home *** CD-ROM | disk | FTP | other *** search
/ Meeting Pearls 1 / Meeting Pearls Vol 1 (1994).iso / installed_progs / text / faqs / cryptography-faq.rsa.part3 < prev    next >
Encoding:
Internet Message Format  |  1994-05-01  |  51.8 KB
  1. Subject: RSA Cryptography Today FAQ (3/3)
  2. Newsgroups: sci.crypt,talk.politics.crypto,alt.security.ripem,sci.answers,talk.answers,alt.answers,news.answers
  3. From: faq-editor@rsa.com
  4. Date: 29 Apr 1994 21:58:27 GMT
  5.  
  6. Archive-name: cryptography-faq/rsa/part3
  7. Last-modified: 93/09/20
  8. Version: 2.0
  9.  
  10.  
  11. (This document has been brought to you in part by CRAM.  See the
  12. bottom for more information, including instructions on how to
  13. obtain updates.)
  14.  
  15. ===
  16.  
  17.  
  18.  
  19.                           Answers To
  20.                  FREQUENTLY ASKED QUESTIONS
  21.                  About Today's Cryptography
  22.  
  23.  
  24.  
  25.                           Paul Fahn
  26.                       RSA Laboratories
  27.                      100 Marine Parkway
  28.                    Redwood City, CA  94065
  29.  
  30.  
  31.  
  32.    Copyright (c) 1993 RSA Laboratories, a division of RSA Data Security,
  33.       Inc. All rights reserved.
  34.  
  35.    Version 2.0, draft 2f
  36.    Last update: September 20, 1993
  37.  
  38.  
  39.  
  40. ------------------------------------------------------------------------
  41.                          Table of Contents
  42.  
  43. [part 3]
  44.  
  45. 6 Capstone, Clipper, and DSS
  46.        6.1  What is Capstone?
  47.        6.2  What is Clipper?
  48.        6.3  How does the Clipper chip work?
  49.        6.4  Who are the escrow agencies?
  50.        6.5  What is Skipjack?
  51.        6.6  Why is Clipper controversial?
  52.        6.7  What is the current status of Clipper?
  53.        6.8  What is DSS?
  54.        6.9  Is DSS secure?
  55.        6.10  Is use of DSS covered by any patents?
  56.        6.11  What is the current status of DSS?
  57.  
  58. 7 NIST and NSA
  59.        7.1  What is NIST?
  60.        7.2  What role does NIST play in cryptography?
  61.        7.3  What is the NSA?
  62.        7.4  What role does the NSA play in commercial cryptography?
  63.  
  64. 8 Miscellaneous
  65.        8.1  What is the legal status of documents signed with digital
  66.             signatures?
  67.        8.2  What is a hash function? What is a message digest?
  68.        8.3  What are MD2, MD4 and MD5?
  69.        8.4  What is SHS?
  70.        8.5  What is Kerberos?
  71.        8.6  What are RC2 and RC4?
  72.        8.7  What is PEM?
  73.        8.8  What is RIPEM?
  74.        8.9  What is PKCS?
  75.        8.10  What is RSAREF?
  76.  
  77. --------------------------------------------------------------------
  78.  
  79.  
  80. 6 Capstone, Clipper, and DSS
  81.  
  82. 6.1 What is Capstone?
  83.  
  84. Capstone is the U.S. government's long-term project to develop a set
  85. of standards for publicly-available cryptography, as authorized by
  86. the Computer Security Act of 1987. The primary agencies responsible
  87. for Capstone are NIST and the NSA (see Section 7). The plan calls for
  88. the elements of Capstone to become official U.S. government standards,
  89. in which case both the government itself and all private companies doing
  90. business with the government would be required to use Capstone.
  91.  
  92. There are four major components of Capstone: a bulk data encryption
  93. algorithm, a digital signature algorithm, a key exchange protocol, and
  94. a hash function. The data encryption algorithm is called Skipjack (see
  95. Question 6.5), but is often referred to as Clipper, which is the
  96. encryption chip that includes Skipjack (see Question 6.2). The digital
  97. signature algorithm is DSS (see Question 6.8) and the hash function is
  98. SHS (see Question 8.4 about SHS and Question 8.2 about hash functions).
  99. The key exchange protocol has not yet been announced.
  100.  
  101. All the parts of Capstone have 80-bit security: all the keys involved
  102. are 80 bits long and other aspects are also designed to withstand
  103. anything less than an ``80-bit'' attack, that is, an effort of 2^{80}
  104. operations. Eventually the government plans to place the entire Capstone
  105. cryptographic system on a single chip.
  106.  
  107.  
  108. 6.2 What is Clipper?
  109.  
  110. Clipper is an encryption chip developed and sponsored by the U.S.
  111. government as part of the Capstone project (see Question 6.1).
  112. Announced by the White House in April, 1993 [65], Clipper was designed
  113. to balance the competing concerns of federal law-enforcement agencies
  114. with those of private citizens and industry. The law-enforcement
  115. agencies wish to have access to the communications of suspected
  116. criminals, for example by wire-tapping; these needs are threatened by
  117. secure cryptography. Industry and individual citizens, however, want
  118. secure communications, and look to cryptography to provide it.
  119.  
  120. Clipper technology attempts to balance these needs by using escrowed
  121. keys. The idea is that communications would be encrypted with a
  122. secure algorithm, but the keys would be kept by one or more third
  123. parties (the ``escrow agencies''), and made available to law-enforcement
  124. agencies when authorized by a court-issued warrant. Thus, for
  125. example, personal communications would be impervious to recreational
  126. eavesdroppers, and commercial communications would be impervious to
  127. industrial espionage, and yet the FBI could listen in on suspected
  128. terrorists or gangsters.
  129.  
  130. Clipper has been proposed as a U.S. government standard [62]; it would
  131. then be used by anyone doing business with the federal government as well
  132. as for communications within the government. For anyone else, use of
  133. Clipper is strictly voluntary. AT&T has announced a secure telephone
  134. that uses the Clipper chip.
  135.  
  136.  
  137. 6.3 How does the Clipper chip work?
  138.  
  139. The Clipper chip contains an encryption algorithm called Skipjack (see
  140. Question 6.5}), whose details have not been made public. Each chip
  141. also contains a unique 80-bit unit key U, which is escrowed in two parts
  142. at two escrow agencies; both parts must be known in order to recover the
  143. key. Also present is a serial number and an 80-bit ``family key'' F; the
  144. latter is common to all Clipper chips. The chip is manufactured so that it
  145. cannot be reverse engineered; this means that the Skipjack algorithm and
  146. the keys cannot be read off the chip.
  147.  
  148. When two devices wish to communicate, they first agree on an 80-bit
  149. ``session key'' K. The method by which they choose this key is left
  150. up to the implementer's discretion; a public-key method such as RSA or
  151. Diffie-Hellman seems a likely choice. The message is encrypted with
  152. the key K and sent; note that the key K is not escrowed. In addition
  153. to the encrypted message, another piece of data, called the law-enforcement
  154. access field (LEAF), is created and sent. It includes the session key K
  155. encrypted with the unit key U, then concatenated with the serial number
  156. of the sender and an authentication string, and then, finally, all encrypted
  157. with the family key. The exact details of the law-enforcement field are
  158. classified.
  159.  
  160. The receiver decrypts the law-enforcement field, checks the authentication
  161. string, and decrypts the message with the key K.
  162.  
  163. Now suppose a law-enforcement agency wishes to tap the line. It uses the
  164. family key to decrypt the law-enforcement field; the agency now knows the
  165. serial number and has an encrypted version of the session key. It presents
  166. an authorization warrant to the two escrow agencies along with the serial
  167. number. The escrow agencies give the two parts of the unit key to the
  168. law-enforcement agency, which then decrypts to obtain the session key K.
  169. Now the agency can use K to decrypt the actual message.
  170.  
  171. Further details on the Clipper chip operation, such as the generation
  172. of the unit key, are sketched by Denning [26].
  173.  
  174.  
  175. 6.4 Who are the escrow agencies?
  176.  
  177. It has not yet been decided which organizations will serve as the escrow
  178. agencies, that is, keep the Clipper chip keys. No law-enforcement agency
  179. will be an escrow agency, and it is possible that at least one of the
  180. escrow agencies will be an organization outside the government.
  181.  
  182. It is essential that the escrow agencies keep the key databases
  183. extremely secure, since unauthorized access to both escrow
  184. databases could allow unauthorized eavesdropping on private
  185. communications. In fact, the escrow agencies are likely to be one
  186. of the major targets for anyone trying to compromise the Clipper
  187. system; the Clipper chip factory is another likely target.
  188.  
  189.  
  190. 6.5 What is Skipjack?
  191.  
  192. Skipjack is the encryption algorithm contained in the Clipper chip; it was
  193. designed by the NSA. It uses an 80-bit key to encrypt 64-bit blocks of data;
  194. the same key is used for the decryption. Skipjack can be used in the same
  195. modes as DES (see Question 5.3), and may be more secure than DES, since
  196. it uses 80-bit keys and scrambles the data for 32 steps, or ``rounds''; by
  197. contrast, DES uses 56-bit keys and scrambles the data for only 16 rounds.
  198.  
  199. The details of Skipjack are classified. The decision not to make the details
  200. of the algorithm publicly available has been widely criticized. Many people
  201. are suspicious that Skipjack is not secure, either due to oversight by its
  202. designers, or by the deliberate introduction of a secret trapdoor. By contrast,
  203. there have been many attempts to find weaknesses in DES over the years, since
  204. its details are public. These numerous attempts (and the fact that they have
  205. failed) have made people confident in the security of DES. Since Skipjack is
  206. not public, the same scrutiny cannot be applied towards it, and thus a
  207. corresponding level of confidence may not arise.
  208.  
  209. Aware of such criticism, the government invited a small group of independent
  210. cryptographers to examine the Skipjack algorithm. They issued a report
  211. [12] which stated that, although their study was too limited to reach a
  212. definitive conclusion, they nevertheless believe that Skipjack is secure.
  213.  
  214. Another consequence of Skipjack's classified status is that it cannot
  215. be implemented in software, but only in hardware by government-authorized
  216. chip manufacturers.
  217.  
  218.  
  219. 6.6 Why is Clipper controversial?
  220.  
  221. The Clipper chip proposal has aroused much controversy and has been the
  222. subject of much criticism. Unfortunately two distinct issues have become
  223. confused in the large volume of public comment and discussion.
  224.  
  225. First there is controversy about the whole idea of escrowed keys.
  226. Those in favor of escrowed keys see it as a way to provide secure
  227. communications for the public at large while allowing law-enforcement
  228. agencies to monitor the communications of suspected criminals. Those
  229. opposed to escrowed keys see it as an unnecessary and ineffective
  230. intrusion of the government into the private lives of citizens. They
  231. argue that escrowed keys infringe their rights of privacy and free
  232. speech. It will take a lot of time and much public discussion for society
  233. to reach a consensus on what role, if any, escrowed keys should have.
  234.  
  235. The second area of controversy concerns various objections to the
  236. specific Clipper proposal, that is, objections to this particular
  237. implementation of escrowed keys, as opposed to the idea of escrowed
  238. keys in general. Common objections include: the Skipjack algorithm
  239. is not public (see Questions 6.5) and may not be secure; the key
  240. escrow agencies will be vulnerable to attack; there are not enough
  241. key escrow agencies; the keys on the Clipper chips are not generated
  242. in a sufficiently secure fashion; there will not be sufficient
  243. competition among implementers, resulting in expensive and slow chips;
  244. software implementations are not possible; and the key size is fixed
  245. and cannot be increased if necessary.
  246.  
  247. Micali [55] has recently proposed an alternative system that also
  248. attempts to balance the privacy concerns of law-abiding citizens with
  249. the investigative concerns of law-enforcement agencies. Called fair
  250. public-key cryptography, it is similar in function and purpose to the
  251. Clipper chip proposal but users can choose their own keys, which they
  252. register with the escrow agencies. Also, the system does not require
  253. secure hardware, and can be implemented completely in software.
  254.  
  255.  
  256. 6.7 What is the current status of Clipper?
  257.  
  258. Clipper is under review. Both the executive branch and Congress are
  259. considering it, and an advisory panel recently recommended a full
  260. year-long public discussion of cryptography policy. NIST has invited
  261. the public to send comments, as part of its own review.
  262.  
  263.  
  264. 6.8 What is DSS?
  265.  
  266. DSS is the proposed Digital Signature Standard, which specifies a
  267. Digital Signature Algorithm (DSA), and is a part of the U.S. government's
  268. Capstone project (see Question 6.1). It was selected by NIST,
  269. in cooperation with the NSA (see Section 7), to be the digital
  270. authentication standard of the U.S. government; whether the government
  271. should in fact adopt it as the official standard is still
  272. under debate.
  273.  
  274. DSS is based on the discrete log problem (see Question 4.9) and derives
  275. from cryptosystems proposed by Schnorr [75] and ElGamal [30]. It is for
  276. authentication only. For a detailed description of DSS, see [63] or [57].
  277.  
  278. DSS has, for the most part, been looked upon unfavorably by the computer
  279. industry, much of which had hoped the government would choose the RSA
  280. algorithm as the official standard; RSA is the most widely used
  281. authentication algorithm. Several articles in the press, such as [54],
  282. discuss the industry dissatisfaction with DSS. Criticism of DSS has
  283. focused on a few main issues: it lacks key exchange capability; the
  284. underlying cryptosystem is too recent and has been subject to too little
  285. scrutiny for users to be confident of its strength; verification of
  286. signatures with DSS is too slow; the existence of a second authentication
  287. standard will cause hardship to computer hardware and software vendors, who
  288. have already standardized on RSA; and that the process by which NIST chose
  289. DSS was too secretive and arbitrary, with too much influence wielded by NSA.
  290. Other criticisms were addressed by NIST by modifying the original proposal.
  291. A more detailed discussion of the various criticisms can be found in
  292. [57], and a detailed response by NIST can be found in [78].
  293.  
  294. In the DSS system, signature generation is faster than signature
  295. verification, whereas in the RSA system, signature verification is
  296. faster than signature generation (if the public and private exponents
  297. are chosen for this property, which is the usual case). NIST claims
  298. that it is an advantage of DSS that signing is faster, but many people
  299. in cryptography think that it is better for verification to be the
  300. faster operation.
  301.  
  302.  
  303. 6.9 Is DSS secure?
  304.  
  305. The most serious criticisms of DSS involve its security. DSS was originally
  306. proposed with a fixed 512-bit key size. After much criticism that this is
  307. not secure enough, NIST revised DSS to allow key sizes up to 1024 bits. More
  308. critical, however, is the fact that DSS has not been around long enough to
  309. withstand repeated attempts to break it; although the discrete log problem
  310. is old, the particular form of the problem used in DSS was first proposed
  311. for cryptographic use in 1989 by Schnorr [75] and has not received much
  312. public study. In general, any new cryptosystem could have serious flaws
  313. that are only discovered after years of scrutiny by cryptographers. Indeed
  314. this has happened many times in the past; see [13] for some detailed
  315. examples. RSA has withstood over 15 years of vigorous examination for
  316. weaknesses. In the absence of mathematical proofs of security, nothing
  317. builds confidence in a cryptosystem like sustained attempts to crack it.
  318. Although DSS may well turn out to be a strong cryptosystem, its relatively
  319. short history will leave doubts for years to come.
  320.  
  321. Some researchers warned about the existence of ``trapdoor'' primes in
  322. DSS, which could enable a key to be easily broken. These trapdoor primes
  323. are relatively rare however, and are easily avoided if proper key
  324. generation procedures are followed [78].
  325.  
  326.  
  327. 6.10 Is use of DSS covered by any patents?
  328.  
  329. NIST has filed a patent application for DSS and there have been claims that
  330. DSS is covered by other public-key patents. NIST recently announced its
  331. intention to grant exclusive sublicensing rights for the DSS patent to Public
  332. Key Partners (PKP), which also holds the sublicensing rights to other patents
  333. that may cover DSS (see Question 1.5). In the agreement between NIST and
  334. PKP, PKP publicly stated uniform guidelines by which it will grant licenses
  335. to practice DSS. PKP stated that DSS can be used on a royalty-free basis
  336. in the case of personal, noncommercial, or U.S. government use. See [61]
  337. for details on the agreement and the licensing policy.
  338.  
  339.  
  340. 6.11 What is the current status of DSS?
  341.  
  342. After NIST issued the DSS proposal in August 1991, there was a period
  343. in which comments from the public were solicited; NIST then revised its
  344. proposal in light of the comments. DSS may be issued as a FIPS and become
  345. the official U.S. government standard, but it is not clear when this
  346. might happen. DSS is currently in the process of becoming a standard,
  347. along with RSA, for the financial services industry; a recent draft
  348. standard [1] contains the revised version of DSS.
  349.  
  350.  
  351. 7 NIST and NSA
  352.  
  353. 7.1 What is NIST?
  354. NIST is an acronym for the National Institute of Standards and Technology,
  355. a division of the U.S. Department of Commerce; it was formerly known as
  356. the National Bureau of Standards (NBS). Through its Computer Systems
  357. Laboratory it aims to promote open systems and interoperability that
  358. will spur development of computer-based economic activity. NIST issues
  359. standards and guidelines that it hopes will be adopted by all computer
  360. systems in the U.S., and also sponsors workshops and seminars. Official
  361. standards are published as FIPS (Federal Information Processing Standards)
  362. publications.
  363.  
  364. In 1987 Congress passed the Computer Security Act, which authorized NIST
  365. to develop standards for ensuring the security of sensitive but unclassified
  366. information in government computer systems. It encouraged NIST to work with
  367. other government agencies and private industry in evaluating proposed
  368. computer security standards.
  369.  
  370.  
  371. 7.2 What role does NIST play in cryptography?
  372.  
  373. NIST issues standards for cryptographic routines; U.S. government agencies
  374. are required to use them, and the private sector often adopts them as well.
  375. In January 1977, NIST declared DES (see Question 5.1) the official U.S.
  376. encryption standard and published it as FIPS Publication 46; DES soon
  377. became a de facto standard throughout the U.S.
  378.  
  379. A few years ago, NIST was asked to choose a set of cryptographic standards
  380. for the U.S.; this has become known as the Capstone project (see Section
  381. 6). After a few years of rather secretive deliberations, and in cooperation
  382. with the NSA, NIST issued proposals for various standards in cryptography,
  383. including digital signatures (DSS) and data encryption (the Clipper chip);
  384. these are pieces of the overall Capstone project.
  385.  
  386. NIST has been criticized for allowing the NSA too much power in setting
  387. cryptographic standards, since the interests of the NSA conflict with that
  388. of the Commerce Department and NIST. Yet, the NSA has much more experience
  389. with cryptography, and many more qualified cryptographers and cryptanalysts,
  390. than does NIST; it would be unrealistic to expect NIST to forego such
  391. available assistance.
  392.  
  393.  
  394. 7.3 What is the NSA?
  395.  
  396. The NSA is the National Security Agency, a highly secretive agency of the
  397. U.S. government that was created by Harry Truman in 1952; its very existence
  398. was kept secret for many years. For a history of the NSA, see Bamford [2].
  399. The NSA has a mandate to listen to and decode all foreign communications of
  400. interest to the security of the United States. It has also used its power
  401. in various ways (see Question 7.4) to slow the spread of publicly available
  402. cryptography, in order to prevent national enemies from employing encryption
  403. methods too strong for the NSA to break.
  404.  
  405. As the premier cryptographic government agency, the NSA has huge financial
  406. and computer resources and employs a host of cryptographers. Developments in
  407. cryptography achieved at the NSA are not made public; this secrecy has led to
  408. many rumors about the NSA's ability to break popular cryptosystems like DES
  409. and also to rumors that the NSA has secretly placed weaknesses, called trap
  410. doors, in government-endorsed cryptosystems, such as DES. These rumors have
  411. never been proved or disproved, and the criteria used by the NSA in selecting
  412. cryptography standards have never been made public.
  413.  
  414. Recent advances in the computer and telecommunications industries have
  415. placed NSA actions under unprecedented scrutiny, and the agency has become
  416. the target of heavy criticism for hindering U.S. industries that wish to use
  417. or sell strong cryptographic tools. The two main reasons for this increased
  418. criticism are the collapse of the Soviet Union and the development and
  419. spread of commercially available public-key cryptographic tools. Under
  420. pressure, the NSA may be forced to change its policies.
  421.  
  422.  
  423. 7.4 What role does the NSA play in commercial cryptography?
  424.  
  425. The NSA's charter limits its activities to foreign intelligence. However,
  426. the NSA is concerned with the development of commercial cryptography
  427. because the availability of strong encryption tools through commercial
  428. channels could impede the NSA's mission of decoding international
  429. communications; in other words, the NSA is worried lest strong commercial
  430. cryptography fall into the wrong hands.
  431.  
  432. The NSA has stated that it has no objection to the use of secure cryptography
  433. by U.S. industry. It also has no objection to cryptographic tools used for
  434. authentication, as opposed to privacy. However, the NSA is widely viewed as
  435. following policies that have the practical effect of limiting and/or weakening
  436. the cryptographic tools used by law-abiding U.S. citizens and corporations;
  437. see Barlow [3] for a discussion of NSA's effect on commercial
  438. cryptography.
  439.  
  440. The NSA exerts influence over commercial cryptography in several ways.
  441. First, it controls the export of cryptography from the U.S. (see Question
  442. 1.6); the NSA generally does not approve export of products used for
  443. encryption unless the key size is strictly limited. It does, however,
  444. approve for export any products used for authentication only, no matter
  445. how large the key size, so long as the product cannot be converted to be
  446. used for encryption. The NSA has also blocked encryption methods from being
  447. published or patented, citing a national security threat; see Landau [46]
  448. for a discussion of this practice. Additionally, the NSA serves an
  449. ``advisory'' role to NIST in the evaluation and selection of official U.S.
  450. government computer security standards; in this capacity, it has played a
  451. prominent, and controversial, role in the selection of DES and in the
  452. development of the group of standards known as the Capstone project (see
  453. Section 6), which includes DSS and the Clipper chip. The NSA can also
  454. exert market pressure on U.S. companies to produce (or refrain from
  455. producing) cryptographic goods, since the NSA itself is often a large
  456. customer of these companies.
  457.  
  458. Cryptography is in the public eye as never before and has become the subject
  459. of national public debate. The status of cryptography, and the NSA's role
  460. in it, will probably change over the next few years.
  461.  
  462.  
  463. 8 Miscellaneous
  464.  
  465. 8.1 What is the legal status of documents signed with digital signatures?
  466.  
  467. If digital signatures are to replace handwritten signatures they must have
  468. the same legal status as handwritten signatures, i.e., documents signed
  469. with digital signatures must be legally binding. NIST has stated that its
  470. proposed Digital Signature Standard (see Question 6.8) should be capable
  471. of ``proving to a third party that data was actually signed by the
  472. generator of the signature.'' Furthermore, U.S. federal government
  473. purchase orders will be signed by any such standard; this implies that
  474. the government will support the legal authority of digital signatures
  475. in the courts. Some preliminary legal research has also resulted in the
  476. opinion that digital signatures would meet the requirements of legally
  477. binding signatures for most purposes, including commercial use as defined
  478. in the Uniform Commercial Code (UCC). A GAO (Government Accounting
  479. Office) decision requested by NIST also opines that digital signatures
  480. will meet the legal standards of handwritten signatures [20].
  481.  
  482. However, since the validity of documents with digital signatures has never
  483. been challenged in court, their legal status is not yet well-defined.
  484. Through such challenges, the courts will issue rulings that collectively
  485. define which digital signature methods, key sizes, and security precautions
  486. are acceptable for a digital signature to be legally binding.
  487.  
  488. Digital signatures have the potential to possess greater legal authority
  489. than handwritten signatures. If a ten-page contract is signed by hand on
  490. the tenth page, one cannot be sure that the first nine pages have not
  491. been altered. If the contract was signed by digital signatures, however,
  492. a third party can verify that not one byte of the contract has been altered.
  493.  
  494. Currently, if two people wish to digitally sign a series of contracts,
  495. they may wish to first sign a paper contract in which they agree to be bound
  496. in the future by any contracts digitally signed by them with a given
  497. signature method and minimum key size.
  498.  
  499.  
  500. 8.2 What is a hash function? What is a message digest?
  501.  
  502. A hash function is a computation that takes a variable-size input and returns
  503. a fixed-size string, which is called the hash value. If the hash function
  504. is one-way, i.e., hard to invert, it is also called a message-digest function,
  505. and the result is called a message digest. The idea is that a digest
  506. represents concisely the longer message or document from which it was
  507. computed; one can think of a message digest as a ``digital fingerprint'' of
  508. the larger document. Examples of well-known hash functions are MD4, MD5,
  509. and SHS (see Questions 8.3 and 8.4).
  510.  
  511. Although hash functions in general have many uses in computer programs, in
  512. cryptography they are used to generate a small string (the message digest)
  513. that can represent securely a much larger string, such as a file or message.
  514. Since the hash functions are faster than the signing functions, it is much
  515. more efficient to compute a digital signature using a document's message
  516. digest, which is small, than using the arbitrarily large document itself.
  517. Additionally, a digest can be made public without revealing the contents of
  518. the document from which it derives. This is important in digital
  519. time-stamping, where, using hash functions, one can get a document
  520. time-stamped without revealing its contents to the time-stamping service
  521. (see Question 3.18).
  522.  
  523. A hash function used for digital authentication must have certain
  524. properties that make it secure enough for cryptographic use. Specifically,
  525. it must be infeasible to find a message that hashes to a given value
  526. and it must be infeasible to find two distinct messages that hash to
  527. the same value. The ability to find a message hashing to a given value
  528. would enable an attacker to substitute a fake message for a real message
  529. that was signed. It would also enable someone to falsely disown a
  530. message by claiming that he or she actually signed a different message
  531. hashing to the same value, thus violating the non-repudiation property
  532. of digital signatures. The ability to find two distinct messages hashing
  533. to the same value could enable an attack whereby someone is tricked into
  534. signing a message which hashes to the same value as another message with
  535. a quite different meaning. The digest must therefore be long enough to
  536. prevent an attacker from doing an exhaustive search for a collision. For
  537. example, if a hash function produces 100-bit strings, exhaustive search
  538. would take 2^{100} attempts on average to match a given value, and
  539. approximately 2^{50} attempts on average to find two inputs producing
  540. the same digest.
  541.  
  542. A digital signature system can be broken by attacking either the difficult
  543. mathematical problem on which the signature method is based or the hash
  544. function used to create the message digests. When choosing an authentication
  545. system, it is generally a good idea to choose a signature method and a hash
  546. function that require comparable efforts to break; any extra security in one
  547. of the two components is wasted, since attacks will be directed at the weaker
  548. component. Actually, attacking the hash function is harder in practice, since
  549. it requires a large amount of memory and the ability to trick the victim into
  550. signing a special message. With 2^{64} operations, an attacker can find two
  551. messages that hash to the same digest under any of the MD hash functions;
  552. this effort is comparable to that necessary to break 512-bit RSA; thus MD5 is
  553. a good choice when using RSA with a 512-bit modulus. However, those with
  554. greater security needs, such as certifying authorities, should use a longer
  555. modulus and a hash function that produces a longer message digest; either SHS
  556. (160-bit digest) or a modified version of MD4 that produces a 256-bit digest
  557. [71] would suffice.
  558.  
  559.  
  560. 8.3 What are MD2, MD4 and MD5?
  561.  
  562. MD2, MD4 and MD5 (MD stands for Message Digest) are widely used hash
  563. functions designed by Ron Rivest specifically for cryptographic use.
  564. They produce 128-bit digests and there is no known attack faster than
  565. exhaustive search.
  566.  
  567. MD2 is the slowest of the three; MD4 [71] is the fastest. MD5 [73]
  568. has been dubbed ``MD4 with safety belts'' by Rivest, since it has a
  569. more conservative design than MD4; the design gives it increased
  570. security against attack, but at a cost of being approximately 33%
  571. slower than MD4. MD5 is the most commonly used of the three algorithms.
  572. MD4 and MD5 are publicly available for unrestricted use; MD2 is available
  573. for use with PEM (see Question 8.7). Details of MD2, MD4, and MD5 with
  574. sample C code are available in Internet RFCs (Requests For Comments)
  575. 1319, 1320, and 1321, respectively.
  576.  
  577. No feasible attacks on any of the MD algorithms have been discovered,
  578. although some recent theoretical work has found some interesting
  579. structural properties [24,25].
  580.  
  581.  
  582. 8.4 What is SHS?
  583.  
  584. The Secure Hash Standard (SHS) [58] is a hash function proposed by NIST
  585. (see Question 7.1) and adopted as a U.S. government standard. It is
  586. designed for use with the proposed Digital Signature Standard (see
  587. Question 6.8) and is part of the government's Capstone project (see
  588. Question 6.1}). SHS produces a 160-bit hash value from a variable-size
  589. input. SHS is structurally similar to MD4 and MD5. It is roughly 25%
  590. slower than MD5 but may be more secure, because it produces message
  591. digests that are 25% longer than those produced by the MD functions.
  592. SHS is currently the only part of Capstone that has been officially
  593. adopted as a government standard.
  594.  
  595.  
  596. 8.5 What is Kerberos?
  597.  
  598. Kerberos is a secret-key network authentication system developed at MIT
  599. [79]; it uses DES for encryption and authentication. Unlike a public-key
  600. authentication system, it does not produce digital signatures: Kerberos
  601. was designed to authenticate requests for network resources rather than
  602. to authenticate authorship of documents. Kerberos provides real-time
  603. authentication in a distributed environment, but does not provide for
  604. future third-party verification of documents.
  605.  
  606. In a Kerberos system, there is a designated site on the network, called
  607. the Kerberos server, which performs centralized key management and
  608. administrative functions. The server maintains a database containing the
  609. secret keys of all users, generates session keys whenever two users wish to
  610. communicate securely, and authenticates the identity of a user who requests
  611. certain network services.
  612.  
  613. Kerberos, like other secret-key systems, requires trust in a third party,
  614. in this case the Kerberos server. If the server were compromised, the
  615. integrity of the whole system would fall. Public-key cryptography was
  616. designed precisely to avoid the necessity to trust third parties or
  617. communication lines (see Question 1.4). Kerberos may be adequate
  618. for those who do not need the more robust functions and properties of
  619. public-key systems.
  620.  
  621.  
  622. 8.6 What are RC2 and RC4?
  623.  
  624. RC2 and RC4 are variable-key-size cipher functions designed by Ron Rivest
  625. for fast bulk encryption. They are alternatives to DES (see Question
  626. 5.1) and are as fast or faster than DES. They can be more secure than
  627. DES because of their ability to use long key sizes; they can also be less
  628. secure than DES if short key sizes are used.
  629.  
  630. RC2 is a variable-key-size symmetric block cipher and can serve as a drop-in
  631. replacement for DES, for example in export versions of products otherwise
  632. using DES. RC2 can be used in the same modes as DES (see Question 5.3),
  633. including triple encryption. RC2 is approximately twice as fast as DES,
  634. at least in software. RC4 is a variable-key-size symmetric stream cipher
  635. and is 10 or more times as fast as DES in software. Both RC2 and RC4 are
  636. very compact in terms of code size.
  637.  
  638. An agreement between the Software Publishers Association (SPA) and the U.S.
  639. government gives RC2 and RC4 special status by means of which the export
  640. approval process is simpler and quicker than the usual cryptographic export
  641. process. However, to qualify for quick export approval a product must limit
  642. the RC2 and RC4 key sizes to 40 bits; 56 bits is allowed for foreign
  643. subsidiaries and overseas offices of U.S. companies. An additional 40-bit
  644. string, called a salt, can be used to thwart attackers who try to
  645. precompute a large look-up table of possible encryptions. The salt is
  646. appended to the encryption key, and this lengthened key is used to encrypt
  647. the message; the salt is then sent, unencrypted, with the message. RC2 and
  648. RC4 have been widely used by developers who want to export their products;
  649. DES is almost never approved for export. RC2 and RC4 are proprietary
  650. algorithms of RSA Data Security, Inc.; details have not been published.
  651.  
  652.  
  653. 8.7 What is PEM?
  654.  
  655. PEM is the Internet Privacy-Enhanced Mail standard, designed, proposed, but
  656. not yet officially adopted, by the Internet Activities Board in order to
  657. provide secure electronic mail over the Internet. Designed to work with
  658. current Internet e-mail formats, PEM includes encryption, authentication,
  659. and key management, and allows use of both public-key and secret-key
  660. cryptosystems. Multiple cryptographic tools are supported: for each mail
  661. message, the specific encryption algorithm, digital signature algorithm,
  662. hash function, and so on are specified in the header. PEM explicitly
  663. supports only a few cryptographic algorithms; others may be added later.
  664. DES in CBC mode is currently the only message encryption algorithm supported,
  665. and both RSA and DES are supported for the key management. PEM also supports
  666. the use of certificates, endorsing the CCITT X.509 standard for certificate
  667. structure.
  668.  
  669. The details of PEM can be found in Internet RFCs (Requests For Comments)
  670. 1421 through 1424. PEM is likely to be officially adopted by the Internet
  671. Activities Board within one year. Trusted Information Systems has developed
  672. a free non-commercial implementation of PEM, and other implementations should
  673. soon be available as well.
  674.  
  675.  
  676. 8.8 What is RIPEM?
  677.  
  678. RIPEM is a program developed by Mark Riordan that enables secure Internet
  679. e-mail; it provides both encryption and digital signatures, using RSA and
  680. DES routines from RSAREF (see Question 8.10). RIPEM is not fully
  681. PEM-compatible; for example, it does not currently support certificates.
  682. However, future versions will include certificates and will be fully
  683. compliant with the PEM standard. RIPEM is available free for non-commercial
  684. use in the U.S. and Canada. To get RIPEM, obtain an ftp account at
  685. ripem.msu.edu.
  686.  
  687.  
  688. 8.9 What is PKCS?
  689.  
  690. PKCS (Public-Key Cryptography Standards) is a set of standards for
  691. implementation of public-key cryptography. It has been issued by RSA
  692. Data Security, Inc. in cooperation with a computer industry consortium,
  693. including Apple, Microsoft, DEC, Lotus, Sun and MIT. PKCS has been cited
  694. by the OIW (OSI Implementors' Workshop) as a method for implementation of
  695. OSI standards. PKCS is compatible with PEM (see Question 8.7) but extends
  696. beyond PEM. For example, where PEM can only handle ASCII data, PKCS is
  697. designed for binary data as well. PKCS is also compatible with the CCITT
  698. X.509 standard.
  699.  
  700. PKCS includes both algorithm-specific and algorithm-independent
  701. implementation standards. Specific algorithms supported include RSA, DES,
  702. and Diffie-Hellman key exchange. It also defines algorithm-independent syntax
  703. for digital signatures, digital envelopes (for encryption), and certificates;
  704. this enables someone implementing any cryptographic algorithm whatsoever to
  705. conform to a standard syntax and thus preserve interoperability. Documents
  706. detailing the PKCS standards can be obtained by sending e-mail to
  707. pkcs@rsa.com or by anonymous ftp to rsa.com.
  708.  
  709.  
  710. 8.10 What is RSAREF?
  711.  
  712. RSAREF is a collection of cryptographic routines in portable C source code,
  713. available at no charge from RSA Laboratories, a division of RSA Data Security,
  714. Inc. It includes RSA, MD2, MD5, and DES; Diffie-Hellman key exchange will
  715. be included in a forthcoming version. It includes both low-level
  716. subroutines, such as modular exponentiation, and high-level cryptographic
  717. functions, such as verification of digital signatures. The arithmetic routines
  718. can handle multiple-precision integers, and the RSA algorithm routines can
  719. handle variable key sizes. RSAREF is fully compatible with the PEM and PKCS
  720. standards.
  721.  
  722. RSAREF is available to citizens of the U.S. or Canada and to permanent
  723. residents of the U.S. It can be used in personal, non-commercial applications
  724. but cannot be used commercially or sent outside the U.S. and Canada. The
  725. RSAREF license contains more details on the usage allowed and disallowed.
  726. RSAREF is available on the Internet by sending e-mail to
  727. rsaref@rsa.com or by ftp to rsa.com.
  728.  
  729.  
  730. 9 Acknowledgements
  731.  
  732. I would like to thank the following people, who have provided information
  733. and helpful suggestions: Burt Kaliski, Jim Bidzos, Matt Robshaw, Steve Dusse,
  734. Kurt Stammberger, George Parsons, John Gilmore, Stuart Haber, Dorothy
  735. Denning, and Dennis Branstad.
  736.  
  737.  
  738. BIBLIOGRAPHY
  739.  
  740. 1. American National Standards Institute. Working Draft: American National
  741.    Standard X9.30-199X: Public Key Cryptography Using Irreversible
  742.    Algorithms for the Financial Services Industry: Part 1: The Digital
  743.    Signature Algorithm (DSA). American Bankers Association, Washington,
  744.    D.C., March 4, 1993.
  745.  
  746. 2. J. Bamford. The Puzzle Palace. Houghton Mifflin, Boston, 1982.
  747.  
  748. 3. J.P. Barlow. Decrypting the puzzle palace. Communications of the ACM,
  749.    35(7):25--31, July 1992.
  750.  
  751. 4. D. Bayer, S. Haber, and W.S. Stornetta. Improving the efficiency and
  752.    reliablility of digital time-stamping. In R.M. Capocelli, editor,
  753.    Sequences '91: Methods in Communication, Security, and Computer Science,
  754.    Springer-Verlag, Berlin, 1992.
  755.  
  756. 5. P. Beauchemin, G. Brassard, C. Crepeau, C. Goutier, and C. Pomerance. The
  757.    generation of random numbers that are probably prime. J. of Cryptology,
  758.    1:53--64, 1988.
  759.  
  760. 6. E. Biham and A. Shamir. Differential Cryptanalysis of the Data Encryption
  761.    Standard. Springer-Verlag, New York, 1993.
  762.  
  763. 7. E. Biham and A. Shamir. Differential cryptanalysis of the full 16-round
  764.    DES. In Advances in Cryptology --- Crypto '92, Springer-Verlag, New York,
  765.    1993.
  766.  
  767. 8. M. Blum and S. Goldwasser. An efficient probabilistic public-key
  768.    encryption scheme which hides all partial information. In Advances in
  769.    Cryptology --- Crypto '84, pages 289--299, Springer-Verlag, New York,
  770.    1985.
  771.  
  772. 9. J. Brandt and I. Damgard. On generation of probable primes by incremental
  773.    search. In Advances in Cryptology --- Crypto '92, Springer-Verlag, New
  774.    York, 1993.
  775.  
  776. 10. G. Brassard. Modern Cryptology. Volume 325 of Lecture Notes in Computer
  777.     Science, Springer-Verlag, Berlin, 1988.
  778.  
  779. 11. D.M. Bressoud. Factorization and Primality Testing. Undergraduate Texts
  780.     in Mathematics, Springer-Verlag, New York, 1989.
  781.  
  782. 12. E.F. Brickell, D.E. Denning, S.T. Kent, D.P. Maher, and W. Tuchman.
  783.     Skipjack Review, Interim Report: The Skipjack Algorithm. July 28, 1993.
  784.  
  785. 13. E.F. Brickell and A.M. Odlyzko. Cryptanalysis: A survey of recent
  786.     results. Proceedings of the IEEE, 76:578--593, 1988.
  787.  
  788. 14. J. Brillhart, D.H. Lehmer, J.L. Selfridge, B. Tuckerman, and S.S.
  789.     Wagstaff Jr. Factorizations of b^n +/- 1, b=2,3,5,6,7,10,11,12 up to
  790.     High Powers. Volume 22 of Contemporary Mathematics, American
  791.     Mathematical Society, Providence, Rhode Island, 2nd edition, 1988.
  792.  
  793. 15. J. Buchmann, J. Loho, and J. Zayer. An implementation of the general
  794.     number field sieve. In Advances, in Cryptology --- Crypto '93,
  795.     Springer-Verlag, New York, 1994. To appear.
  796.  
  797. 16. J.P. Buhler, H.W. Lenstra, and C. Pomerance. Factoring integers with
  798.     the number field sieve. 1992. To appear.
  799.  
  800. 17. M.V.D. Burmester, Y.G. Desmedt, and T. Beth. Efficient zero-knowledge
  801.     identification schemes for smart cards. Computer Journal, 35:21--29, 1992.
  802.  
  803. 18. K.W. Campbell and M.J. Wiener. Proof that DES is not a group. In
  804.     Advances in Cryptology --- Crypto '92, Springer-Verlag, New York, 1993.
  805.  
  806. 19. CCITT (Consultative Committee on International Telegraphy and
  807.     Telephony). Recommendation X.509: The Directory---Authentication
  808.     Framework. 1988.
  809.  
  810. 20. Comptroller General of the United States. Matter of National Institute
  811.     of Standards and Technology --- Use of Electronic Data Interchange
  812.     Technology to Create Valid Obligations. December 13, 1991. File B-245714.
  813.  
  814. 21. D. Coppersmith, A.M. Odlyzko, and R. Schroeppel. Discrete logarithms in
  815.     GF(p). Algorithmica, 1:1--15, 1986.
  816.  
  817. 22. T.H. Cormen, C.E. Leiserson, and R.L. Rivest. Introduction to Algorithms.
  818.     MIT Press, Cambridge, Massachusetts, 1990.
  819.  
  820. 23. G. Davida. Chosen signature cryptanalysis of the RSA public key
  821.     cryptosystem. Technical Report TR-CS-82-2, Dept of EECS, University of
  822.     Wisconsin, Milwaukee, 1982.
  823.  
  824. 24. B. den Boer and A. Bosselaers. An attack on the last two rounds of MD4.
  825.     In Advances in Cryptology --- Crypto '91, pages 194--203, Springer-Verlag,
  826.     New York, 1992.
  827.  
  828. 25. B. den Boer and A. Bosselaers. Collisions for the compression function
  829.     of MD5. In Advances in Cryptology --- Eurocrypt '93, 1993. Preprint.
  830.  
  831. 26. Dorothy E. Denning. The Clipper encryption system. American Scientist,
  832.     81(4):319--323, July--August 1993.
  833.  
  834. 27. W. Diffie. The first ten years of public-key cryptography. Proceedings
  835.     of the IEEE, 76:560--577, 1988.
  836.  
  837. 28. W. Diffie and M.E. Hellman. Exhaustive cryptanalysis of the NBS Data
  838.     Encryption Standard. Computer, 10:74--84, 1977.
  839.  
  840. 29. W. Diffie and M.E. Hellman. New directions in cryptography. IEEE
  841.     Transactions on Information Theory, IT-22:644--654, 1976.
  842.  
  843. 30. T. ElGamal. A public-key cryptosystem and a signature scheme based on
  844.     discrete logarithms. IEEE Transactions on Information Theory,
  845.     IT-31:469--472, 1985.
  846.  
  847. 31. A. Fiat and A. Shamir. How to prove yourself: Practical solutions to
  848.     identification and signature problems. In Advances in Cryptology ---
  849.     Crypto '86, pages 186--194, Springer-Verlag, New York, 1987.
  850.  
  851. 32. S. Goldwasser and S. Micali. Probabilistic encryption. J. of Computer
  852.     and System Sciences, 28:270--299, 1984.
  853.  
  854. 33. D.M. Gordon. Discrete logarithms using the number field sieve. March 28,
  855.     1991. To appear.
  856.  
  857. 34. D.M. Gordon and K.S. McCurley. Massively parallel computation of discrete
  858.     logarithms. In Advances in Cryptology --- Crypto '92, Springer-Verlag,
  859.     New York, 1993.
  860.  
  861. 35. J. Hastad. Solving simultaneous modular equations of low degree. SIAM J.
  862.     Computing, 17:336--241, 1988.
  863.  
  864. 36. M.E. Hellman. A cryptanalytic time-memory trade off. IEEE Transactions
  865.     on Information Theory, IT-26:401--406, 1980.
  866.  
  867. 37. D. Kahn. The Codebreakers. Macmillan Co., New York, 1967.
  868.  
  869. 38. B.S. Kaliski. A survey of encryption standards. RSA Data Security, Inc.,
  870.     September 2, 1993.
  871.  
  872. 39. B.S. Kaliski Jr., R.L. Rivest, and A.T. Sherman. Is the data encryption
  873.     standard a group? J. of Cryptology, 1:3--36, 1988.
  874.  
  875. 40. S. Kent. RFC 1422: Privacy Enhancement for Internet Electronic Mail,
  876.     Part II: Certificate-Based Key Management. Internet Activities Board,
  877.     February 1993.
  878.  
  879. 41. D.E. Knuth. The Art of Computer Programming. Volume 2, Addison-Wesley,
  880.     Reading, Mass., 2nd edition, 1981.
  881.  
  882. 42. N. Koblitz. A Course in Number Theory and Cryptography. Springer-Verlag,
  883.     New York, 1987.
  884.  
  885. 43. N. Koblitz. Elliptic curve cryptosystems. Mathematics of Computation,
  886.     48:203--209, 1987.
  887.  
  888. 44. X. Lai and J.L. Massey. A proposal for a new block encryption standard.
  889.     In Advances in Cryptology --- Eurocrypt '90, pages 389--404,
  890.     Springer-Verlag, Berlin, 1991.
  891.  
  892. 45. B.A. LaMacchia and A.M. Odlyzko. Computation of discrete logarithms
  893.     in prime fields. Designs, Codes and Cryptography, 1:47--62, 1991.
  894.  
  895. 46. S. Landau. Zero knowledge and the Department of Defense. Notices of
  896.     the American Mathematical Society, 35:5--12, 1988.
  897.  
  898. 47. A.K. Lenstra and H.W. Lenstra Jr. Algorithms in number theory. In J.
  899.     van Leeuwen, editor, Handbook of Theoretical Computer Science, MIT
  900.     Press/Elsevier, Amsterdam, 1990.
  901.  
  902. 48. A.K. Lenstra, H.W. Lenstra Jr., M.S. Manasse, and J.M. Pollard. The
  903.     factorization of the ninth Fermat number. 1991. To appear.
  904.  
  905. 49. A.K. Lenstra and M.S. Manasse. Factoring with two large primes. In
  906.     Advances in Cryptology --- Eurocrypt '90, pages 72--82, Springer-Verlag,
  907.     Berlin, 1991.
  908.  
  909. 50. H.W. Lenstra Jr. Factoring integers with elliptic curves. Ann. of Math.,
  910.     126:649--673, 1987.
  911.  
  912. 51. M. Matsui. Linear cryptanalysis method for DES cipher. In Advances in
  913.     Cryptology --- Eurocrypt '93, Springer-Verlag, Berlin, 1993. To appear.
  914.  
  915. 52. R.C. Merkle and M.E. Hellman. Hiding information and signatures in
  916.     trapdoor knapsacks. IEEE Transactions on Information Theory,
  917.     IT-24:525--530, 1978.
  918.  
  919. 53. R.C. Merkle and M.E. Hellman. On the security of multiple encryption.
  920.     Communications of the ACM, 24:465--467, July 1981.
  921.  
  922. 54. E. Messmer. NIST stumbles on proposal for public-key encryption. Network
  923.     World, 9(30), July 27, 1992.
  924.  
  925. 55. S. Micali. Fair public-key cryptosystems. In Advances in Cryptology ---
  926.     Crypto '92, Springer-Verlag, New York, 1993.
  927.  
  928. 56. V.S. Miller. Use of elliptic curves in cryptography. In Advances in
  929.     Cryptology --- Crypto '85, pages 417--426, Springer-Verlag, New York,
  930.     1986.
  931.  
  932. 57. National Institute of Standards and Technology (NIST). The Digital
  933.     Signature Standard, proposal and discussion. Communications of the ACM,
  934.     35(7):36--54, July 1992.
  935.  
  936. 58. National Institute of Standards and Technology (NIST). FIPS Publication
  937.     180: Secure Hash Standard (SHS). May 11, 1993.
  938.  
  939. 59. National Institute of Standards and Technology (NIST). FIPS Publication
  940.     46-1: Data Encryption Standard. January 22, 1988. Originally issued by
  941.     National Bureau of Standards.
  942.  
  943. 60. National Institute of Standards and Technology (NIST). FIPS Publication
  944.     81: DES Modes of Operation. December 2, 1980. Originally issued by
  945.     National Bureau of Standards.
  946.  
  947. 61. National Institute of Standards and Technology (NIST). Notice of
  948.     proposal for grant of exclusive patent license. Federal Register,
  949.     58(108), June 8, 1993.
  950.  
  951. 62. National Institute of Standards and Technology (NIST). A proposed
  952.     Federal Information Processing Standard for an Escrowed Encryption
  953.     Standard (EES). Federal Register, 58(145), July 30, 1993.
  954.  
  955. 63. National Institute of Standards and Technology (NIST). Publication XX:
  956.     Announcement and Specifications for a Digital Signature Standard (DSS).
  957.     August 19, 1992.
  958.  
  959. 64. A.M. Odlyzko. Discrete logarithms in finite fields and their cryptographic
  960.     significance. In Advances in Cryptology --- Eurocrypt '84, pages 224--314,
  961.     Springer-Verlag, Berlin, 1984.
  962.  
  963. 65. Office of the Press Secretary. Statement. The White House, April 16, 1993.
  964.  
  965. 66. J. Pollard. Monte Carlo method for factorization. BIT, 15:331--334, 1975.
  966.  
  967. 67. J. Pollard. Theorems of factorization and primality testing. Proc.
  968.     Cambridge Philos. Soc., 76:521--528, 1974.
  969.  
  970. 68. M.O. Rabin. Digitalized signatures as intractable as factorization.
  971.     Technical Report MIT/LCS/TR-212, MIT, 1979.
  972.  
  973. 69. R.L. Rivest. Cryptography. In J. van Leeuwen, editor, Handbook of
  974.     Theoretical Computer Science, MIT Press/Elsevier, Amsterdam, 1990.
  975.  
  976. 70. R.L. Rivest. Finding four million random primes. In Advances in
  977.     Cryptology --- Crypto '90, pages 625--626, Springer-Verlag, New York,
  978.     1991.
  979.  
  980. 71. R.L Rivest. The MD4 message digest algorithm. In Advances in Cryptology
  981.     --- Crypto '90, pages 303--311, Springer-Verlag, New York, 1991.
  982.  
  983. 72. R.L. Rivest. Response to NIST's proposal. Communications of the ACM,
  984.     35:41--47, July 1992.
  985.  
  986. 73. R.L. Rivest. RFC 1321: The MD5 Message-Digest Algorithm. Internet
  987.     Activities Board, April 1992.
  988.  
  989. 74. R.L. Rivest, A. Shamir, and L. Adleman. A method for obtaining digital
  990.     signatures and public-key cryptosystems. Communications of the ACM,
  991.     21(2):120--126, February 1978.
  992.  
  993. 75. C.P. Schnorr. Efficient identification and signatures for smart cards.
  994.     In Advances in Cryptology --- Crypto '89, pages 239--251,
  995.     Springer-Verlag, New York, 1990.
  996.  
  997. 76. M. Shand and J. Vuillemin. Fast implementations of RSA cryptography. In
  998.     Proceedings of the 11th IEEE Symposium on Computer Arithmetic, pages
  999.     252--259, IEEE Computer Society Press, Los Alamitos, CA, 1993.
  1000.  
  1001. 77. R.D. Silverman. The multiple polynomial quadratic sieve. Math. Comp.,
  1002.     48:329--339, 1987.
  1003.  
  1004. 78. M.E. Smid and D.K. Branstad. Response to comments on the NIST proposed
  1005.     Digital Signature Standard. In Advances in Cryptology --- Crypto '92,
  1006.     Springer-Verlag, New York, 1993.
  1007.  
  1008. 79. J.G. Steiner, B.C. Neuman, and J.I. Schiller. Kerberos: an authentication
  1009.     service for open network systems. In Usenix Conference Proceedings, pages
  1010.     191--202, Dallas, Texas, February 1988.
  1011.  
  1012. 80. M.J. Wiener. Efficient DES key search. August 20, 1993. Presented at
  1013.     Crypto '93 rump session.
  1014.  
  1015.  
  1016.        --------------------------------------------
  1017.  
  1018. RSA Laboratories is the research and consultation division of RSA Data
  1019. Security, Inc., the company founded by the inventors of the RSA
  1020. public-key cryptosystem. RSA Laboratories reviews, designs and
  1021. implements secure and efficient cryptosystems of all kinds. Its
  1022. clients include government agencies, telecommunications companies,
  1023. computer manufacturers, software developers, cable TV broadcasters,
  1024. interactive video manufacturers, and satellite broadcast companies,
  1025. among others.
  1026.  
  1027. For more information about RSA Laboratories, call or write to
  1028.                         RSA Laboratories
  1029.                         100 Marine Parkway
  1030.                         Redwood City, CA 94065
  1031.                         (415) 595-7703
  1032.                         (415) 595-4126 (fax)
  1033.  
  1034.  
  1035.  
  1036. PKCS, RSAREF and RSA Laboratories are trademarks of RSA Data
  1037. Security, Inc. All other trademarks belong to their respective
  1038. companies.
  1039.  
  1040. This document is available in ASCII, Postscript, and Latex formats
  1041. via anonymous FTP to rsa.com:/pub/faq.
  1042.  
  1043. Please send comments and corrections to faq-editor@rsa.com.
  1044.  
  1045.  
  1046.  
  1047. ===
  1048. DISTRIBUTION: How to obtain this document
  1049.  
  1050. This document has been brought to you in part by CRAM, involved in the
  1051. redistribution of valuable information to a wider USENET audience (see
  1052. below). The most recent version of this document can be obtained via
  1053. the author's instructions above. The following directions apply to
  1054. retrieve the possibly less-current USENET FAQ version.
  1055.  
  1056.   FTP
  1057.   ---
  1058.     This FAQ is available from the standard FAQ server rtfm.mit.edu via
  1059.     FTP in the directory /pub/usenet/news.answers/cryptography-faq/rsa/
  1060.  
  1061.   Email
  1062.   -----
  1063.     Email requests for FAQs go to mail-server@rtfm.mit.edu with commands
  1064.     on lines in the message body, e.g. `help' and `index'.
  1065.  
  1066.   Usenet
  1067.   ------
  1068.     This FAQ is posted every 21 days to the groups
  1069.  
  1070.       sci.crypt
  1071.       talk.politics.crypto
  1072.       alt.security.ripem
  1073.       sci.answers
  1074.       talk.answers
  1075.       alt.answers
  1076.       news.answers
  1077.  
  1078. ===
  1079. CRAM: the Cyberspatial Reality Advancement Movement
  1080.  
  1081. In an effort to bring valuable information to the masses, and
  1082. as a service to motivated information compilers, I
  1083. (L. Detweiler) will help others unfamiliar with Usenet
  1084. `publish' their documents for widespread dissemination via the
  1085. FAQ structure, and act as a `sponsor' knowledgable in the
  1086. submissions process. This document is being distributed under
  1087. this arrangement.
  1088.  
  1089. I have found these compilations tend to appear on various
  1090. mailing lists and are valuable enough to deserve wider
  1091. distribution. If you know of an existing compilation of
  1092. Internet information that is not currently a FAQ, please
  1093. contact me and I may `sponsor' it. The benefits to the author
  1094. include:
  1095.  
  1096. - use of the existing FAQ infrastructure for distribution:
  1097.   - automated mail server service
  1098.   - FTP archival
  1099.   - automated posting
  1100.  
  1101. - a far wider audience that can improve the quality, accuracy,
  1102.   and coverage of the document enormously through email
  1103.   feedback
  1104.  
  1105. - potential professional inquiries for the use of your
  1106.   document in other settings, such as newsletters, books,
  1107.   etc.
  1108.  
  1109. - with me as your sponsor, I will also take care of the
  1110.   technicalities in the proper format of the posted version
  1111.   and updating procedures, leaving you free of the `overhead'
  1112.   to focus on the basic updates alone
  1113.  
  1114. Send comments relating to the *distribution* of this document
  1115. (particularly relevant newsgroups not currently covered in
  1116. its current distribution) or inquiries on other documents to
  1117. <ld231782@longs.lance.colostate.edu>.
  1118.  
  1119. The choice of who I `sponsor' is entirely arbitrary. You always
  1120. have the option of handling the submission process yourself.
  1121. See the FAQ submission guidelines FAQ in news.answers.
  1122.  
  1123.  
  1124.  
  1125.  
  1126.