home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Secrets 4 / Hacker's Secrets 4.iso / crypto / rsacryp3.txt < prev   
Text File  |  1996-04-18  |  55KB  |  1,132 lines

  1.  
  2. Archive-name: cryptography-faq/rsa/part3
  3. Last-modified: 93/09/20
  4. Version: 2.0
  5. Distribution-agent: tmp@netcom.com
  6.  
  7.  
  8. (This document has been brought to you in part by CRAM.  See the
  9. bottom for more information, including instructions on how to
  10. obtain updates.)
  11.  
  12. ===
  13.  
  14.  
  15.  
  16.                           Answers To
  17.                  FREQUENTLY ASKED QUESTIONS
  18.                  About Today's Cryptography
  19.  
  20.  
  21.  
  22.                           Paul Fahn
  23.                       RSA Laboratories
  24.                      100 Marine Parkway
  25.                    Redwood City, CA  94065
  26.  
  27.  
  28.  
  29.    Copyright (c) 1993 RSA Laboratories, a division of RSA Data Security,
  30.       Inc. All rights reserved.
  31.  
  32.    Version 2.0, draft 2f
  33.    Last update: September 20, 1993
  34.  
  35.  
  36.  
  37. ------------------------------------------------------------------------
  38.                          Table of Contents
  39.  
  40. [part 3]
  41.  
  42. 6 Capstone, Clipper, and DSS 
  43.        6.1  What is Capstone? 
  44.        6.2  What is Clipper? 
  45.        6.3  How does the Clipper chip work? 
  46.        6.4  Who are the escrow agencies? 
  47.        6.5  What is Skipjack? 
  48.        6.6  Why is Clipper controversial? 
  49.        6.7  What is the current status of Clipper? 
  50.        6.8  What is DSS? 
  51.        6.9  Is DSS secure? 
  52.        6.10  Is use of DSS covered by any patents? 
  53.        6.11  What is the current status of DSS? 
  54.  
  55. 7 NIST and NSA 
  56.        7.1  What is NIST? 
  57.        7.2  What role does NIST play in cryptography? 
  58.        7.3  What is the NSA? 
  59.        7.4  What role does the NSA play in commercial cryptography? 
  60.  
  61. 8 Miscellaneous 
  62.        8.1  What is the legal status of documents signed with digital 
  63.             signatures? 
  64.        8.2  What is a hash function? What is a message digest? 
  65.        8.3  What are MD2, MD4 and MD5? 
  66.        8.4  What is SHS? 
  67.        8.5  What is Kerberos? 
  68.        8.6  What are RC2 and RC4? 
  69.        8.7  What is PEM? 
  70.        8.8  What is RIPEM? 
  71.        8.9  What is PKCS? 
  72.        8.10  What is RSAREF? 
  73.  
  74. --------------------------------------------------------------------
  75.  
  76.  
  77. 6 Capstone, Clipper, and DSS
  78.  
  79. 6.1 What is Capstone?
  80.  
  81. Capstone is the U.S. government's long-term project to develop a set
  82. of standards for publicly-available cryptography, as authorized by 
  83. the Computer Security Act of 1987. The primary agencies responsible 
  84. for Capstone are NIST and the NSA (see Section 7). The plan calls for 
  85. the elements of Capstone to become official U.S. government standards, 
  86. in which case both the government itself and all private companies doing 
  87. business with the government would be required to use Capstone.
  88.  
  89. There are four major components of Capstone: a bulk data encryption
  90. algorithm, a digital signature algorithm, a key exchange protocol, and
  91. a hash function. The data encryption algorithm is called Skipjack (see 
  92. Question 6.5), but is often referred to as Clipper, which is the 
  93. encryption chip that includes Skipjack (see Question 6.2). The digital 
  94. signature algorithm is DSS (see Question 6.8) and the hash function is 
  95. SHS (see Question 8.4 about SHS and Question 8.2 about hash functions). 
  96. The key exchange protocol has not yet been announced. 
  97.  
  98. All the parts of Capstone have 80-bit security: all the keys involved
  99. are 80 bits long and other aspects are also designed to withstand 
  100. anything less than an ``80-bit'' attack, that is, an effort of 2^{80} 
  101. operations. Eventually the government plans to place the entire Capstone 
  102. cryptographic system on a single chip.
  103.  
  104.  
  105. 6.2 What is Clipper?
  106.  
  107. Clipper is an encryption chip developed and sponsored by the U.S. 
  108. government as part of the Capstone project (see Question 6.1).
  109. Announced by the White House in April, 1993 [65], Clipper was designed 
  110. to balance the competing concerns of federal law-enforcement agencies 
  111. with those of private citizens and industry. The law-enforcement 
  112. agencies wish to have access to the communications of suspected 
  113. criminals, for example by wire-tapping; these needs are threatened by 
  114. secure cryptography. Industry and individual citizens, however, want 
  115. secure communications, and look to cryptography to provide it.
  116.  
  117. Clipper technology attempts to balance these needs by using escrowed
  118. keys. The idea is that communications would be encrypted with a 
  119. secure algorithm, but the keys would be kept by one or more third 
  120. parties (the ``escrow agencies''), and made available to law-enforcement 
  121. agencies when authorized by a court-issued warrant. Thus, for 
  122. example, personal communications would be impervious to recreational 
  123. eavesdroppers, and commercial communications would be impervious to 
  124. industrial espionage, and yet the FBI could listen in on suspected 
  125. terrorists or gangsters. 
  126.  
  127. Clipper has been proposed as a U.S. government standard [62]; it would 
  128. then be used by anyone doing business with the federal government as well 
  129. as for communications within the government. For anyone else, use of 
  130. Clipper is strictly voluntary. AT&T has announced a secure telephone 
  131. that uses the Clipper chip.
  132.  
  133.  
  134. 6.3 How does the Clipper chip work?
  135.  
  136. The Clipper chip contains an encryption algorithm called Skipjack (see
  137. Question 6.5}), whose details have not been made public. Each chip 
  138. also contains a unique 80-bit unit key U, which is escrowed in two parts 
  139. at two escrow agencies; both parts must be known in order to recover the 
  140. key. Also present is a serial number and an 80-bit ``family key'' F; the 
  141. latter is common to all Clipper chips. The chip is manufactured so that it 
  142. cannot be reverse engineered; this means that the Skipjack algorithm and 
  143. the keys cannot be read off the chip.
  144.  
  145. When two devices wish to communicate, they first agree on an 80-bit
  146. ``session key'' K. The method by which they choose this key is left
  147. up to the implementer's discretion; a public-key method such as RSA or
  148. Diffie-Hellman seems a likely choice. The message is encrypted with
  149. the key K and sent; note that the key K is not escrowed. In addition 
  150. to the encrypted message, another piece of data, called the law-enforcement 
  151. access field (LEAF), is created and sent. It includes the session key K 
  152. encrypted with the unit key U, then concatenated with the serial number 
  153. of the sender and an authentication string, and then, finally, all encrypted 
  154. with the family key. The exact details of the law-enforcement field are 
  155. classified.
  156.  
  157. The receiver decrypts the law-enforcement field, checks the authentication
  158. string, and decrypts the message with the key K. 
  159.  
  160. Now suppose a law-enforcement agency wishes to tap the line. It uses the
  161. family key to decrypt the law-enforcement field; the agency now knows the
  162. serial number and has an encrypted version of the session key. It presents
  163. an authorization warrant to the two escrow agencies along with the serial
  164. number. The escrow agencies give the two parts of the unit key to the
  165. law-enforcement agency, which then decrypts to obtain the session key K.
  166. Now the agency can use K to decrypt the actual message.
  167.  
  168. Further details on the Clipper chip operation, such as the generation
  169. of the unit key, are sketched by Denning [26].
  170.  
  171.  
  172. 6.4 Who are the escrow agencies?
  173.  
  174. It has not yet been decided which organizations will serve as the escrow
  175. agencies, that is, keep the Clipper chip keys. No law-enforcement agency
  176. will be an escrow agency, and it is possible that at least one of the
  177. escrow agencies will be an organization outside the government.
  178.  
  179. It is essential that the escrow agencies keep the key databases
  180. extremely secure, since unauthorized access to both escrow 
  181. databases could allow unauthorized eavesdropping on private
  182. communications. In fact, the escrow agencies are likely to be one
  183. of the major targets for anyone trying to compromise the Clipper
  184. system; the Clipper chip factory is another likely target.
  185.  
  186.  
  187. 6.5 What is Skipjack?
  188.  
  189. Skipjack is the encryption algorithm contained in the Clipper chip; it was 
  190. designed by the NSA. It uses an 80-bit key to encrypt 64-bit blocks of data; 
  191. the same key is used for the decryption. Skipjack can be used in the same 
  192. modes as DES (see Question 5.3), and may be more secure than DES, since
  193. it uses 80-bit keys and scrambles the data for 32 steps, or ``rounds''; by
  194. contrast, DES uses 56-bit keys and scrambles the data for only 16 rounds.
  195.  
  196. The details of Skipjack are classified. The decision not to make the details 
  197. of the algorithm publicly available has been widely criticized. Many people 
  198. are suspicious that Skipjack is not secure, either due to oversight by its 
  199. designers, or by the deliberate introduction of a secret trapdoor. By contrast,
  200. there have been many attempts to find weaknesses in DES over the years, since 
  201. its details are public. These numerous attempts (and the fact that they have 
  202. failed) have made people confident in the security of DES. Since Skipjack is
  203. not public, the same scrutiny cannot be applied towards it, and thus a 
  204. corresponding level of confidence may not arise. 
  205.  
  206. Aware of such criticism, the government invited a small group of independent 
  207. cryptographers to examine the Skipjack algorithm. They issued a report 
  208. [12] which stated that, although their study was too limited to reach a 
  209. definitive conclusion, they nevertheless believe that Skipjack is secure.
  210.  
  211. Another consequence of Skipjack's classified status is that it cannot
  212. be implemented in software, but only in hardware by government-authorized
  213. chip manufacturers.
  214.  
  215.  
  216. 6.6 Why is Clipper controversial?
  217.  
  218. The Clipper chip proposal has aroused much controversy and has been the
  219. subject of much criticism. Unfortunately two distinct issues have become 
  220. confused in the large volume of public comment and discussion. 
  221.  
  222. First there is controversy about the whole idea of escrowed keys.
  223. Those in favor of escrowed keys see it as a way to provide secure 
  224. communications for the public at large while allowing law-enforcement 
  225. agencies to monitor the communications of suspected criminals. Those
  226. opposed to escrowed keys see it as an unnecessary and ineffective
  227. intrusion of the government into the private lives of citizens. They
  228. argue that escrowed keys infringe their rights of privacy and free
  229. speech. It will take a lot of time and much public discussion for society
  230. to reach a consensus on what role, if any, escrowed keys should have.
  231.  
  232. The second area of controversy concerns various objections to the
  233. specific Clipper proposal, that is, objections to this particular
  234. implementation of escrowed keys, as opposed to the idea of escrowed
  235. keys in general. Common objections include: the Skipjack algorithm
  236. is not public (see Questions 6.5) and may not be secure; the key 
  237. escrow agencies will be vulnerable to attack; there are not enough
  238. key escrow agencies; the keys on the Clipper chips are not generated
  239. in a sufficiently secure fashion; there will not be sufficient 
  240. competition among implementers, resulting in expensive and slow chips;
  241. software implementations are not possible; and the key size is fixed
  242. and cannot be increased if necessary.
  243.  
  244. Micali [55] has recently proposed an alternative system that also 
  245. attempts to balance the privacy concerns of law-abiding citizens with 
  246. the investigative concerns of law-enforcement agencies. Called fair 
  247. public-key cryptography, it is similar in function and purpose to the 
  248. Clipper chip proposal but users can choose their own keys, which they 
  249. register with the escrow agencies. Also, the system does not require 
  250. secure hardware, and can be implemented completely in software.
  251.  
  252.  
  253. 6.7 What is the current status of Clipper?
  254.  
  255. Clipper is under review. Both the executive branch and Congress are
  256. considering it, and an advisory panel recently recommended a full
  257. year-long public discussion of cryptography policy. NIST has invited 
  258. the public to send comments, as part of its own review.
  259.  
  260.  
  261. 6.8 What is DSS?
  262.  
  263. DSS is the proposed Digital Signature Standard, which specifies a 
  264. Digital Signature Algorithm (DSA), and is a part of the U.S. government's
  265. Capstone project (see Question 6.1). It was selected by NIST, 
  266. in cooperation with the NSA (see Section 7), to be the digital 
  267. authentication standard of the U.S. government; whether the government 
  268. should in fact adopt it as the official standard is still 
  269. under debate. 
  270.  
  271. DSS is based on the discrete log problem (see Question 4.9) and derives 
  272. from cryptosystems proposed by Schnorr [75] and ElGamal [30]. It is for 
  273. authentication only. For a detailed description of DSS, see [63] or [57].
  274.  
  275. DSS has, for the most part, been looked upon unfavorably by the computer 
  276. industry, much of which had hoped the government would choose the RSA 
  277. algorithm as the official standard; RSA is the most widely used 
  278. authentication algorithm. Several articles in the press, such as [54], 
  279. discuss the industry dissatisfaction with DSS. Criticism of DSS has 
  280. focused on a few main issues: it lacks key exchange capability; the 
  281. underlying cryptosystem is too recent and has been subject to too little 
  282. scrutiny for users to be confident of its strength; verification of 
  283. signatures with DSS is too slow; the existence of a second authentication 
  284. standard will cause hardship to computer hardware and software vendors, who 
  285. have already standardized on RSA; and that the process by which NIST chose 
  286. DSS was too secretive and arbitrary, with too much influence wielded by NSA. 
  287. Other criticisms were addressed by NIST by modifying the original proposal. 
  288. A more detailed discussion of the various criticisms can be found in 
  289. [57], and a detailed response by NIST can be found in [78].
  290.  
  291. In the DSS system, signature generation is faster than signature 
  292. verification, whereas in the RSA system, signature verification is 
  293. faster than signature generation (if the public and private exponents 
  294. are chosen for this property, which is the usual case). NIST claims 
  295. that it is an advantage of DSS that signing is faster, but many people 
  296. in cryptography think that it is better for verification to be the 
  297. faster operation. 
  298.  
  299.  
  300. 6.9 Is DSS secure?
  301.  
  302. The most serious criticisms of DSS involve its security. DSS was originally 
  303. proposed with a fixed 512-bit key size. After much criticism that this is 
  304. not secure enough, NIST revised DSS to allow key sizes up to 1024 bits. More 
  305. critical, however, is the fact that DSS has not been around long enough to 
  306. withstand repeated attempts to break it; although the discrete log problem 
  307. is old, the particular form of the problem used in DSS was first proposed 
  308. for cryptographic use in 1989 by Schnorr [75] and has not received much 
  309. public study. In general, any new cryptosystem could have serious flaws 
  310. that are only discovered after years of scrutiny by cryptographers. Indeed 
  311. this has happened many times in the past; see [13] for some detailed 
  312. examples. RSA has withstood over 15 years of vigorous examination for 
  313. weaknesses. In the absence of mathematical proofs of security, nothing 
  314. builds confidence in a cryptosystem like sustained attempts to crack it. 
  315. Although DSS may well turn out to be a strong cryptosystem, its relatively 
  316. short history will leave doubts for years to come.
  317.  
  318. Some researchers warned about the existence of ``trapdoor'' primes in
  319. DSS, which could enable a key to be easily broken. These trapdoor primes
  320. are relatively rare however, and are easily avoided if proper key
  321. generation procedures are followed [78].
  322.  
  323.  
  324. 6.10 Is use of DSS covered by any patents?
  325.  
  326. NIST has filed a patent application for DSS and there have been claims that 
  327. DSS is covered by other public-key patents. NIST recently announced its 
  328. intention to grant exclusive sublicensing rights for the DSS patent to Public 
  329. Key Partners (PKP), which also holds the sublicensing rights to other patents 
  330. that may cover DSS (see Question 1.5). In the agreement between NIST and 
  331. PKP, PKP publicly stated uniform guidelines by which it will grant licenses 
  332. to practice DSS. PKP stated that DSS can be used on a royalty-free basis 
  333. in the case of personal, noncommercial, or U.S. government use. See [61] 
  334. for details on the agreement and the licensing policy.
  335.  
  336.  
  337. 6.11 What is the current status of DSS?
  338.  
  339. After NIST issued the DSS proposal in August 1991, there was a period 
  340. in which comments from the public were solicited; NIST then revised its
  341. proposal in light of the comments. DSS may be issued as a FIPS and become 
  342. the official U.S. government standard, but it is not clear when this 
  343. might happen. DSS is currently in the process of becoming a standard, 
  344. along with RSA, for the financial services industry; a recent draft 
  345. standard [1] contains the revised version of DSS.
  346.  
  347.  
  348. 7 NIST and NSA
  349.  
  350. 7.1 What is NIST?
  351. NIST is an acronym for the National Institute of Standards and Technology,
  352. a division of the U.S. Department of Commerce; it was formerly known as
  353. the National Bureau of Standards (NBS). Through its Computer Systems
  354. Laboratory it aims to promote open systems and interoperability that
  355. will spur development of computer-based economic activity. NIST issues
  356. standards and guidelines that it hopes will be adopted by all computer
  357. systems in the U.S., and also sponsors workshops and seminars. Official 
  358. standards are published as FIPS (Federal Information Processing Standards) 
  359. publications.
  360.  
  361. In 1987 Congress passed the Computer Security Act, which authorized NIST 
  362. to develop standards for ensuring the security of sensitive but unclassified 
  363. information in government computer systems. It encouraged NIST to work with 
  364. other government agencies and private industry in evaluating proposed 
  365. computer security standards.
  366.  
  367.  
  368. 7.2 What role does NIST play in cryptography?
  369.  
  370. NIST issues standards for cryptographic routines; U.S. government agencies
  371. are required to use them, and the private sector often adopts them as well.
  372. In January 1977, NIST declared DES (see Question 5.1) the official U.S. 
  373. encryption standard and published it as FIPS Publication 46; DES soon 
  374. became a de facto standard throughout the U.S.
  375.  
  376. A few years ago, NIST was asked to choose a set of cryptographic standards
  377. for the U.S.; this has become known as the Capstone project (see Section 
  378. 6). After a few years of rather secretive deliberations, and in cooperation 
  379. with the NSA, NIST issued proposals for various standards in cryptography, 
  380. including digital signatures (DSS) and data encryption (the Clipper chip); 
  381. these are pieces of the overall Capstone project.
  382.  
  383. NIST has been criticized for allowing the NSA too much power in setting 
  384. cryptographic standards, since the interests of the NSA conflict with that 
  385. of the Commerce Department and NIST. Yet, the NSA has much more experience
  386. with cryptography, and many more qualified cryptographers and cryptanalysts,
  387. than does NIST; it would be unrealistic to expect NIST to forego such 
  388. available assistance.
  389.  
  390.  
  391. 7.3 What is the NSA?
  392.  
  393. The NSA is the National Security Agency, a highly secretive agency of the 
  394. U.S. government that was created by Harry Truman in 1952; its very existence 
  395. was kept secret for many years. For a history of the NSA, see Bamford [2].
  396. The NSA has a mandate to listen to and decode all foreign communications of 
  397. interest to the security of the United States. It has also used its power 
  398. in various ways (see Question 7.4) to slow the spread of publicly available 
  399. cryptography, in order to prevent national enemies from employing encryption 
  400. methods too strong for the NSA to break.
  401.  
  402. As the premier cryptographic government agency, the NSA has huge financial 
  403. and computer resources and employs a host of cryptographers. Developments in 
  404. cryptography achieved at the NSA are not made public; this secrecy has led to 
  405. many rumors about the NSA's ability to break popular cryptosystems like DES 
  406. and also to rumors that the NSA has secretly placed weaknesses, called trap 
  407. doors, in government-endorsed cryptosystems, such as DES. These rumors have 
  408. never been proved or disproved, and the criteria used by the NSA in selecting 
  409. cryptography standards have never been made public. 
  410.  
  411. Recent advances in the computer and telecommunications industries have 
  412. placed NSA actions under unprecedented scrutiny, and the agency has become 
  413. the target of heavy criticism for hindering U.S. industries that wish to use 
  414. or sell strong cryptographic tools. The two main reasons for this increased 
  415. criticism are the collapse of the Soviet Union and the development and 
  416. spread of commercially available public-key cryptographic tools. Under 
  417. pressure, the NSA may be forced to change its policies.
  418.  
  419.  
  420. 7.4 What role does the NSA play in commercial cryptography?
  421.  
  422. The NSA's charter limits its activities to foreign intelligence. However,
  423. the NSA is concerned with the development of commercial cryptography
  424. because the availability of strong encryption tools through commercial 
  425. channels could impede the NSA's mission of decoding international 
  426. communications; in other words, the NSA is worried lest strong commercial 
  427. cryptography fall into the wrong hands. 
  428.  
  429. The NSA has stated that it has no objection to the use of secure cryptography
  430. by U.S. industry. It also has no objection to cryptographic tools used for
  431. authentication, as opposed to privacy. However, the NSA is widely viewed as
  432. following policies that have the practical effect of limiting and/or weakening
  433. the cryptographic tools used by law-abiding U.S. citizens and corporations;
  434. see Barlow [3] for a discussion of NSA's effect on commercial 
  435. cryptography.
  436.  
  437. The NSA exerts influence over commercial cryptography in several ways. 
  438. First, it controls the export of cryptography from the U.S. (see Question 
  439. 1.6); the NSA generally does not approve export of products used for 
  440. encryption unless the key size is strictly limited. It does, however,
  441. approve for export any products used for authentication only, no matter 
  442. how large the key size, so long as the product cannot be converted to be
  443. used for encryption. The NSA has also blocked encryption methods from being 
  444. published or patented, citing a national security threat; see Landau [46] 
  445. for a discussion of this practice. Additionally, the NSA serves an 
  446. ``advisory'' role to NIST in the evaluation and selection of official U.S. 
  447. government computer security standards; in this capacity, it has played a 
  448. prominent, and controversial, role in the selection of DES and in the 
  449. development of the group of standards known as the Capstone project (see 
  450. Section 6), which includes DSS and the Clipper chip. The NSA can also 
  451. exert market pressure on U.S. companies to produce (or refrain from 
  452. producing) cryptographic goods, since the NSA itself is often a large 
  453. customer of these companies.
  454.  
  455. Cryptography is in the public eye as never before and has become the subject
  456. of national public debate. The status of cryptography, and the NSA's role
  457. in it, will probably change over the next few years.
  458.  
  459.  
  460. 8 Miscellaneous
  461.  
  462. 8.1 What is the legal status of documents signed with digital signatures?
  463.  
  464. If digital signatures are to replace handwritten signatures they must have 
  465. the same legal status as handwritten signatures, i.e., documents signed 
  466. with digital signatures must be legally binding. NIST has stated that its 
  467. proposed Digital Signature Standard (see Question 6.8) should be capable 
  468. of ``proving to a third party that data was actually signed by the 
  469. generator of the signature.'' Furthermore, U.S. federal government
  470. purchase orders will be signed by any such standard; this implies that
  471. the government will support the legal authority of digital signatures
  472. in the courts. Some preliminary legal research has also resulted in the
  473. opinion that digital signatures would meet the requirements of legally
  474. binding signatures for most purposes, including commercial use as defined 
  475. in the Uniform Commercial Code (UCC). A GAO (Government Accounting
  476. Office) decision requested by NIST also opines that digital signatures
  477. will meet the legal standards of handwritten signatures [20].
  478.  
  479. However, since the validity of documents with digital signatures has never 
  480. been challenged in court, their legal status is not yet well-defined.
  481. Through such challenges, the courts will issue rulings that collectively 
  482. define which digital signature methods, key sizes, and security precautions 
  483. are acceptable for a digital signature to be legally binding.
  484.  
  485. Digital signatures have the potential to possess greater legal authority
  486. than handwritten signatures. If a ten-page contract is signed by hand on
  487. the tenth page, one cannot be sure that the first nine pages have not
  488. been altered. If the contract was signed by digital signatures, however, 
  489. a third party can verify that not one byte of the contract has been altered.
  490.  
  491. Currently, if two people wish to digitally sign a series of contracts, 
  492. they may wish to first sign a paper contract in which they agree to be bound 
  493. in the future by any contracts digitally signed by them with a given 
  494. signature method and minimum key size.
  495.  
  496.  
  497. 8.2 What is a hash function? What is a message digest?
  498.  
  499. A hash function is a computation that takes a variable-size input and returns
  500. a fixed-size string, which is called the hash value. If the hash function
  501. is one-way, i.e., hard to invert, it is also called a message-digest function,
  502. and the result is called a message digest. The idea is that a digest 
  503. represents concisely the longer message or document from which it was 
  504. computed; one can think of a message digest as a ``digital fingerprint'' of 
  505. the larger document. Examples of well-known hash functions are MD4, MD5, 
  506. and SHS (see Questions 8.3 and 8.4).
  507.  
  508. Although hash functions in general have many uses in computer programs, in 
  509. cryptography they are used to generate a small string (the message digest) 
  510. that can represent securely a much larger string, such as a file or message. 
  511. Since the hash functions are faster than the signing functions, it is much 
  512. more efficient to compute a digital signature using a document's message 
  513. digest, which is small, than using the arbitrarily large document itself. 
  514. Additionally, a digest can be made public without revealing the contents of 
  515. the document from which it derives. This is important in digital 
  516. time-stamping, where, using hash functions, one can get a document 
  517. time-stamped without revealing its contents to the time-stamping service 
  518. (see Question 3.18). 
  519.  
  520. A hash function used for digital authentication must have certain 
  521. properties that make it secure enough for cryptographic use. Specifically,  
  522. it must be infeasible to find a message that hashes to a given value
  523. and it must be infeasible to find two distinct messages that hash to 
  524. the same value. The ability to find a message hashing to a given value
  525. would enable an attacker to substitute a fake message for a real message
  526. that was signed. It would also enable someone to falsely disown a 
  527. message by claiming that he or she actually signed a different message 
  528. hashing to the same value, thus violating the non-repudiation property
  529. of digital signatures. The ability to find two distinct messages hashing 
  530. to the same value could enable an attack whereby someone is tricked into 
  531. signing a message which hashes to the same value as another message with 
  532. a quite different meaning. The digest must therefore be long enough to 
  533. prevent an attacker from doing an exhaustive search for a collision. For 
  534. example, if a hash function produces 100-bit strings, exhaustive search 
  535. would take 2^{100} attempts on average to match a given value, and 
  536. approximately 2^{50} attempts on average to find two inputs producing 
  537. the same digest. 
  538.  
  539. A digital signature system can be broken by attacking either the difficult
  540. mathematical problem on which the signature method is based or the hash 
  541. function used to create the message digests. When choosing an authentication 
  542. system, it is generally a good idea to choose a signature method and a hash 
  543. function that require comparable efforts to break; any extra security in one 
  544. of the two components is wasted, since attacks will be directed at the weaker 
  545. component. Actually, attacking the hash function is harder in practice, since 
  546. it requires a large amount of memory and the ability to trick the victim into 
  547. signing a special message. With 2^{64} operations, an attacker can find two 
  548. messages that hash to the same digest under any of the MD hash functions; 
  549. this effort is comparable to that necessary to break 512-bit RSA; thus MD5 is 
  550. a good choice when using RSA with a 512-bit modulus. However, those with 
  551. greater security needs, such as certifying authorities, should use a longer 
  552. modulus and a hash function that produces a longer message digest; either SHS 
  553. (160-bit digest) or a modified version of MD4 that produces a 256-bit digest 
  554. [71] would suffice.
  555.  
  556.  
  557. 8.3 What are MD2, MD4 and MD5?
  558.  
  559. MD2, MD4 and MD5 (MD stands for Message Digest) are widely used hash 
  560. functions designed by Ron Rivest specifically for cryptographic use.
  561. They produce 128-bit digests and there is no known attack faster than 
  562. exhaustive search.
  563.  
  564. MD2 is the slowest of the three; MD4 [71] is the fastest. MD5 [73]
  565. has been dubbed ``MD4 with safety belts'' by Rivest, since it has a 
  566. more conservative design than MD4; the design gives it increased 
  567. security against attack, but at a cost of being approximately 33% 
  568. slower than MD4. MD5 is the most commonly used of the three algorithms. 
  569. MD4 and MD5 are publicly available for unrestricted use; MD2 is available
  570. for use with PEM (see Question 8.7). Details of MD2, MD4, and MD5 with 
  571. sample C code are available in Internet RFCs (Requests For Comments) 
  572. 1319, 1320, and 1321, respectively. 
  573.  
  574. No feasible attacks on any of the MD algorithms have been discovered, 
  575. although some recent theoretical work has found some interesting
  576. structural properties [24,25].
  577.  
  578.  
  579. 8.4 What is SHS?
  580.  
  581. The Secure Hash Standard (SHS) [58] is a hash function proposed by NIST 
  582. (see Question 7.1) and adopted as a U.S. government standard. It is 
  583. designed for use with the proposed Digital Signature Standard (see 
  584. Question 6.8) and is part of the government's Capstone project (see 
  585. Question 6.1}). SHS produces a 160-bit hash value from a variable-size 
  586. input. SHS is structurally similar to MD4 and MD5. It is roughly 25% 
  587. slower than MD5 but may be more secure, because it produces message 
  588. digests that are 25% longer than those produced by the MD functions. 
  589. SHS is currently the only part of Capstone that has been officially 
  590. adopted as a government standard.
  591.  
  592.  
  593. 8.5 What is Kerberos?
  594.  
  595. Kerberos is a secret-key network authentication system developed at MIT
  596. [79]; it uses DES for encryption and authentication. Unlike a public-key 
  597. authentication system, it does not produce digital signatures: Kerberos 
  598. was designed to authenticate requests for network resources rather than 
  599. to authenticate authorship of documents. Kerberos provides real-time 
  600. authentication in a distributed environment, but does not provide for 
  601. future third-party verification of documents.
  602.  
  603. In a Kerberos system, there is a designated site on the network, called 
  604. the Kerberos server, which performs centralized key management and 
  605. administrative functions. The server maintains a database containing the 
  606. secret keys of all users, generates session keys whenever two users wish to 
  607. communicate securely, and authenticates the identity of a user who requests 
  608. certain network services. 
  609.  
  610. Kerberos, like other secret-key systems, requires trust in a third party, 
  611. in this case the Kerberos server. If the server were compromised, the 
  612. integrity of the whole system would fall. Public-key cryptography was 
  613. designed precisely to avoid the necessity to trust third parties or 
  614. communication lines (see Question 1.4). Kerberos may be adequate 
  615. for those who do not need the more robust functions and properties of 
  616. public-key systems. 
  617.  
  618.  
  619. 8.6 What are RC2 and RC4?
  620.  
  621. RC2 and RC4 are variable-key-size cipher functions designed by Ron Rivest 
  622. for fast bulk encryption. They are alternatives to DES (see Question
  623. 5.1) and are as fast or faster than DES. They can be more secure than 
  624. DES because of their ability to use long key sizes; they can also be less 
  625. secure than DES if short key sizes are used.
  626.  
  627. RC2 is a variable-key-size symmetric block cipher and can serve as a drop-in
  628. replacement for DES, for example in export versions of products otherwise
  629. using DES. RC2 can be used in the same modes as DES (see Question 5.3), 
  630. including triple encryption. RC2 is approximately twice as fast as DES, 
  631. at least in software. RC4 is a variable-key-size symmetric stream cipher 
  632. and is 10 or more times as fast as DES in software. Both RC2 and RC4 are 
  633. very compact in terms of code size. 
  634.  
  635. An agreement between the Software Publishers Association (SPA) and the U.S. 
  636. government gives RC2 and RC4 special status by means of which the export 
  637. approval process is simpler and quicker than the usual cryptographic export 
  638. process. However, to qualify for quick export approval a product must limit 
  639. the RC2 and RC4 key sizes to 40 bits; 56 bits is allowed for foreign 
  640. subsidiaries and overseas offices of U.S. companies. An additional 40-bit 
  641. string, called a salt, can be used to thwart attackers who try to 
  642. precompute a large look-up table of possible encryptions. The salt is 
  643. appended to the encryption key, and this lengthened key is used to encrypt 
  644. the message; the salt is then sent, unencrypted, with the message. RC2 and 
  645. RC4 have been widely used by developers who want to export their products; 
  646. DES is almost never approved for export. RC2 and RC4 are proprietary 
  647. algorithms of RSA Data Security, Inc.; details have not been published.
  648.  
  649.  
  650. 8.7 What is PEM?
  651.  
  652. PEM is the Internet Privacy-Enhanced Mail standard, designed, proposed, but 
  653. not yet officially adopted, by the Internet Activities Board in order to 
  654. provide secure electronic mail over the Internet. Designed to work with 
  655. current Internet e-mail formats, PEM includes encryption, authentication, 
  656. and key management, and allows use of both public-key and secret-key 
  657. cryptosystems. Multiple cryptographic tools are supported: for each mail 
  658. message, the specific encryption algorithm, digital signature algorithm, 
  659. hash function, and so on are specified in the header. PEM explicitly 
  660. supports only a few cryptographic algorithms; others may be added later. 
  661. DES in CBC mode is currently the only message encryption algorithm supported, 
  662. and both RSA and DES are supported for the key management. PEM also supports 
  663. the use of certificates, endorsing the CCITT X.509 standard for certificate 
  664. structure. 
  665.  
  666. The details of PEM can be found in Internet RFCs (Requests For Comments) 
  667. 1421 through 1424. PEM is likely to be officially adopted by the Internet 
  668. Activities Board within one year. Trusted Information Systems has developed
  669. a free non-commercial implementation of PEM, and other implementations should 
  670. soon be available as well.
  671.  
  672.  
  673. 8.8 What is RIPEM?
  674.  
  675. RIPEM is a program developed by Mark Riordan that enables secure Internet 
  676. e-mail; it provides both encryption and digital signatures, using RSA and 
  677. DES routines from RSAREF (see Question 8.10). RIPEM is not fully 
  678. PEM-compatible; for example, it does not currently support certificates. 
  679. However, future versions will include certificates and will be fully 
  680. compliant with the PEM standard. RIPEM is available free for non-commercial 
  681. use in the U.S. and Canada. To get RIPEM, obtain an ftp account at 
  682. ripem.msu.edu.
  683.  
  684.  
  685. 8.9 What is PKCS?
  686.  
  687. PKCS (Public-Key Cryptography Standards) is a set of standards for 
  688. implementation of public-key cryptography. It has been issued by RSA 
  689. Data Security, Inc. in cooperation with a computer industry consortium, 
  690. including Apple, Microsoft, DEC, Lotus, Sun and MIT. PKCS has been cited 
  691. by the OIW (OSI Implementors' Workshop) as a method for implementation of 
  692. OSI standards. PKCS is compatible with PEM (see Question 8.7) but extends 
  693. beyond PEM. For example, where PEM can only handle ASCII data, PKCS is 
  694. designed for binary data as well. PKCS is also compatible with the CCITT 
  695. X.509 standard.
  696.  
  697. PKCS includes both algorithm-specific and algorithm-independent 
  698. implementation standards. Specific algorithms supported include RSA, DES, 
  699. and Diffie-Hellman key exchange. It also defines algorithm-independent syntax 
  700. for digital signatures, digital envelopes (for encryption), and certificates; 
  701. this enables someone implementing any cryptographic algorithm whatsoever to 
  702. conform to a standard syntax and thus preserve interoperability. Documents 
  703. detailing the PKCS standards can be obtained by sending e-mail to 
  704. pkcs@rsa.com or by anonymous ftp to rsa.com.
  705.  
  706.  
  707. 8.10 What is RSAREF?
  708.  
  709. RSAREF is a collection of cryptographic routines in portable C source code,
  710. available at no charge from RSA Laboratories, a division of RSA Data Security,
  711. Inc. It includes RSA, MD2, MD5, and DES; Diffie-Hellman key exchange will 
  712. be included in a forthcoming version. It includes both low-level 
  713. subroutines, such as modular exponentiation, and high-level cryptographic 
  714. functions, such as verification of digital signatures. The arithmetic routines 
  715. can handle multiple-precision integers, and the RSA algorithm routines can 
  716. handle variable key sizes. RSAREF is fully compatible with the PEM and PKCS
  717. standards.
  718.  
  719. RSAREF is available to citizens of the U.S. or Canada and to permanent 
  720. residents of the U.S. It can be used in personal, non-commercial applications 
  721. but cannot be used commercially or sent outside the U.S. and Canada. The 
  722. RSAREF license contains more details on the usage allowed and disallowed. 
  723. RSAREF is available on the Internet by sending e-mail to 
  724. rsaref@rsa.com or by ftp to rsa.com.
  725.  
  726.  
  727. 9 Acknowledgements
  728.  
  729. I would like to thank the following people, who have provided information 
  730. and helpful suggestions: Burt Kaliski, Jim Bidzos, Matt Robshaw, Steve Dusse, 
  731. Kurt Stammberger, George Parsons, John Gilmore, Stuart Haber, Dorothy 
  732. Denning, and Dennis Branstad. 
  733.  
  734.  
  735. BIBLIOGRAPHY
  736.  
  737. 1. American National Standards Institute. Working Draft: American National 
  738.    Standard X9.30-199X: Public Key Cryptography Using Irreversible 
  739.    Algorithms for the Financial Services Industry: Part 1: The Digital 
  740.    Signature Algorithm (DSA). American Bankers Association, Washington, 
  741.    D.C., March 4, 1993.
  742.  
  743. 2. J. Bamford. The Puzzle Palace. Houghton Mifflin, Boston, 1982.
  744.  
  745. 3. J.P. Barlow. Decrypting the puzzle palace. Communications of the ACM, 
  746.    35(7):25--31, July 1992.
  747.  
  748. 4. D. Bayer, S. Haber, and W.S. Stornetta. Improving the efficiency and 
  749.    reliablility of digital time-stamping. In R.M. Capocelli, editor, 
  750.    Sequences '91: Methods in Communication, Security, and Computer Science, 
  751.    Springer-Verlag, Berlin, 1992.
  752.  
  753. 5. P. Beauchemin, G. Brassard, C. Crepeau, C. Goutier, and C. Pomerance. The 
  754.    generation of random numbers that are probably prime. J. of Cryptology, 
  755.    1:53--64, 1988.
  756.  
  757. 6. E. Biham and A. Shamir. Differential Cryptanalysis of the Data Encryption 
  758.    Standard. Springer-Verlag, New York, 1993.
  759.  
  760. 7. E. Biham and A. Shamir. Differential cryptanalysis of the full 16-round 
  761.    DES. In Advances in Cryptology --- Crypto '92, Springer-Verlag, New York, 
  762.    1993.
  763.  
  764. 8. M. Blum and S. Goldwasser. An efficient probabilistic public-key 
  765.    encryption scheme which hides all partial information. In Advances in 
  766.    Cryptology --- Crypto '84, pages 289--299, Springer-Verlag, New York, 
  767.    1985.
  768.  
  769. 9. J. Brandt and I. Damgard. On generation of probable primes by incremental 
  770.    search. In Advances in Cryptology --- Crypto '92, Springer-Verlag, New 
  771.    York, 1993.
  772.  
  773. 10. G. Brassard. Modern Cryptology. Volume 325 of Lecture Notes in Computer 
  774.     Science, Springer-Verlag, Berlin, 1988.
  775.  
  776. 11. D.M. Bressoud. Factorization and Primality Testing. Undergraduate Texts 
  777.     in Mathematics, Springer-Verlag, New York, 1989.
  778.  
  779. 12. E.F. Brickell, D.E. Denning, S.T. Kent, D.P. Maher, and W. Tuchman. 
  780.     Skipjack Review, Interim Report: The Skipjack Algorithm. July 28, 1993.
  781.  
  782. 13. E.F. Brickell and A.M. Odlyzko. Cryptanalysis: A survey of recent 
  783.     results. Proceedings of the IEEE, 76:578--593, 1988.
  784.  
  785. 14. J. Brillhart, D.H. Lehmer, J.L. Selfridge, B. Tuckerman, and S.S. 
  786.     Wagstaff Jr. Factorizations of b^n +/- 1, b=2,3,5,6,7,10,11,12 up to 
  787.     High Powers. Volume 22 of Contemporary Mathematics, American 
  788.     Mathematical Society, Providence, Rhode Island, 2nd edition, 1988.
  789.  
  790. 15. J. Buchmann, J. Loho, and J. Zayer. An implementation of the general 
  791.     number field sieve. In Advances, in Cryptology --- Crypto '93, 
  792.     Springer-Verlag, New York, 1994. To appear.
  793.  
  794. 16. J.P. Buhler, H.W. Lenstra, and C. Pomerance. Factoring integers with 
  795.     the number field sieve. 1992. To appear.
  796.  
  797. 17. M.V.D. Burmester, Y.G. Desmedt, and T. Beth. Efficient zero-knowledge 
  798.     identification schemes for smart cards. Computer Journal, 35:21--29, 1992.
  799.  
  800. 18. K.W. Campbell and M.J. Wiener. Proof that DES is not a group. In 
  801.     Advances in Cryptology --- Crypto '92, Springer-Verlag, New York, 1993.
  802.  
  803. 19. CCITT (Consultative Committee on International Telegraphy and 
  804.     Telephony). Recommendation X.509: The Directory---Authentication 
  805.     Framework. 1988.
  806.  
  807. 20. Comptroller General of the United States. Matter of National Institute 
  808.     of Standards and Technology --- Use of Electronic Data Interchange 
  809.     Technology to Create Valid Obligations. December 13, 1991. File B-245714. 
  810.  
  811. 21. D. Coppersmith, A.M. Odlyzko, and R. Schroeppel. Discrete logarithms in 
  812.     GF(p). Algorithmica, 1:1--15, 1986.
  813.  
  814. 22. T.H. Cormen, C.E. Leiserson, and R.L. Rivest. Introduction to Algorithms.
  815.     MIT Press, Cambridge, Massachusetts, 1990.
  816.  
  817. 23. G. Davida. Chosen signature cryptanalysis of the RSA public key
  818.     cryptosystem. Technical Report TR-CS-82-2, Dept of EECS, University of 
  819.     Wisconsin, Milwaukee, 1982.
  820.  
  821. 24. B. den Boer and A. Bosselaers. An attack on the last two rounds of MD4.
  822.     In Advances in Cryptology --- Crypto '91, pages 194--203, Springer-Verlag,
  823.     New York, 1992.
  824.  
  825. 25. B. den Boer and A. Bosselaers. Collisions for the compression function 
  826.     of MD5. In Advances in Cryptology --- Eurocrypt '93, 1993. Preprint.
  827.  
  828. 26. Dorothy E. Denning. The Clipper encryption system. American Scientist, 
  829.     81(4):319--323, July--August 1993.
  830.  
  831. 27. W. Diffie. The first ten years of public-key cryptography. Proceedings 
  832.     of the IEEE, 76:560--577, 1988.
  833.  
  834. 28. W. Diffie and M.E. Hellman. Exhaustive cryptanalysis of the NBS Data 
  835.     Encryption Standard. Computer, 10:74--84, 1977.
  836.  
  837. 29. W. Diffie and M.E. Hellman. New directions in cryptography. IEEE 
  838.     Transactions on Information Theory, IT-22:644--654, 1976.
  839.  
  840. 30. T. ElGamal. A public-key cryptosystem and a signature scheme based on 
  841.     discrete logarithms. IEEE Transactions on Information Theory, 
  842.     IT-31:469--472, 1985.
  843.  
  844. 31. A. Fiat and A. Shamir. How to prove yourself: Practical solutions to 
  845.     identification and signature problems. In Advances in Cryptology --- 
  846.     Crypto '86, pages 186--194, Springer-Verlag, New York, 1987.
  847.  
  848. 32. S. Goldwasser and S. Micali. Probabilistic encryption. J. of Computer 
  849.     and System Sciences, 28:270--299, 1984.
  850.  
  851. 33. D.M. Gordon. Discrete logarithms using the number field sieve. March 28,
  852.     1991. To appear. 
  853.  
  854. 34. D.M. Gordon and K.S. McCurley. Massively parallel computation of discrete
  855.     logarithms. In Advances in Cryptology --- Crypto '92, Springer-Verlag, 
  856.     New York, 1993.
  857.  
  858. 35. J. Hastad. Solving simultaneous modular equations of low degree. SIAM J.
  859.     Computing, 17:336--241, 1988.
  860.  
  861. 36. M.E. Hellman. A cryptanalytic time-memory trade off. IEEE Transactions 
  862.     on Information Theory, IT-26:401--406, 1980.
  863.  
  864. 37. D. Kahn. The Codebreakers. Macmillan Co., New York, 1967.
  865.  
  866. 38. B.S. Kaliski. A survey of encryption standards. RSA Data Security, Inc.,
  867.     September 2, 1993.
  868.  
  869. 39. B.S. Kaliski Jr., R.L. Rivest, and A.T. Sherman. Is the data encryption 
  870.     standard a group? J. of Cryptology, 1:3--36, 1988.
  871.  
  872. 40. S. Kent. RFC 1422: Privacy Enhancement for Internet Electronic Mail, 
  873.     Part II: Certificate-Based Key Management. Internet Activities Board, 
  874.     February 1993.
  875.  
  876. 41. D.E. Knuth. The Art of Computer Programming. Volume 2, Addison-Wesley, 
  877.     Reading, Mass., 2nd edition, 1981. 
  878.  
  879. 42. N. Koblitz. A Course in Number Theory and Cryptography. Springer-Verlag, 
  880.     New York, 1987.
  881.  
  882. 43. N. Koblitz. Elliptic curve cryptosystems. Mathematics of Computation, 
  883.     48:203--209, 1987.
  884.  
  885. 44. X. Lai and J.L. Massey. A proposal for a new block encryption standard. 
  886.     In Advances in Cryptology --- Eurocrypt '90, pages 389--404, 
  887.     Springer-Verlag, Berlin, 1991. 
  888.  
  889. 45. B.A. LaMacchia and A.M. Odlyzko. Computation of discrete logarithms 
  890.     in prime fields. Designs, Codes and Cryptography, 1:47--62, 1991. 
  891.  
  892. 46. S. Landau. Zero knowledge and the Department of Defense. Notices of 
  893.     the American Mathematical Society, 35:5--12, 1988.
  894.  
  895. 47. A.K. Lenstra and H.W. Lenstra Jr. Algorithms in number theory. In J. 
  896.     van Leeuwen, editor, Handbook of Theoretical Computer Science, MIT 
  897.     Press/Elsevier, Amsterdam, 1990.
  898.  
  899. 48. A.K. Lenstra, H.W. Lenstra Jr., M.S. Manasse, and J.M. Pollard. The 
  900.     factorization of the ninth Fermat number. 1991. To appear. 
  901.  
  902. 49. A.K. Lenstra and M.S. Manasse. Factoring with two large primes. In 
  903.     Advances in Cryptology --- Eurocrypt '90, pages 72--82, Springer-Verlag, 
  904.     Berlin, 1991. 
  905.  
  906. 50. H.W. Lenstra Jr. Factoring integers with elliptic curves. Ann. of Math., 
  907.     126:649--673, 1987.
  908.  
  909. 51. M. Matsui. Linear cryptanalysis method for DES cipher. In Advances in 
  910.     Cryptology --- Eurocrypt '93, Springer-Verlag, Berlin, 1993. To appear.
  911.  
  912. 52. R.C. Merkle and M.E. Hellman. Hiding information and signatures in 
  913.     trapdoor knapsacks. IEEE Transactions on Information Theory, 
  914.     IT-24:525--530, 1978.
  915.  
  916. 53. R.C. Merkle and M.E. Hellman. On the security of multiple encryption. 
  917.     Communications of the ACM, 24:465--467, July 1981. 
  918.  
  919. 54. E. Messmer. NIST stumbles on proposal for public-key encryption. Network 
  920.     World, 9(30), July 27, 1992.
  921.  
  922. 55. S. Micali. Fair public-key cryptosystems. In Advances in Cryptology --- 
  923.     Crypto '92, Springer-Verlag, New York, 1993.
  924.  
  925. 56. V.S. Miller. Use of elliptic curves in cryptography. In Advances in 
  926.     Cryptology --- Crypto '85, pages 417--426, Springer-Verlag, New York, 
  927.     1986.
  928.  
  929. 57. National Institute of Standards and Technology (NIST). The Digital 
  930.     Signature Standard, proposal and discussion. Communications of the ACM, 
  931.     35(7):36--54, July 1992.
  932.  
  933. 58. National Institute of Standards and Technology (NIST). FIPS Publication 
  934.     180: Secure Hash Standard (SHS). May 11, 1993.
  935.  
  936. 59. National Institute of Standards and Technology (NIST). FIPS Publication 
  937.     46-1: Data Encryption Standard. January 22, 1988. Originally issued by 
  938.     National Bureau of Standards.
  939.  
  940. 60. National Institute of Standards and Technology (NIST). FIPS Publication 
  941.     81: DES Modes of Operation. December 2, 1980. Originally issued by 
  942.     National Bureau of Standards.
  943.  
  944. 61. National Institute of Standards and Technology (NIST). Notice of 
  945.     proposal for grant of exclusive patent license. Federal Register, 
  946.     58(108), June 8, 1993.
  947.  
  948. 62. National Institute of Standards and Technology (NIST). A proposed 
  949.     Federal Information Processing Standard for an Escrowed Encryption 
  950.     Standard (EES). Federal Register, 58(145), July 30, 1993.
  951.  
  952. 63. National Institute of Standards and Technology (NIST). Publication XX: 
  953.     Announcement and Specifications for a Digital Signature Standard (DSS).
  954.     August 19, 1992.
  955.  
  956. 64. A.M. Odlyzko. Discrete logarithms in finite fields and their cryptographic
  957.     significance. In Advances in Cryptology --- Eurocrypt '84, pages 224--314,
  958.     Springer-Verlag, Berlin, 1984.
  959.  
  960. 65. Office of the Press Secretary. Statement. The White House, April 16, 1993.
  961.  
  962. 66. J. Pollard. Monte Carlo method for factorization. BIT, 15:331--334, 1975.
  963.  
  964. 67. J. Pollard. Theorems of factorization and primality testing. Proc. 
  965.     Cambridge Philos. Soc., 76:521--528, 1974.
  966.  
  967. 68. M.O. Rabin. Digitalized signatures as intractable as factorization. 
  968.     Technical Report MIT/LCS/TR-212, MIT, 1979.
  969.  
  970. 69. R.L. Rivest. Cryptography. In J. van Leeuwen, editor, Handbook of 
  971.     Theoretical Computer Science, MIT Press/Elsevier, Amsterdam, 1990.
  972.  
  973. 70. R.L. Rivest. Finding four million random primes. In Advances in 
  974.     Cryptology --- Crypto '90, pages 625--626, Springer-Verlag, New York, 
  975.     1991. 
  976.  
  977. 71. R.L Rivest. The MD4 message digest algorithm. In Advances in Cryptology 
  978.     --- Crypto '90, pages 303--311, Springer-Verlag, New York, 1991. 
  979.  
  980. 72. R.L. Rivest. Response to NIST's proposal. Communications of the ACM,
  981.     35:41--47, July 1992.
  982.  
  983. 73. R.L. Rivest. RFC 1321: The MD5 Message-Digest Algorithm. Internet
  984.     Activities Board, April 1992.
  985.  
  986. 74. R.L. Rivest, A. Shamir, and L. Adleman. A method for obtaining digital
  987.     signatures and public-key cryptosystems. Communications of the ACM, 
  988.     21(2):120--126, February 1978.
  989.  
  990. 75. C.P. Schnorr. Efficient identification and signatures for smart cards.
  991.     In Advances in Cryptology --- Crypto '89, pages 239--251, 
  992.     Springer-Verlag, New York, 1990.
  993.  
  994. 76. M. Shand and J. Vuillemin. Fast implementations of RSA cryptography. In
  995.     Proceedings of the 11th IEEE Symposium on Computer Arithmetic, pages 
  996.     252--259, IEEE Computer Society Press, Los Alamitos, CA, 1993.
  997.  
  998. 77. R.D. Silverman. The multiple polynomial quadratic sieve. Math. Comp., 
  999.     48:329--339, 1987.
  1000.  
  1001. 78. M.E. Smid and D.K. Branstad. Response to comments on the NIST proposed
  1002.     Digital Signature Standard. In Advances in Cryptology --- Crypto '92,
  1003.     Springer-Verlag, New York, 1993.
  1004.  
  1005. 79. J.G. Steiner, B.C. Neuman, and J.I. Schiller. Kerberos: an authentication
  1006.     service for open network systems. In Usenix Conference Proceedings, pages
  1007.     191--202, Dallas, Texas, February 1988.
  1008.  
  1009. 80. M.J. Wiener. Efficient DES key search. August 20, 1993. Presented at 
  1010.     Crypto '93 rump session.
  1011.  
  1012.  
  1013.        --------------------------------------------
  1014.  
  1015. RSA Laboratories is the research and consultation division of RSA Data
  1016. Security, Inc., the company founded by the inventors of the RSA
  1017. public-key cryptosystem. RSA Laboratories reviews, designs and
  1018. implements secure and efficient cryptosystems of all kinds. Its
  1019. clients include government agencies, telecommunications companies,
  1020. computer manufacturers, software developers, cable TV broadcasters,
  1021. interactive video manufacturers, and satellite broadcast companies,
  1022. among others.
  1023.  
  1024. For more information about RSA Laboratories, call or write to 
  1025.                         RSA Laboratories
  1026.                         100 Marine Parkway
  1027.                         Redwood City, CA 94065
  1028.                         (415) 595-7703
  1029.                         (415) 595-4126 (fax)
  1030.  
  1031.  
  1032.  
  1033. PKCS, RSAREF and RSA Laboratories are trademarks of RSA Data
  1034. Security, Inc. All other trademarks belong to their respective 
  1035. companies.
  1036.  
  1037. This document is available in ASCII, Postscript, and Latex formats
  1038. via anonymous FTP to rsa.com:/pub/faq.
  1039.  
  1040. Please send comments and corrections to faq-editor@rsa.com.
  1041.  
  1042.  
  1043.  
  1044. ===
  1045. DISTRIBUTION: How to obtain this document
  1046.  
  1047. This document has been brought to you in part by CRAM, involved in the
  1048. redistribution of valuable information to a wider USENET audience (see
  1049. below). The most recent version of this document can be obtained via
  1050. the author's instructions above. The following directions apply to 
  1051. retrieve the possibly less-current USENET FAQ version.
  1052.  
  1053.   FTP
  1054.   ---
  1055.     This FAQ is available from the standard FAQ server rtfm.mit.edu via
  1056.     FTP in the directory /pub/usenet/news.answers/cryptography-faq/rsa/
  1057.  
  1058.   Email
  1059.   -----
  1060.     Email requests for FAQs go to mail-server@rtfm.mit.edu with commands
  1061.     on lines in the message body, e.g. `help' and `index'.
  1062.  
  1063.   Usenet
  1064.   ------
  1065.     This FAQ is posted every 21 days to the groups
  1066.  
  1067.       sci.crypt
  1068.       talk.politics.crypto
  1069.       alt.security.ripem
  1070.       sci.answers
  1071.       talk.answers
  1072.       alt.answers
  1073.       news.answers
  1074.  
  1075. _ _, _ ___ _, __,  _, _  _, ___ _  _, _, _ _  _, __,  _, _  _ ___ __,
  1076. | |\ | |_ / \ |_)  |\/| / \  |  | / \ |\ | | (_  |_) / \ |  | |_  | )
  1077. | | \| |  \ / | \  |  | |~|  |  | \ / | \| | , ) |   \ / |/\| |   |~\
  1078. ~ ~  ~ ~   ~  ~  ~ ~  ~ ~ ~  ~  ~  ~  ~  ~ ~  ~  ~    ~  ~  ~ ~~~ ~  ~
  1079.  
  1080. ===
  1081. CRAM: The Cyberspatial Reality Advancement Movement
  1082.  
  1083. In an effort to bring valuable information to the masses, and as a
  1084. service to motivated information compilers, a member of CRAM can help
  1085. others unfamiliar with Usenet `publish' their documents for
  1086. widespread dissemination via the FAQ structure, and act as a
  1087. `sponsor' knowledgable in the submissions process. This document is
  1088. being distributed under this arrangement.
  1089.  
  1090. We have found these compilations tend to appear on various mailing
  1091. lists and are valuable enough to deserve wider distribution. If you
  1092. know of an existing compilation of Internet information that is not
  1093. currently a FAQ, please contact us and we may `sponsor' it. The
  1094. benefits to the author include:
  1095.  
  1096. - use of the existing FAQ infrastructure for distribution:
  1097.   - automated mail server service
  1098.   - FTP archival
  1099.   - automated posting
  1100.  
  1101. - a far wider audience that can improve the quality, accuracy, and 
  1102.   coverage of the document enormously through email feedback
  1103.  
  1104. - potential professional inquiries for the use of your document in 
  1105.   other settings, such as newsletters, books, etc.
  1106.  
  1107. - with us as your sponsor, we will also take care of the 
  1108.   technicalities in the proper format of the posted version and 
  1109.   updating procedures, leaving you free of the `overhead' to focus on 
  1110.   the basic updates alone
  1111.  
  1112. The choice of who we `sponsor' is entirely arbitrary. You always have
  1113. the option of handling the submission process yourself.  See the FAQ
  1114. submission guidelines FAQ in news.answers. 
  1115.  
  1116. For information, send mail to <tmp@netcom.com>.
  1117.  
  1118.  \   \   \   \   \   \   \   \   \   |   /   /   /   /   /   /   /   /   /   /
  1119.           _______       ________          _____        _____  _____
  1120.          ///   \\\      |||   \\\        /// \\\       |||\\\///|||
  1121.         |||     ~~      |||   ///       |||   |||      ||| \\// |||
  1122.         |||     __      |||~~~\\\       |||~~~|||      |||  ~~  |||
  1123.          \\\   ///      |||    \\\      |||   |||      |||      |||
  1124.           ~~~~~~~       ~~~     ~~~     ~~~   ~~~      ~~~      ~~~
  1125.  /   /   /   /   /   /   /   /   /   |   \   \   \   \   \   \   \   \   \   \
  1126.  
  1127. C y b e r s p a t i a l  R e a l i t y  A d v a n c e m e n t  M o v e m e n t
  1128.  
  1129. * CIVILIZING CYBERSPACE: send `info cypherwonks' to majordomo@lists.eunet.fi *
  1130.  
  1131.  
  1132.