Voor applicaties die langdurige beveiliging nodig hebben, of die data herbergen die een hoge financiële waarde hebben, is het aan te raden RSA-sleutels te gebruiken die langer zijn dan 768 bits. In de meeste gevallen hoeft dat echter niet. Dat zegt beveiligingsconsultant Rene Pieete van RSA, de beveiligingsafdeling van EMC die het RSA-patent in handen heeft.
Pieete: 'Hoewel voor veel applicaties al geadviseerd wordt om minimaal met een 1024 bits-sleutel te werken zijn er veel applicaties waarvoor de 768 bits-sleutel meer dan adequaat is.' Pieete reageert daarmee op het nieuws dat onderzoekers een RSA-sleutel van 768-bits in priemfactoren hebben ontbonden.
RSA Security meldt op haar website dat dit rekenrecord niet betekent dat het RSA-cryptosysteem gebroken is. 'Het betekent zelfs niet dat sleutels met dezelfde lengte als het in priemfactoren ontbonden getal onbruikbaar zijn geworden. Het geeft enkel een idee van de hoeveelheid werk die nodig is om een sleutel van een bepaalde lengte te kraken.'
1700 2.2GHz cores
Om de 768-bits RSA-sleutel te ontbinden in priemfactoren hebben de onderzoekers gedurende een periode van tweeënhalf jaar gebruik gemaakt van duizenden computers, op verschillende locaties. De totale hoeveelheid rekentijd die hiervoor gebruikt is, staat gelijk aan het gedurende een heel jaar onafgebroken op topsnelheid laten rekenen van 1700 2.2GHz cores.
De onderzoekers stellen dat als de trend van de afgelopen tien jaar zich voortzet de huidige standaard van 1024-bits RSA-sleutels over tien jaar even kwetsbaar zijn als 768-bits RSA-sleutels dat nu zijn. Dit resultaat onderstreept volgens het onderzoeksinstituut het belang om 1024-bits sleutels geleidelijk te vervangen door sleutels van langere lengte.
Hoewel ik vaak tegen bangmakerij ben vind ik dit toch wel kort door de bocht.
Het klopt dat de RSA encryptie inderdaad niet in zijn geheel ‘gekraakt’ is en dat het alleen maar om 1 key gaat die is ‘gekraakt’.
Het punt waar ik wat moeite mee heb is dat men doet voorkomen dat het er helemaal niet toe doet en dat er zo ontzettend veel computers voor nodig zijn om een dergelijke encryptie sleutel te kraken.
Feit blijft dat er met het kraken van 1 key een tijd gekoppeld kan worden aan het kraken van de encryptie. Tel daar bij op dat computers steeds sneller worden en je kunt concluderen dat de tijd die er nu voor nodig was (2.5jaar) alleen maar korter zal worden.
Je kunt dus nu een afweging maken: als je nu iets encrypt is de kans aanwezig dat binnen 2.5 jaar je encryptiesleutel gekraakt kan worden.
Hiermee zeg je dus dat je eigenlijk een upgrade-window voor jezelf moet stellen van 2.5 jaar.
Misschien is ook dit iets te kort door de bocht. Maar als je de wet van Moore er bij pakt denk ik dat het helemaal niet slecht is om er eens stil bij te staan 🙂
Ik ben het met Mark eens. Natuurlijk is het cryptosysteem niet gekraakt, maar DES is ook niet gekraakt maar mag toch niet meer worden gebruikt aangezien de sleutellengte zodanig is dat het ontsleutelen binnen afzienbare tijd “brute force” kan worden gedaan.
De opmerking dat 1700 cores een jaar lang moeten stampen om de sleutel te kraken betekent dat honderdduizend cores dit in ongeveer 150 uur kunnen. Nu lijkt 100000 cores heel erg veel, maar dat valt best wel mee. Persoonlijk ga ik er vanuit dat er diverse clubs op de wereld zijn daar wel 100,000 cores voor vrij kunnen maken. Ik werk zelf bij zo’n club 🙂
Nou dat is nog maar de vraag of het niet gekraakt is.
De wiskunde erachter is dan wel niet gekraakt.
Maar als beide priem factoren gevonden zijn, en de hidden key ontmaskerd is, dan heb je een techniek die hetzelfde kan doen met de hidden keys van bv root certificate servers, ofwel in theorie kan je ook die dan kraken. dan is de wiskunde niet “lek” maar de database is volledig open. ’t is dus maar hoe je het bekijk. Overigens met de komst van quantum computers is de wiskundige problematiek hierachter snel opgelost.
Dat is een grotere vrees dan deze ene aanval.
Misschien wordt het tijd om over te stappen op algoritmen die geen gebruik maken van priemgetallen, zoals elliptic curve cryptography.
Het probleem is wel dat volgens mij quantum computers behalve priemgetallen factureren ook discrete logaritmen kunnen bepalen. (http://arxiv.org/abs/quant-ph/9508027)
RSA is niet gekraakt, er is een sleutel op een efficiënte manier berekend. Houd er rekening mee dat het gedaan is met relatief goedkope middelen. Bepaalde clubs kunnen al veel langere sleutels berekenen als ze dat zouden willen (als de informatie die beschermd is dat waard is).
Quantum computing is nog veel leuker. Volg http://en.wikipedia.org/wiki/Timeline_of_quantum_computing om de voortgang te volgen. Hier krijgen hoogst waarschijnlijk universiteiten de ‘rekenkracht’ met root-certificaten. Natuurlijk zal iedereen verrast, verbaasd en geschokt zijn als dat ook daadwerkelijk gebeurd…