Digital Signature Standard

O Padrão de assinatura digital (DSS) é o padrão que usa o algoritmo de assinatura digital (DSA) para seu algoritmo de assinatura e SHA-1 como algoritmo de hash de mensagens. O DSA é uma codificação de chave pública usada apenas para gerar assinaturas digitais e não pode ser usada para criptografia de dados.

A assinatura DSA baseia-se na assinatura do ElGamal, mas é computacionalmente mais econômica porque trabalha com um grupo menor de potências do corpo finito.

Para gerar a firma ${\displaystyle (x,y)}$:

1. Escolhe um número primo ${\displaystyle p}$ de ${\displaystyle L}$ bits, onde ${\displaystyle 512\le L\le 1024}$ e ${\displaystyle L}$ é divisível por ${\displaystyle 64}$.
2. Escolhe um número primo ${\displaystyle q}$ de ${\displaystyle 160}$ bits, tal que ${\displaystyle p-1=qz}$, onde ${\displaystyle z}$ é algum número natural.
3. Escolhe ${\displaystyle h}$, onde ${\displaystyle 1<h<p-1}$ tal que ${\displaystyle g=h^{z}modp>1}$.
4. Escolhe ${\displaystyle x}$ de forma aleatória, onde ${\displaystyle 1<x<q-1}$.
5. Calcula ${\displaystyle y=g^{x}modp}$.

Os dados públicos são ${\displaystyle p}$, ${\displaystyle q}$, ${\displaystyle g}$ e ${\displaystyle y}$. A firma, a chave privada, é ${\displaystyle x}$.

Pra assinar à mensagem ${\displaystyle m}$ por pela firma ${\displaystyle (x,y)}$:

1. Escolhe um número aleatório ${\displaystyle k}$, onde ${\displaystyle 1<k<q}$.
2. Calcula ${\displaystyle r=(g^{k}modp)modq}$.
3. Calcula ${\displaystyle s=k^{-1}(H(m)+r\cdot x)modq}$, onde ${\displaystyle H(m)}$ é a função hash SHA-1 aplicada à mensagem ${\displaystyle m}$.
4. A assinatura é o par ${\displaystyle (r,s)}$.

Si ${\displaystyle r}$ ou ${\displaystyle s}$ é zero, repete!

1. Calcula ${\displaystyle w=s^{-1}modq}$.
2. Calcula ${\displaystyle u_1=H(m)\cdot wmodq}$.
3. Calcula ${\displaystyle u_2=r\cdot wmodq}$.
4. Calcula ${\displaystyle v=[g{u}_1\cdot y{u}_{2}modp]modq}$.
5. A assinatura é válida se ${\displaystyle v=r}$.

De ${\displaystyle g=h^{z}modp}$ segue ${\displaystyle g^q\equiv h^{qz}\equiv h^{p-1}\equiv 1modp}$ pelo Pequeno Teorema de Fermat. Já que ${\displaystyle g>1}$ e ${\displaystyle q}$ é primo segue que ${\displaystyle g}$ tem ordem ${\displaystyle q}$.

O firmador computa ${\displaystyle s=k^{-1}(\mathrm{S}\mathrm{H}\mathrm{A}\mathrm{-}\mathrm{1}(m)+xr)modq.}$

Então ${\displaystyle k\equiv \mathrm{S}\mathrm{H}\mathrm{A}\mathrm{-}\mathrm{1}(m)s^{-1}+xr{s}^{-1}\equiv \mathrm{S}\mathrm{H}\mathrm{A}\mathrm{-}\mathrm{1}(m)w+xrwmodq.}$

Já que ${\displaystyle g}$ tem ordem ${\displaystyle q}$, ${\displaystyle g^k\equiv g^{\mathrm{S}\mathrm{H}\mathrm{A}\mathrm{-}\mathrm{1}(m)w}{g}^{xrw}\equiv g^{\mathrm{S}\mathrm{H}\mathrm{A}\mathrm{-}\mathrm{1}(m)w}{y}^{rw}\equiv g^{u_1}{y}^{u_2}modp.}$

Finalmente, ${\displaystyle r=(g^{k}modp)modq=(g^{u_1}{y}^{u_2}modp)modq=v.}$