768-битный ключ RSA успешно взломан

Группе инженеров из Японии, Швейцарии, Нидерландов и США удалось успешно вычислить данные, зашифрованные при помощи криптографического ключа стандарта RSA длиной 768 бит. По словам исследователей, после их работы в качестве надежной системы шифрования можно рассматривать только RSA-ключи длиной 1024 бита и более. Все, что имеет длину ключа менее 768 бит уже можно взломать, правда к этому придется приложить определенные усилия.

Взломать систему шифрования группе удалось в начале декабря, однако научный доклад на эту тему они представили лишь сегодня. Сами авторы метода говорят, что их работы могут быть определены как незаконные в некоторых странах, так как алгоритм RSA много где используется для государственных и военных нужд, однако исследователи говорят, что их работа – это чисто академический интерес и ни одного реального ключа, находящегося в использовании они не взломали. Хотя сделать это было бы возможно.

Как следует из описания работы, вычисление значений ключа инженеры проводили методом факторизации модульных чисел. Основан метод на сравнительно простых арифметических действиях, правда объединенных в довольно сложные формулы.

По словам Андрея Тимофеева из института CWI в Амстердаме, для своих расчетов они применяли самое обычное оборудование, доступное в продаже. Первым шагом во взломе системы стало вычисление подходящих простых множителей. Если бы это процесс проводился базовым методом перебора, то на процессоре AMD Opteron 2.2 ГГц он бы занял около 1500 лет и около 5 терабайт данных. Однако исследователи приняли решение использовать многомерные математические матрицы.

Составление кластера матриц заняло всего около 12 часов. На базе матриц размерностью 2200 на 2200 ученые определили множители, дальнейшие процессы вычисления шли значительно быстрее и уже на базе современных многоядерных процессоров. В итоге группе удалось вычислить 232-цифровой ключ, открывающий доступ к зашифрованным данным.

Исследователи уверены, что используя их метод факторизации, взломать 512-битный RSA-ключ можно было еще лет 5-10 назад.

Подробные данные о работе можно получить по адресу file http://eprint.iacr.org/2010/006.pdf

Комментарии

—	*Гость* (11/01/2010 03:55) <#>

Вообще говоря, уже не новость.

—	*Гость* (11/01/2010 04:00) <#>

Сами авторы метода говорят, что их работы могут быть определены как незаконные в некоторых странах

Незаконно только то, что явно запрещено. "Взлом ключа" – это не взлом компьютерной системы, это решение абстрактной математической задачи численными методами. Вот если бы они, факторизовав реально используемый ключ, сами получили несанкционированный доступ к информации – было бы другое дело (выложить он-паблик – не в счёт, по тем же причинам).

—	*Гость* (15/01/2010 01:04) <#>

Интересно, а сколько времени ушло на разложение и сколько компьютеров они использовали?

—	*Гость* (26/01/2010 13:25) <#>

Интересно, а сколько времени ушло на разложение и сколько компьютеров они использовали?

Присоединяюсь к вопросу . Есть где нибудь ссылки на этот счёт?

—	unknown (27/01/2010 09:17) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

На каждом этапе использовалось разное число выч. мощностей.
Подробно это в работе расписано.

А в конце пэдээфки, на 22-ой странице на которую дана ссылка, есть таблица всех организаций, сколько они предоставли кластеров, сколько было узлов в кластерах, памяти и т.д.

—	*Гость* (31/01/2010 15:05) <#>

Я тут чуток перевел, так вот они сначала полгода на 80 процессорах провели предварительную селекцию (построили таблицы для просеивания), а затем два года на нескольких сотнях машин провели само просеивание. И как у них язык после этого поворачивается говорить, что RSA 768 ненадежен, и что в течение 3-4 лет надо отходить от RSA 1024? Даже для организованной группы взломщиков RSA 768 не доступен, не говоря уже о RSA 1024!

—	unknown (31/01/2010 19:20) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

>И как у них язык после этого поворачивается говорить, что RSA 768 ненадежен, и что в течение 3-4 лет надо отходить от RSA 1024?

АНБ дало НИСТу рекомендации выпустить указания: не вводить новых систем с RSA и DH 1024-ключом в 2010 году, а старые переводить на бОльшие размеры ключей или ECC. Госорганы США, ответственные за стандартизацию, считают, что им виднее.

—	*Гость* (31/01/2010 20:08) <#>

Сам работаю в головном НИИ ФСТЭК – мы тоже даем кучу рекомендаций, чтобы оправдать свое сущестование))

—	unknown (31/01/2010 20:33) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

[offtop]
и по таким же видимо причинам, как и НИСТ выдаёте сертификаты уровней безопасности Винде и прочей ерунде...
[/offtop]

—	*Гость* (02/02/2010 22:22) <#>

В управление занимающееся сертификацией у большинства сотрудников института нат даже права доступа, так, что как они там сертифицируют и по каким причинам не знаю. Я занимаюсь прикладными исследованиями и разработкой рекомендаций...

—	unknown (02/02/2010 22:43, исправлен 02/02/2010 22:49) профиль/связь <#> комментариев: 9796 документов: 488 редакций: 5664

Если есть интересные новые открытые материалы по отечественным криптостандартам — можете нас информировать.

А вообще был продемонстрирован практический взлом — хоть миллион компьютеров под это задействовать, неважно. Может злоумышленники смогут организовать ботнет или арендовать время на суперкомпьютере.

И зарубежные государства тоже считаются злоумышленниками.

АНБ делает ставку на всё большее внедрение гражданской криптографии в военной сфере, в оборудование связи на поле боя встраивают параллельно с секретными алгоритмами тот же AES, сети минобороны США и каналы "десятиминутной доставки" сообщений для президента используют сертификаты X.509 и т.д.

Злоумышленник — это и правительства ведущих государств мира, границ между гражданской и военной криптографией всё меньше.

Ваша оценка документа [показать результаты]