签名算法在TLS_DH_*密码套件中的用途是什么？

Question

根据RFC5246 A.5，有密码套房，TLS_DH_RSA_*和TLS_DH_DSS_*。

签名算法RSA是如何/在哪里重新定位的。来自密码套件的DSA在使用(非电子信息) Diffie-Hellman密钥交换时发挥作用？

据我了解，在使用(非电子信息) DH时，在TLS握手期间客户端与服务器之间的密钥交换如下(假设没有客户端证书)：

1. 服务器以ServerCertificate消息的形式向客户端发送证书。证书包括DH参数p，g和服务器的公钥组成g^x mod p (RFC3279，2.3.3，RFC 5246，8.1.2)。
2. 在验证证书之后，客户端选择私有y，计算g^y mod p，并将ClientKeyExchange消息中的公钥组成g^y mod p发送到服务器。
3. 客户端和服务器都知道公共私钥g^(xy) mod p。

据我所见，这里不需要签名(当然，直到证书本身的签名为止)，因为公共可见的g^y mod p由于计算离散对数的困难而无助于攻击者。

添加:没有重复，因为注释中的链接问题要求转发安全性，而这个问题询问密码套件的表示法。

Answer 1

正如@dave_thompson_085在上面的评论中所指出的，名称DH_DSS、DH_RSA、ECDH_ECDSA和ECDH_RSA都是历史的(参见RFC5246，7.4.2)。实际上，签名算法RSA、DSS在这些密码套件的名称中没有任何意义。

但是，在TL1.1中，正如@StackzOfZtuff所指出的那样，在DH_RSA密码套件中，必须使用由RSA签名的服务器证书(其他套件类似)(参见RFC2246，7.4.2)。