image

RSA: Encryptie-kraak geen verrassing

dinsdag 12 januari 2010, 10:48 door Redactie, 7 reacties

Volgens beveiligingsbedrijf RSA is de factorisatie van RSA-768 geen verrassing en was dit door de toegenomen rekenkracht van computers wel te verwachten. Onderzoekers maakten vorige week bekend dat ze na twee en een half jaar brute-forcen een 768-bit RSA encryptiesleutel hadden gekraakt. "De val van RSA-768 is een mijlpaal, maar geen verrassing. Het weerspiegelt de continue groei in rekenkracht en wetenschappelijke belangstelling voor het probleem van de factorisatie, maar is geen algoritmische doorbraak", zegt Ari Juels, hoofd wetenschapper en directeur van RSA Laboratories.

Hij ziet in de publicatie van de onderzoekers wel een waarschuwing voor de technische gemeenschap. In 2007 adviseerde het Amerikaanse National Institute of Standards and Technology (NIST) dat 1024-bit RSA sleutels eind 2010 vervangen zouden moeten zijn. "De factorisatie van RSA-768 bevestigt de voorzichtigheid van deze aanbeveling." Om RSA 1024-bit te kraken zou men duizend maal de middelen nodig hebben die voor het kraken van RSA-768 nodig waren. Juels waarschuwt dat RSA-1024 binnen de komende tien jaar zal vallen en dat een goed voorziene overheidsorganisatie 1024-bit sleutels nog eerder kan kraken. Aangezien sleutels vaak jaren rondslingeren, is het volgens hem tijd om die te vervangen, bijvoorbeeld door RSA-2048.

Anker
"Natuurlijk is cryptologie niet immuun voor verrassingen. Een innovatie in de factorisatie van algoritmen of speciaal ontwikkelde factorisatie hardware of ontwikkelingen in quantum computing kunnen voorspellingen onderuit halen", merkt Juels op. "Maar te midden van de poel van onzekerheid die computerbeveiliging is, zullen de richtlijnen van NIST over RSA sleutellengtes waarschijnlijk nog vele jaren als anker dienen."

Reacties (7)
12-01-2010, 11:13 door Anoniem
Let op, onderstaande is mijn mening!

Eigenlijk is het 'kraken' van dit soort dingen een complete verspilling van natuurbronnen.

Het brute-forcen valt zowat tot op de seconde te berekenen hoelang het (maximaal) zou duren. En uiteindelijk wordt het natuurlijk gekraakt, logisch. En dit soort dingen kunnen makkelijk 50 watt extra kosten, die dus in mijn ogen verspild worden. En als de videokaart gebruikt wordt kan het zelfs nog veel meer schelen, tot wel 100 watt of misschien wel 200 watt.

Gebruik je PC dan liever voor zoiets als Folding@Home waar mogelijk in de wetenschap nog iets bereikt kan worden. Alhoewel ik daar het nut moeilijk van kan inschatten.
12-01-2010, 12:09 door Anoniem
@ anoniem 11:13

Onder dat kopje kun je heel veel gedragingen als pure verspilling van welke bronnen dan ook beschouwen. (bijv, je had ook kunnen fietsen/ov-en ipv de auto te nemen en een hele lijst met vergelijkbare dingen kun je bedenken).

Echter een crimineel/overheidsdienst zal niet denken in mate van verspilling maar in mate van kans op succes/winst in financiële zin,dan wel in de zin van toegang tot de gewenste informatie om een voorsprong/betere uitgangspositie te verwerven.
[Een skimmer riskeert zijn/haar skim apparatuur van pak hem beet euro 500 in de wetenschap dat deze na 1 a 2 succesvolle skim acties terug is verdient, iedere daarop volgende succesvolle skim is pure winst].

Daarnaast is het kraken van een bepaalde sleutellengte van een algoritme dat in gebruik is in bijv. betalingsverkeer relevant voor t bepalen van de mate van veiligheid voor de gegevens die mbv dat algoritme versleuteld zijn. des te sneller t versleutelde pakketje is t decoderen, des te aannemelijker het wordt dat men deze data na gaat jagen omdat het aanrekkelijker is geworden als mogelijk toegangspunt voor fraude.
Veiligheidsdiensten watertanden natuurlijk bij t sneller verlopen van een kraak poging als ze toegang willen krijgen tot versleutelde data van een crimineel. In de toekomst zal t zo zijn dat men niet moeilijk doet over t feit dat je je wachtwoord voor je crypto container niet wilt geven, het voorarrest wordt gewoon net zolang verlengd om de kraak van de container te faciliteren. Altijd fijn als dit slechts 3 a 4 dagen hoeft te zijn ipv 2 weken.
12-01-2010, 12:30 door Anoniem
Het is naar mijn idee wel van belang om dit te doen, aangezien je zo kunt bepalen hoeveel middelen er nodig zijn om de kraak uit te voeren, maw wat de 'kostprijs' van de kraak is. Als die laag genoeg is, kun je wat mij betreft het algoritme afschrijven (denk aan WEP).
12-01-2010, 12:59 door Anoniem
De Zon straalt het grootste deel van haar energie ongebruikt het heelal in, en het gros dat op aarde valt wordt ook niet gebruikt. Who cares of er dan een CPU wat extra staat te verstoken?
12-01-2010, 14:20 door wimbo
Complete verspilling of niet. Het zorgt er in ieder geval wel voor dat mensen met hun neus op de feiten gedrukt worden. De theoretische mogelijkheid om het te kraken is nu in de praktijk aangetoond. Als je dit soort zaken niet test/toetst hadden we waarschijnlijk nog ergens in de middeleeuwen geleefd.
12-01-2010, 19:49 door Anoniem
Ik snap niet waarom ze die sleutel gewoon niet elke maand vervangen :S ?
15-01-2010, 07:46 door spatieman
ehm.
Feli dan maar?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.