はじめまして、

TLS1.3の鍵交換ではRSAは廃止となりましたが、デジタル署名についてはRSAはまだまだ使われているということについて、疑問があります。

なぜ鍵交換ではRSAは使ってはいけないのに、デジタル署名ではRSAを使用してよいのでしょうか。

詳しい方お願いします。

細かい内容は複雑なので、ざっくりと以下にまとめます。
DHEとRSAの違いは以下です
・DHE：鍵交換に特化、前方秘匿性(FS)に対応している
・RSA：鍵交換とデジタル署名に対応、しかし鍵交換に使用すると
  前方秘匿性(FS)に対応していないという欠点がある

TLS1.2のころからRSAを鍵交換に利用することは少なくなっていました。
TLS1.3では正式にRSAが鍵交換で廃止されました。

前方秘匿性(FS)は暗号化されたデータの秘匿性に関する概念です。
デジタル署名はデータを暗号化するわけではないので、前方秘匿性(FS)は
関係性がありません。
そのため、RSAはTLS1.3でもデジタル署名に利用されます。

pixさん
ご回答ありがとうございます。

もうすこしだけ教えてください。
RSAは前方秘匿性(FS)に対応していないという欠点があるだけで、RSAの暗号アルゴリズムが危たい化しているわけではないという理解でいいのでしょうか。
つまり、何らかの手段で秘密鍵が漏洩したときについての対策がとれていなかったとこだけが危険ということでしょうか。

デジタル署名は、データをハッシュ関数にかけ、それを秘密鍵で暗号化しているという認識ですが、この場合、仮に何らかの手段で攻撃者に秘密鍵が漏洩したとしても、データが漏洩しないとデジタル署名の偽装もできないし、偽装したとて、公開鍵の検証の時にばれるみたいな感じだから問題ないといったことでしょうか。
かりにくい文章ですみません。
デジタル署名では意味がないというところをもうすこし知りたいです。

>RSAは前方秘匿性(FS)に対応していないという欠点があるだけで、RSAの
>暗号アルゴリズムが危たい化しているわけではないという理解でいいのでしょうか。
その認識でよいと思われます。現在ではRSAは鍵交換には向いていないが、
デジタル署名には適しているアルゴリズムであると考えられます。

>データが漏洩しないとデジタル署名の偽装もできないし、偽装したとて、
>公開鍵の検証の時にばれるみたいな感じだから問題ないといったことでしょうか。
すみません。この点はなかなかうまい説明が難しいです。
前方秘匿性(FS)とは暗号化されたデータが将来秘密鍵が流出したとしても
復号できないとう性質です。
デジタル署名はそもそも秘匿のためにデータを暗号化しているのではないため、
前方秘匿性(FS)は関係ありません。

もちろん秘密鍵が漏えいすれば攻撃者がデジタル署名を作成することが可能です。
デジタル署名はデータが本物であることを証明する付与情報です。
攻撃者がデジタル署名する対象として考えられるのは、元の正しいデータではなく、
攻撃者が用意した偽データです。
例えば、銀行振り込みデータとして、正しい振り込みデータが1万円のところを
100万円にデータを改ざんします。そして漏えいした秘密鍵を利用して、改ざんした
データに対して正規のデジタル署名を付与します。

言い換えれば、攻撃者はデジタル署名を偽装するのではなく、偽データを本物と
偽装するために、漏えいした秘密鍵を利用して本物のデジタル署名を作成するという
ことです。

この投稿は投稿者により削除されました。(2024.01.30 11:36)

pixさん
前方秘匿性(FS)だけが原因ということがわかったため、デジタル署名では使うことができるということが理解できました。
大変わかりやすかったです。
ありがとうございました。