכת קוד מקור | עריכה]

כמעט כל אלגוריתם מפתח-פומבי יכול לשמש כבסיס למנגנון חתימה דיגיטאלית. הרעיון של מנגנון החתימה של DSA מבוסס על בעיית לוגריתם דיסקרטי והוא וריאציה של אל-גמאל. הוא מנצל את הקושי שבפתרון בעיית חישוב לוגריתמים בחבורות, שהיא כידוע בעיה קשה מבחינה חישובית. למעשה האלגוריתם מסתמך על שתי בעיות קשורות של לוגריתם דיסקרטי. האחת לוגריתם דיסקרטי בחבורה כיפלית \ Z^{*}_ {p} מודולו \ p (ראשוני) גדול. והשנייה מציאת לוגריתמים בתת-חבורה ציקלית מסדר ראשוני \ q כלשהו (\ q < p). כמו כן מנגנון החתימה כולל, שימוש באלגוריתם ערבול (Hash) בטוח (ראו להלן).

DSA verify.jpg

חתימה ואימות[עריכת קוד מקור | עריכה]

אלגוריתם חתימה דיגיטאלית DSA כולל מספר פרמטרים בסיסיים: מפתח פרטי x, מספר סודי חד-פעמי k (מתאים למסר יחיד) ופונקציית גיבוב H. אימות החתימה נעשה בעזרת אותם פרמטרים יחד עם מפתח ציבורי y המשויך באופן מתמטי למפתח הפרטי שאיתו בוצעה החתימה ואלגוריתם הערבול האמור. הפרמטרים מתוארים להלן:

\ p מודולוס ראשוני גדול, המקיים \ 2^ {L-1} < p < 2^ {L}
(\ L מייצג את גודל \ p בסיביות, ראו להלן).
\ q מחלק ראשוני של (\ p - 1), המקיים \ 2^ {N-1} < q < 2^ {N}
(\ N מייצג את גודל \ q בסיביות, ראו להלן).
\ g יוצר של תת-חבורה מסדר \ q מודולו \ p, כאשר \ g < q.
להכנת \ g בוחרים שלם \ h כך ש-\ 1 < h < (p-1) ומחשבים את \ g = h^ {(p-1)/q} \mbox{ mod } p, אם \ g = 1 חוזרים על התהליך עם \ h אחר.
\ x מפתח פרטי וסודי. \ x צריך להיבחר באופן אקראי בטווח \left[1 ,q-1 \right].
\ y מפתח ציבורי, אותו מחשבים כך: \ y = g^ {x} \mbox{ mod } p.
\ k מספר ייחודי חד-פעמי עבור כל מסר. ייבחר באופן אקראי בטווח \left[1 ,q-1 \right].

הערה: במקום לחשב תחילה את \ p ולאחר מכן למצוא מחלק ראשוני \ q של \ (p - 1), אפשר קודם למצוא את \ q לאחר מכן לבדוק אם \ q \cdot i+1 = p הוא ראשוני, עבור \ i שלם כלשהו הגדול מ-1. למעשה התקן של NIST מפרט אלגוריתם מומלץ למציאת \ p,q.

לצורך קביעת גודל הפרמטרים, התקן מפרט מבחר זוגות של N ו-L המבטאים גודל בסיביות של p ו-q בהתאמה. לדוגמה (L=1024, N=160) היא בחירה נמוכה ביותר, להשגת בטיחות מינימאלית. התקן המכסמלי הוא (L=3072, N=256).

חתימת DSA[עריכת קוד מקור | עריכה]

החתימה על המסר \ m מורכבת מזוג המספרים \ s ו-\ r המחושבים כדלהלן:

  1. \ r = (g^ {k} \mbox{ mod } p) \mbox{ mod } q
  2. יהיה \ z שווה \ \mbox{min}(N, outlen) הסיביות הנמוכות של \ \mbox{H}(M) כאשר \ outlen מייצג את האורך בסיביות של תוצאת פונקציית הגיבוב.
  3. \ s = (k^ {-1} (z + xr)) \mbox{ mod } q

\ \mbox{H}(m) הנו ערך גיבוב שנוצר באמצעות פונקציית גיבוב המצוינת בתקן. \ k^{-1} הוא ההופכי של \ k מודולו \ q. יש לוודא כי \ s או \ r לא שווים 0, למרות שמקרה כזה נדיר אם תהליך החתימה בוצע נכון. כמו כן כחלק משלב הכנה מוקדם אפשר לחשב את \ r ללא תלות ב-\ m.

אימות ואישור החתימה[עריכת קוד מקור | עריכה]

אישור החתימה נעשה על ידי כל גורם, בעזרת המפתח הפומבי של החותם. תחילה, על המידע הפומבי הנחוץ להיות נגיש לבודק החתימה באופן מזוהה ומוכח. למשל באמצעות תעודה חתומה על ידי רשות אישרור (CA) מקובלת או במפגש אישי בין הצדדים. כמובן על הבודק לוודא כי הערכים \ r ו-\ s אינם שווים 0 או גדולים מ-\ q. תחילה מחשבים את הערכים הבאים:

  1. \ w = s^ {-1} \mbox{ mod } q (ההופכי של \ s מודולו \ q)
  2. יהיה \ z שווה \ \mbox{min}(N, outlen) הסיביות הנמוכות של \ \mbox{H}(M)
  3. \ u_1 = (zw) \mbox{ mod } q
  4. \ u_2 = (rw) \mbox{ mod } q
  5. \ v = ((g^{u_1} y^{u_2}) \mbox{ mod } p) \mbox{ mod } q

אם ורק אם \ v = r, החתימה מתקבלת כאותנטית, אחרת מניחים כי המסר או החתימה שונו בידי גורם שלישי לא ידוע, אולי בניסיון לזייף את החתימה. או שחלה טעות במהלך החתימה או האימות.

הוכחה לנכונות האלגוריתם[עריכת קוד מקור | עריכה]

אם \ r ו-\ s הופקו על ידי בעל החתימה הלגיטימי מהמסר \ m, אזי חייב להתקיים:

\ \mbox{H}(m) \equiv -ar+ks \ (\mbox{mod }q).

אם מכפילים את שני אגפי השקילות הזו ב-\ w, אחרי העברת אגפים מתקבל:

\ w \cdot \mbox{H}(m)+arw=k \ (\mbox{mod }q).

תוצאה זו למעשה שקולה ל:

\ u_1+au_2 \equiv k \ (\mbox{mod }q).

אם מעלים את \ g בחזקת שני אגפי השקילות האחרונה מתקבל:

\ (g^{u_1} \cdot y^{u_2} \mbox{ mod }p)\mbox{ mod }q = (g^k \mbox{ mod }p) \mbox{ mod }q.

על כן \ v=r.

דוגמה[עריכת קוד מקור | עריכה]

הכנת מפתח חתימה: בוחרים את הראשוני \ q=787 וכן \ p=6 \cdot q+1=4723, היוצר \ g=3045. ובוחרים מפתח פרטי למשל \ x=211 ומחשבים את \ y=3045^{211} \mbox{ mod }4723=4583. המפתחות הפומביים יהיו: \ \{4723,787,3045,4583\} ואילו המפתח הפרטי יהיה: \ 211.

תהליך החתימה: בוחרים אלמנט אקראי, נניח \ k=293, מחשבים את \ r=(3045^{293} \mbox{ mod }4723) \mbox{ mod }787=519 וכן מחשבים את ההופכי \ k^{-1}=231 \ (\mbox{mod }787). אם המסר המיועד לחתימה הוא \ m=344865, אזי: \ s=231 \cdot (344865+211 \cdot 519)\mbox{ mod }787 = 565. החתימה על המסר היא אם כן \ s=565, \ r=519.

תהליך אימות החתימה: כדי לוודא כי החתימה על המסר \ m=344865 נכונה, המקבל משתמש במפתחות הפומביים תחילה כדי לחשב את: \ w=565^{-1} = 748 \ (\mbox{mod }787) ואז מחשב את: \ u_1=748 \cdot 344865 \mbox{ mod }787=95 וכן \ u_2=519 \cdot 748 \mbox{ mod }787=221 ולבסוף: \ v=(3045^{95} \cdot 4583^{221})\mbox{ mod }4723) \mbox{ mod }787 = 519 וכיוון ש- \ r=v החתימה מתקבלת.

זוהי כמובן רק דוגמה להמחשה במספרים קטנים מאוד. בישומים מעשיים כמובן רצוי שהגורמים הראשוניים יהיו גדולים דים כדי לסכל ניסיון לתקוף את אלגוריתם החתימה באמצעות אלגוריתם לחישוב לוגריתמים כמו תחשיב אינדקסים ואחרים.

אלגוריתם גיבוב[עריכת קוד מקור | עריכה]

כחלק ממנגנון חתימה דיגיטאלית יש צורך באלגוריתם גיבוב בטוח על המסר לפני תהליך החתימה ואת החתימה לבצע על תוצאת האלגוריתם ולא על המסר ישירות. האלגוריתם מקבל את המסר m המיועד לחתימה ומפיק עבורו ערך ייחודי (H(m בגודל קבוע כאשר H(m) < m. הסיבות לכך הן, האחת עניין של יעילות, חתימה על מסר גדול באורך לא מוגדר, מסורבלת וקשה יותר מחתימה על ערך בגודל קבוע (קטן). שנית, עניין של בטיחות, חתימה על המסר עצמו ישירות, יוצרת פרצה בטיחותית מסוימת. בחתימה דיגיטאלית, לא די בכך שהערך יהיה ייחודי אלא שאלגוריתם הגיבוב יהיה בטוח, כדי להקטין כמעט לאפס את הסיכויים לכך שיימצא מסר אחר שעבורו האלגוריתם מפיק ערך זהה. לפי תקן DSA המקורי FIPS 186-1, אלגוריתם גיבוב בטוח SHA-1 מספק. לאחרונה התגלו טכניקות חדשות המטילות בספק את בטיחותו של SHA-1. למעשה תקן FIPS 186 העדכני מגדיר דרישה לפונקציית גיבוב בטוחה לפי תקן SHS, לפונקציית ערבול המכונה FIPS 180-2.

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]