Son similares a los MACs, dado que su objetivo es la integridad, pero tienen ciertas ventajas:

Son públicamente verificables
Son transferibles: Puede enviarse simultáneamente a varios destinatarios o reenviarse y sigue siendo verificable
Proveen no repudio: Quien firme algo no puede negar haberlo hecho, lo cual es muy importante cuando está reglamentado jurídicamente.

La firma digital es una terna de algoritmos

Donde para todo $m$ y $k$ válidos: $Vrfy_{p k} (m, Sign_{s k} (m)) = 1$

RSA-Signature

Es idéntico a RSA-Encryption, pero invirtiendo los papeles de las claves:

Gen:
- Elegir $p, q \leftarrow N \overset{u}{ˊ} meros primos$ . $n = p * q$
- $e \leftarrow (0, ϕ (n)) ∣ MCD (e, ϕ (n)) = 1$
- Calcular $d$ tal que $e * d \equiv 1 mod ϕ (n)$
- $p k = (n, e)$ , $s k = (n, d)$
$Sign_{s k} (m) \equiv m^{d} mod n$
$Vrfy_{p k} (m, s) = (m == s^{e} mod n)$

Este esquema, aunque es común en los libros, es inseguro. Si consideramos el adversario $A$ :

Consigue pasar Sig-Forge, y otro posible ataque:

Hashed RSA

Busca solucionar los problemas de RSA-Signature, introduciendo una función de hash libre de colisiones:

WARNING

No posee una prueba de seguridad a menos que se asuma un modelo ideal de $H$

Similar a AES, es un standard establecido por los Estados Unidos

Gen
- Seleccionar $H (x) :$ SHA1 o SHA2
- Tamaño de claves: $(L, N)$ : $(1024, 160)$ , $(2048, 224)$ , $(2048, 256)$ o $(3072, 256)$
- $q \leftarrow$ primo de tamaño $N$ (bits)
- $p \leftarrow$ primo de tamaño $P$ tal que $(p - 1) \equiv 0 mod q$
- $g \leftarrow$ generador de orden $q mod q$ , tal que $g^{(p - 1) / q} \neq = 1$
- Seleccionar $p, q, g$ , ( $G = Z_{p}^{*}$ )
- $x \leftarrow Z_{q}$ , $y = g^{x} mod p$
- $p k = (p, q, g, y)$ , $s k = (p, q, g, x)$
Sign
- $k \leftarrow Z_{q}$ , $r = (g^{k} mod p) mod q$
- $s = (H (m) + x * r) * k^{- 1} mod q$
- $Sign_{s k} (m) = (r, s)$
Vrfy
- $v_{1} = (H (m) * s^{- 1}) mod q$
- $v_{2} = r * s - 1 mod q$
- $Vrfy_{p k} (m, (r, s)) = (r == g^{u_{1}} * y^{u_{2}}) mod p mod q$