Door Erik van Straten: Door Anoniem: Als je geen fixed-length veld gebruikt, kun je de lengte van getallen niet uitdrukken door (willekeurig) voorloopnullen mee te nemen, vandaar dat ik zeg MSB=1 .
Jouw stelling is dus dat van elk binair getal (ongelijk nul) waarvan alle voorloopnullen zijn verwijderd, het most significant bit 1 is?
Ja duh...
Wel, net zo duh als dat de LSB van een priemgetal 1 is, daarom stond er ook een smiley achter beide beweringen...
Als je trouwens wel met fixed-length werkt, is "lengte van het getal" inclusief voorloopnullen ook gewoon zinloos .
Dat hangt helemaal van de context af. Voor de
getalrepresentatie boeit het inderdaad niet, maar je hebt zelf de term "vijver" geïntroduceerd. De kans dat twee afzonderlijk gegenereerde random getallen de waarde 1 opleveren is aanzienlijk anders als de vijver 1 bit of 512 bit groot is. Je kunt van het resultaat 1 pas zeggen hoe random het (mogelijk) was als je erbij vertelt hoe groot de vijver was waar de random generator uit mocht kiezen.
De context hier was en is RSA encryptie en wiskunde, daar heeft "lengte van een getal" echt maar één betekenis.
De term "vijver om uit te vissen" heb ik gebruikt voor het aantal priemgetallen met een lengte van 512 bits.
(zie onder voor hoeveel, aka hoe groot die vijver is)
Ik ga nog even terug naar een eerder antwoord van je:
Door Anoniem op 15-02-2012 om 22:32: Anders gezegd, het paper van Lenstra et.al presenteert "12720 1024-bit RSA keys ontbonden te hebben".
Dat, terwijl het ontbinden van één 1024 bit RSA key (die wel correct gegenereerd is) voorlopig nog buiten bereik ligt.
Dacht het niet, we schrijven ruim 2 jaar na het factoriseren van 768 bit (zie
http://eprint.iacr.org/2010/006.pdf):
By Thorsten Kleinjung, Kazumaro Aoki, Jens Franke, Arjen K.Lenstra, Emmanuel Thomé, Joppe W.Bos, Pierrick Gaudry, Alexander Kruppa, Peter L.Montgomery, Dag Arne Osvik, Herman te Riele, Andrey Timofeev, and Paul Zimmermann: Factorization of a 768-bit RSA modulus version 1.4, February 18, 2010
1 Introduction
On December 12, 2009, we factored the 768-bit, 232-digit number RSA-768 by the number field sieve (NFS, [20]). The number RSA-768 was taken from the now obsolete RSA Challenge list [38] as a representative 768-bit RSA modulus (cf. [37]). This result is a record for factoring general integers. Factoring a 1024-bit RSA modulus would be about a thousand times harder, and a 768-bit RSA modulus is several thousands times harder to factor than a 512-bit one.
Because the first factorization of a 512-bit RSA modulus was reported only a decade ago (cf. [7]) it is not unreasonable to expect that 1024-bit RSA moduli can be factored well within the next decade by an academic effort such as ours or the one in [7]. Thus, it would be prudent to phase out usage of 1024-bit RSA within the next three to four years.
We zitten er nog steeds vrij ruim vanaf.
Het is aardig speculeren hoever je komt met N jaren werk en budgetten van het formaat "Irak oorlog" (allemaal ingezet op het ontbinden van één enkele sleutel), maar het RSA-1024 is nog wel even buiten bereik.
De al eerder genoemde Bob Silverman heeft er wel eens in enig detail over gepost, en in welke mate _alle_ resources (niet alleen cpu cycles) groeien met een groter getal. Zoals geheugen van individuele computers in de parallele stap, en nauw gekoppeld geheugen op de computer die de laatste stap van een factorisatie (matrix oplossen) moet doen.
Nog een paar racks vol met GPU kaarten helpen daaraan niet zo veel.
Vanuit theoretisch perspectief is dat "slechts" een constante factor, maar het maakt in het uitvoeren veel verschil.
Dit is een gebied wat ik met enige belangstelling volg, (RSA-768 had ik zien langskomen destijds) en waar ik nog geen startend RSA-1024 project ken.
Vanuit het perspectief "misschien ergens in komend decennium iets wat een jaar of meer continue werk vergt voor een enkele key" is "12,720 RSA keys ontbonden" dan andere koek, en nogal duidelijk dat er ergens een shortcut was.
Door Anoniem: Het is mij altijd een bron van verbazing, en zo af en toe ergernis, hoe lang er (vaak juist security mensen) geneuzeld wordt over crypto keylengtes en zeer hypothetische brute-force aanvallen en hoe weinig over implementatie, bugs en alle manieren waarop in de praktijk werkelijk aanvallers binnen komen.
Ik vrees dat dat is omdat, ongeveer als enige, keylengtes een mooi kwantificeerbaar niveau van veiligheid geven, en dat er over de rest geen harde uitspraken te doen zijn.
Kan zijn, maar van jou heb ik geen verklaring gezien waarom de hoogste byte van 1024 bit RSA moduli altijd >= 0x80 lijkt te zijn, en strong primes winpel je weg. Allemaal mooi en aardig, maar stel dat we te maken hebben met een perfecte PRNG, hoe groot is dan de vijver waar deze bij het genereren van een maximaal 512 bit groot priemgetal in de praktijk uit kan vissen?
Ik heb niet in detail gekeken naar het opslagformaat wat gebruikt wordt voor de modulus, maar ga gewoon nogmaals uit van msb=1 ?.
Verscholen achter de brede rug van Rivest en Silverman (et.al) wuif ik inderdaad strong primes als niet nuttig weg ja.
Zelfs _als_ je je zou beperken tot strong primes zijn ze overigens niet zo zeldzaam dat je keuze enorm beperkt wordt.
Hoeveel priemgetallen van (precies) 512 bits (ja, msb=1) er zijn had ik, in zekere zin, al aangegeven.
Ik schreef (vrijdag 10:30) dat er x/ln(x) priemgetallen zijn <= x.
Dat is het Prime Number Theorem, overigens.
Vul daar x=2^512 in, vul x=2^511 in, en trek van elkaar af.
Dat levert het formaat getal waarbij "collision (cq duplicaat) op goed geluk" gewoon van de kaart is gevallen en vervangen door bewust on onbewust slechte RNG.