Bekanntmachung zur elektronischen Signatur nach dem Signaturgesetz und der Signaturverordnung
(Übersicht über geeignete Algorithmen)

Vom 17. Dezember 2007
(BAnz. Nr. 19 vom 05.02.2008 S. 376)



Die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen als zuständige Behörde gemäß § 3 des Signaturgesetzes ( SigG) vom 16. Mai 2001 (BGBl. I S. 876), zuletzt geändert durch Artikel 4 des Gesetzes vom 26. Februar 2007 (BGBl. I S. 179), veröffentlicht gemäß Anlage 1 Abschnitt 1 Nr. 2 der Signaturverordnung ( SigV) vom 16. November 2001 (BGBl. I S. 3074), zuletzt geändert durch Erstes Gesetz zur Änderung des Signaturgesetzes ( 1. SigÄndG) vom 4. Januar 2005 (BGBl. I S. 2), im Bundesanzeiger eine Übersicht über die Algorithmen und zugehörigen Parameter, die zur Erzeugung von Signaturschlüsseln, zum Hashen zu signierender Daten oder zur Erzeugung und Prüfung qualifizierter elektronischer Signaturen als geeignet anzusehen sind, sowie den Zeitpunkt, bis zu dem die Eignung jeweils gilt.

Geeignete Algorithmen zur Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 SigG in Verbindung mit Anlage 1 Abschnitt I Nr. 2 SigV

Vorbemerkung:

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) wurde in den vergangenen Jahren von verschiedener Seite um eine etwas längerfristige Einschätzung als nur für sechs Jahre gebeten. Normalerweise sind solche längerfristigen Prognosen schwer möglich. Nachdem aber kürzlich das generelle Sicherheitsniveau von 80 auf 100 Bit angehoben wurde, ist das Sicherheitspolster gegenüber dem aktuellen Stand der Kryptoanalyse augenblicklich größer, als es in den meisten Vorjahren war. Das heißt konkret, dass alle bis Ende 2013 als geeignet betrachteten Algorithmen und Schlüssellängen aus Sicht des BSI auch bis Ende 2014 geeignet erscheinen.

Die Sicherheit einer qualifizierten elektronischen Signatur hängt primär von der Stärke der zugrunde liegenden Algorithmen ab. Im Folgenden werden Algorithmen genannt, die für qualifizierte elektronische Signaturen mindestens für die kommenden s i e b e n Jahre 1 (d. h. bis Ende 2014) als geeignet anzusehen sind. Die bitgenauen Spezifikationen findet man in den entsprechenden Standards verschiedener Organisationen (ISO/IEC, NIST, IEEE usw.). Ebenso wie patentrechtliche Fragen und Definitionen der mathematischen Begriffe sind diese Spezifikationen nicht Gegenstand der vorliegenden Veröffentlichung. Informationen hierzu findet man in der einschlägigen Literatur (Lehrbücher, Proceedings von Konferenzen etc.) und im Internet.

In dieser Veröffentlichung werden die wichtigsten, praxisrelevanten Algorithmen betrachtet, deren kryptographische Eigenschaften aufgrund der heute vorliegenden Ergebnisse langjähriger Diskussionen und Analysen am besten eingeschätzt werden können. Die Liste dieser Algorithmen wird gemäß der weiteren Entwicklung der kryptologischen Forschung und den Erfahrungen mit praktischen Realisierungen von Signaturverfahren aktualisiert und bei Bedarf ergänzt werden.

Auf die Sicherheit einer konkreten Implementierung in Hard- und Software wird hier nicht eingegangen. Diese wird im Rahmen der Untersuchung nach § 15 Abs. 7 und § 17 Abs. 4 SigG festgestellt.

1 Kryptographische Anforderungen

Nach Anlage 1 Abschnitt I Nr. 2 SigV sind folgende Algorithmen festzulegen:

1.1 Hashfunktionen

Beim Signieren und Verifizieren wird der Hashwert der zu signierenden Daten gewissermaßen wie ein "digitaler Fingerabdruck" benutzt. Damit hierbei keine Sicherheitslücke entsteht, muss die Hashfunktion H folgenden Kriterien genügen:

Die Existenz von Kollisionen ist unvermeidbar. Dies ist aber nur eine theoretische Aussage. Bei der praktischen Anwendung kommt es nur darauf an, dass es, wie oben verlangt, unmöglich ist, Kollisionen (bzw. Urbilder) zu finden.

1.2 Signaturverfahren

Niemand anders als der Besitzer des Signaturschlüssels darf in der Lage sein, Signaturen zu erzeugen. Insbesondere bedeutet dies, dass es praktisch unmöglich ist, den Signaturschlüssel aus dem (öffentlichen) Signaturprüfschlüssel zu berechnen.

1.3 Schlüsselerzeugung

Die verschiedenen Signaturverfahren benötigen Schlüssel mit gewissen Eigenschaften, die sich aus dem jeweiligen konkreten Verfahren ergeben. Im Folgenden werden weitere einschränkende Bedingungen festgelegt, deren Nichtbeachtung zu Schwächen führen könnte. Zusätzlich wird generell verlangt, dass Schlüssel nach den unter Nummer 4 "Erzeugung von Zufallszahlen" genannten Maßnahmen zufällig erzeugt werden.

2 Geeignete Hashfunktionen

Nach heutigem Kenntnisstand der Analyse von Hashfunktionen kann bis auf weiteres die Hashfunktion RIPEMD-160 [3] bis Ende 2010 als geeignet für qualifizierte elektronische Signaturen betrachtet werden.

Die Hashfunktion SHA-1 [2], [3] kann grundsätzlich bis auf weiteres bis Ende 2007 als geeignet angesehen werden; abweichend hiervon kann die Hashfunktion SHA-1 im Rahmen einer Übergangsfrist bis Ende Juni 2008 genutzt werden. Für die Erzeugung qualifizierter Zertifikate (d.h. nicht zur Erzeugung und Prüfung anderer qualifiziert signierter Daten) kann SHA-1 bis auf weiteres bis Ende 2009 als geeignet angesehen werden. Unter der zusätzlichen Voraussetzung, dass mindestens 20 Bit Entropie in die Generierung der Seriennummer eines qualifizierten X.509-Zertifikats eingehen, ist SHA-1 bis auf weiteres bis Ende 2010 geeignet für die Erzeugung solcher Zertifikate.

Für die Prüfung qualifizierter Zertifikate sind SHA-1 und RIPEMD-160 bis Ende 2014 1 geeignet.

Diese Angaben über die genannten beiden 160-Bit Hashfunktionen sind als vorläufig zu verstehen: Neue Methoden zur Kollisionssuche (insbesondere [23] sowie angekündigte Verbesserungen) können vorerst noch nicht abschließend beurteilt werden, so dass Korrekturen der Angaben (nach oben oder unten) in den nächsten Jahren gut möglich erscheinen.

Folgende Hashfunktionen mit verschiedenen Hashwert-Längen (SHA-224 ist eine 224-Bit Hashfunktion etc.) sind geeignet, ein langfristiges Sicherheitsniveau zu gewährleisten:

- SHA-224, SHA-256, SHA-384, SHA-512 [2].

Diese vier Hashfunktionen sind (mindestens) in den kommenden sieben Jahren`), d. h. bis Ende 20.14 1, für die Anwendung bei qualifizierten elektronischen Signaturen geeignet.

Die folgende Tabelle fasst die Eignung der Hashfunktionen zusammen.

geeignet bis Ende 2007
(Übergangsfrist bis Ende Juni 2008)
Erzeugung qualifizierter
Zertifikate *:
geeignet bis Ende 2009
Erzeugung qualifizierter
Zertifikate **:
geeignet bisEnde 2010
geeignet bis Ende 2010 geeignet bis Ende 2014 1
SHA-1 SHA-1 SHA-1 RIPEMD-160 SHA-224, SHA-256,
SHA-384, SHA-512
(SHA-1, RIPEMD-160) ***

*) d.h. zur Erzeugung qualifizierter Zertifikate, nicht aber zur Erzeugung und Prüfung anderer qualifiziert signierter Daten.

**) d. h. zur Erzeugung qualifizierter Zertifikate bei a20 Bit Entropie der Seriennummer, nicht aber zur Erzeugung und Prüfung anderer qualifiziert signierter Daten.

***) ausschließlich zur Prüfung qualifizierter Zertifikate.

3 Geeignete Signaturverfahren

Im Jahr 1977 haben Rivest, Shamir und Adleman als Erste ein Verfahren zum Erzeugen und Verifizieren digitaler Signaturen explizit beschrieben. Es handelt sich um das nach seinen Erfindern benannte RSA-Verfahren [9]. Im Jahr 1984 hat ElGamal [8] ein weiteres Signaturverfahren vorgeschlagen. Eine Variante dieses ElGamal-Verfahrens ist der 1991 vom National Institute of Standards and Technology (NIST) publizierte Digital Signature Standard (DSS) [1], der den Digital Signature Algorithm (DSA) spezifiziert. Daneben gibt es Varianten des DSA, die auf Punktegruppen E(K) elliptischer Kurven über endlichen Körpern K basieren, wobei

K = Fpein endlicher Primkörper bzw. K =F 2m ein endlicher Körper der Charakteristik 2 ist.

Folgende Signaturverfahren sind zur Erfüllung der Anforderungen nach § 17 Abs. 1 bis 3 SigG geeignet:

  1. RSA-Verfahren [4],
  2. DSA [1], [4],
  3. DSA-Varianten, basierend auf elliptischen Kurven. Insbesondere die Verfahren:

Die Sicherheit der oben genannten Verfahren beruht dabei entsprechend auf:

  1. dem Faktorisierungsproblem für ganze Zahlen,
  2. dem Diskreten-Logarithmus-Problem in der multiplikativen Gruppe eines Primkörpers Fp,
  3. dem Diskreten-Logarithmus-Problem in den Gruppen E(Fp) bzw. E(F2m).

Um festzulegen, wie groß die Systemparameter bei diesen Verfahren gewählt werden müssen, um deren Sicherheit zu gewährleisten, müssen zum einen die besten heute bekannten Algorithmen zum Faktorisieren ganzer Zahlen bzw. zum Berechnen diskreter Logarithmen (in den oben genannten Gruppen) betrachtet und zum anderen die Leistungsfähigkeit der heutigen Rechnertechnik berücksichtigt werden. Um eine Aussage über die Sicherheit für einen bestimmten zukünftigen Zeitraum zu machen, muss außerdem eine Prognose für die beiden genannten Aspekte zugrunde gelegt werden, vgl. [13]. Solche Prognosen sind nur für relativ kurze Zeiträume sinnvoll (und können sich natürlich jederzeit aufgrund unvorhersehbarer dramatischer Entwicklungen als falsch erweisen).

Im Folgenden bezeichnen wir mit der Bitlänge r einer Zahl x > 0 diejenige ganze Zahl r mit der Eigenschaft 2r-1 ≤x < 2r.

Die Sicherheit der einzelnen Verfahren ist (mindestens) für die kommenden sieben Jahre 1, d. h. bis Ende 2014 1, bei der im Folgenden festgelegten Wahl der Parameter gewährleistet.

3.1 RSA-Verfahren

Für den zugrunde liegenden Modulus n = pq (p und q Primzahlen) reicht bis Ende 2007 eine Länge von 1024 Bit aus; abweichend hiervon kann die Länge von 1024 Bit im Rahmen einer Übergangsfrist bis Ende März 2008 genutzt werden. Für den Zeitraum bis Ende 2008 wird eine Länge von 1280 Bit als ausreichend sicher angesehen, bis Ende 2009 muss n eine Bitlänge von mindestens 1536 haben, bis Ende 2010 mindestens 1728 Bit und ab Anfang 2011 mindestens 1976 Bit. Für die Gewährleistung eines langfristigen Sicherheitsniveaus wird die Erhöhung auf 2048 Bit empfohlen.

Die folgende Tabelle fasst die minimalen Bitlängen zusammen.

Zeitraum Parameter bis Ende 2007
(Übergangsfrist bis Ende März 2008)
bis Ende 2008 bis Ende 2009 bis Ende 2010 bis Ende 2014 1
n 1024
(Mindestw.)
1280
(Mindestw.)
1536
(Mindestw.)
1728
(Mindestw.)
1976
(Mindestw.)
2048
(Empf.)
2048
(Empf.)
2048
(Empf.)
2048
(Empf.)
2048
(Empf.)

Die Primfaktoren p und q von n sollten die gleiche Größenordnung haben, aber nicht zu dicht beieinander liegen:

ε1< log2(p) -log2(q) < ε2.

Als Anhaltspunkte für die Werte ε 1und ε2werden hier ε1 ≈ 0,1 und ε2 ≈30 vorgeschlagen. Die Primfaktoren p und q müssen unter Beachtung der genannten Nebenbedingungen zufällig und unabhängig voneinander erzeugt werden.

Der öffentliche Exponent e wird unabhängig von n unter der Nebenbedingung ggT(e,(p-1)(q-1)) = 1 gewählt. Der zugehörige geheime Exponent d wird dann in Abhängigkeit von dem vorher festgelegten e berechnet, so dass ed ≡mod kgV(p-1,q-1) gilt.

Bemerkungen:

3.2 DSA

In FIPS-186 [1] wird für den Parameter p (p Primzahl) eine Bitlänge von genau 1024 verlangt. Gleichzeitig wird dort die Bitlänge des Parameters q auf 160 festgelegt.

Für den Zeitraum bis Ende 2007 reicht eine Minimallänge des Parameters p von 1024 Bit aus. Abweichend von FIPS-186 wird hier verlangt, dass für den Zeitraum bis Ende 2008 die Minimallänge des Parameters p 1280 Bit betragen muss. Für den Zeitraum bis Ende 2009 wird die Bitlänge des Parameters p von mindestens 1536 als ausreichend sicher angesehen; ab Anfang 2010 muss die Bitlänge von p mindestens 2048 Bit betragen. Für die Gewährleistung eines langfristigen Sicherheitsniveaus wird grundsätzlich die Erhöhung auf 2048 Bit empfohlen.

Die Bitlänge des Parameters q soll bis Ende 2009 mindestens 160 betragen. Ab Anfang 2010 muss die Bitlänge von q mindestens 224 betragen.

Die folgende Tabelle fasst die Bitlängen für den DSA zusammen.

Zeitraum Parameter bis Ende 2007 bis Ende 2008 bis Ende 2009 bis Ende 2014 1
p 1024
(Mindestwert)
1280
(Mindestwert)
1536
(Mindestwert)
2048
(Mindestwert)
2048
(Empfehlung)
2048
(Empfehlung)
2048
(Empfehlung)
 
q 160 160 160 224

Bemerkungen:

3.2.a) DSA-Varianten basierend auf Gruppen E(FP)

Um die Systemparameter festzulegen, werden eine elliptische Kurve E und ein Punkt P auf E(Fp) erzeugt, so dass folgende Bedingungen gelten:

Für den Zeitraum bis Ende 2009 muss die Bitlänge von p mindestens 192 betragen. Dabei sollte q sich nur um einen kleinen Faktor von p unterscheiden. Auf jeden Fall ist sicherzustellen, dass die Bitlänge von q mindestens 180 Bit beträgt. Ab Anfang 2010 muss die Länge von q mindestens 224 Bit betragen, weitere Bedingungen an p werden nicht gestellt.

Die folgende Tabelle fasst die Bitlängen für DSA-Varianten basierend auf Gruppen E(F,) zusammen.

Parameter/Zeitraum bis Ende 2009 bis Ende 2014 1
p 192  
q 180 224

Bemerkung: Die untere Abschätzung für r0hat den Sinn, Attacken auszuschließen, die auf einer Einbettung der von P erzeugten Untergruppe in die multiplikative Gruppe eines Körpers Fp, beruhen. In der Regel (bei zufälliger Wahl der elliptischen Kurve) ist diese Abschätzung erfüllt, denn r0ist die Ordnung von p (mod q) in F*qund hat deshalb im Allgemeinen sogar dieselbe Größenordnung wie q. Im Idealfall sollte r0 explizit bestimmt werden, was allerdings die etwas aufwändige Faktorisierung von q -1 voraussetzt. Demgegenüber ist r0> 104 wesentlich schneller zu verifizieren und wird in diesem Zusammenhang als ausreichend angesehen. Für weitere Erläuterungen zu den Bedingungen und Beispielkurven siehe [22].

3.2.b) DSA-Varianten basierend auf Gruppen E(F2m)

Um die Systemparameter festzulegen, werden eine elliptische Kurve E und ein Punkt P auf E(F2m) erzeugt, so dass folgende Bedingungen gelten:

Für den Zeitraum bis Ende 2009 muss m mindestens 191 betragen. Dabei sollte q sich nur um einen kleinen Faktor von 2m unterscheiden. Auf jeden Fall ist sicherzustellen, dass die Bitlänge von q mindestens 180 Bit beträgt. Ab Anfang 2010 muss die Länge von q mindestens 224 Bit betragen, weitere Bedingungen an m werden nicht gestellt.

Die folgende Tabelle fasst die Bitlängen für DSA-Varianten basierend auf Gruppen E(F2m) zusammen.

Parameter/Zeitraum bis Ende 2009 bis Ende 2014 1
m 191  
q 180 224

Bemerkungen:

4 Erzeugung von Zufallszahlen

Bei der Erzeugung von Systemparametern für Signaturverfahren und für die Schlüsselgenerierung werden Zufallszahlen gebraucht. Bei DSA-ähnlichen Signaturverfahren wird bei jeder Generierung einer Signatur eine neue Zufallszahl benötigt.

Für diese Zwecke bieten sich als Zufallszahlengeneratoren solche Systeme an, die

besitzen. Die Eigenschaften der digitalisierten Rauschsignalfolge sollten sich hinreichend gut durch ein stochastisches Modell beschreiben lassen. Der physikalische Zufallszahlengenerator sollte ein P2-Generator (Stärke der Mechanismen bzw. Funktionen: hoch) im Sinne der AIS 31 [18] sein; ab Anfang 2011 ist diese Bedingung verbindlich, d. h. der Zufallzahlengenerator muss dann ein P2-Generator sein. Qualitativ bedeutet dies: Der durchschnittliche Entropiezuwachs pro Zufallsbit liegt oberhalb einer Mindestschranke. Die Zufallszahlen müssen im laufenden Betrieb statistischen Tests unterzogen werden ("Onlinetests"). Der bzw. die Onlinetests sollten dem mathematischen Modell der Rauschquelle angepasst sein. Der bzw. die Onlinetests selbst und das Aufrufschema müssen geeignet sein, nicht akzeptable statistische Defekte oder Verschlechterungen der statistischen Eigenschaften der digitalisierte Rauschsignalfolge in angemessener Zeit zu erkennen. Auf einen Rauschalarm muss angemessen reagiert werden (z.B. weitere Tests, Stilllegen der Rauschquelle). Insbesondere muss ein etwaiger Totalausfall der Rauschquelle umgehend erkannt werden.

Eine aussagekräftige Bewertung eines Zufallszahlengenerators setzt umfassende Erfahrungen voraus. Das BSI verfügt über solche Erfahrungen. Bei Bedarf kann in diesem Zusammenhang auf das Knowhow des BSI zurückgegriffen werden.

Als Alternative zu einem physikalischen Zufallszahlengenerator kommt ein Pseudozufallszahlengenerator in Frage. Der innere Zustand des Pseudozufallszahlengenerators wird durch den so genannten Seed initialisiert. In jedem Schritt wird der innere Zustand erneuert und hieraus eine Zufallszahl abgeleitet. Der innere Zustand des Pseudozufallszahlengenerators muss gegen Auslesen und Manipulation (physikalisch, durch Seitenkanalangriffe, über Schnittstelle etc.) ebenso sicher geschützt sein wie die geheimen Signaturschlüssel. Denn mit Kenntnis des inneren Zustands könnte ein potenzieller Angreifer zumindest alle zukünftig erzeugten Zufallszahlen mühelos bestimmen.

Für Zertifizierungsdiensteanbieter wird die Verwendung eines physikalischen Zufallszahlengenerators empfohlen. Jeder Pseudozufallszahlengenerator, der im Zusammenhang mit digitalen Signaturen genutzt wird, muss mindestens ein K3-DRNG mit Stärke der Mechanismen bzw. Funktionen "Hoch" im Sinne der AIS 20 [7] sein. Qualitativ bedeutet dies:

Anderenfalls muss das entsprechende Verfahren zur digitalen Signatur als potenziell unsicher angesehen werden.

Darüber hinaus sollte der Pseudozufallszahlengenerator ein K4-DRNG mit Stärke der Mechanismen bzw. Funktionen "Hoch" im Sinne der AIS 20 [7] sein. Qualitativ bedeutet dies, dass zusätzlich folgende Bedingung erfüllt ist:

Die obigen Bedingungen werden bis Ende 2009 als ausreichend betrachtet. Ab Anfang 2010 wird darüber hinaus verlangt:

Literatur

[1] NIST: FIPS Publication 186-2: Digital Signature Standard (DSS), Januar 2000 und Change Notice 1, Oktober 2001.

[2] NIST: FIPS Publication 180-2: Secure Hash Standard (SHS), August 2002 und Change Notice 1, Februar 2004.

[3] ISO/IEC 10.118-3: Information technology - Security techniques - Hash functions - Part 3: Dedicated hach functions, 2T ed., 2004.

[4] ISO/IEC 14.888-3: Information technology - Security techniques - Digital signatures with appendix - Part 3: Certificatebased mechanisms, 1999.

[5] IEEE P1363: Standard specification for public key cryptography, 2000.

[6] ISO/IEC 9796-3: Information technology - Security techniques - Digital Signature schemes giving message, recovery - Part 3: Discrete logarithm based mechanisms, 2000.

[7] AIS 20: Funktionalitätsklassen und Evaluationsmethodologie für deterministische Zufallszahlengeneratoren, Version 1, 2.12.99, samt mathematischtechnischem Anhang (Version 2.0, 2.12.99), http://www.bsi.bund.de/zertifiz/zert/ interpr/aisitsec.htm

[8] T. ElGamal: A public key cryptosystem and a signature scheure based an discrete logarithms, Crypto `84, LNCS 196, S. 10-18, 1985.

[9] R. Rivest, A. Shamir, L. Adleman: A method for obtaining digital signatures and public key cryptosystems, Communications of the ACM, vol. 21 no. 2, 1978.

[10] ANSI X9.62-2005: Public Key Cryptography for the Financial Service Industry: The Elliptic Curve Digital Signature Algorithm (ECDSA), 2005. (ersetzt ANSI X9.62-1998)

[11] ISO/IEC 15.946-2: Information technology - Security techniques - Cryptographic techniques based on elliptic curves - Part 2: Digital signatures, 2002.

[12] S. Vaudenay: Hidden collisions in DSS, Crypto '96, LNCS 1109, S. 83-88, 1996.

[13] A.K. Lenstra, E.R. Verheul: Selecting Cryptographic Key Sizes, J. Cryptology 39, 2001.

[14] J.-S. Coron, D. Naccache, J. Stern: On the Security of RSA padding. Crypto 99, LNCS 1666, 1999.

[15] PKCS #1 v2.1: RSA Cryptographic Standard, 14.6.2002.

[16] DIN V66.291: Spezifikation der Schnittstelle zu Chipkarten mit Digitaler Signatur-Anwendung/Funktion nach SigG und SigV, Annex A, 2.1.1, 1999.

[17] ANSI X9.31-1998: Digital signatures using reversible public key cryptograph y for the financial services industry (rDSA), 1998.

[18] AIS 31: Funktionalitätsklassen und Evaluationsmethodologie für physikalische Zufallszahlengeneratoren, Version 1, 25.9.2001, samt mathematischtechnischem Anhang, (Version 3.1, 25.09.2001), http://www.bsi.bund.de/zertifiz/ zert/interpr/aisitsec.htm

[19] ISO/IEC 15.946-4: Information technology - Security techniques - Cryptographic techniques based on elliptic curves - Part 4: Digital signatures giving message recovery, 2004.

[20] D. Boneh, G. Durfee: Cryptanalysis of RSA with private key d less than.2s2 Eurocrypt `99, LNCS 1592, 1999.

[21] ISO/IEC 9796-2: Information technology - Security techniques - Digital Signature schemes giving message recovery - Part 2: Integer Factorization based mechanisms, 2002.

[22] ECC Brainpool: ECCBrainpool Standard Curves and Curve Generation, v. 1.0 (19.10.05), http://www.eccbrainpool. org/download/BP-Kurvenaktuell.pdf; Kurvenparameter als Binärdateien unter http://www.eccbrainpool.org/eccstandard.htm

[23] X..Wang, Y. L. Yin, H. Yu: Collision Search Attacks on SHA-1, Crypto 2005, LNCS 3621, 2005; Ankündigung signifikanter Verbesserungen bei der "rump session" der Crypto 2005; Vortrag beim NIST Cryptographic Hash Workshop, 2005.

1) Siehe Vorbemerkung.

UWS Umweltmanagement GmbH ENDE