今天有多大的 RSA 密鑰被認為是安全的?
我認為大約 5 年前 1024 位 RSA 密鑰被認為是安全的,但我認為這不再是真的了。2048 或 4096 鍵是否仍然可以依賴,或者我們同時獲得了太多的計算能力?
編輯:讓我們假設一個適當的填充策略。另外,我問的是簽名的安全性和數據加密的安全性。
自 2000 年以來,在給定的 $ \text{year} $ , 沒有 RSA 密鑰大於 $ (\text{year} - 2000) \cdot 32 + 512 $ 除了利用密鑰生成器的缺陷(在包括智能卡在內的實施不佳的設備中觀察到的缺陷)之外,bits 已被公開考慮。學術分解進展的這種線性估計不應用於選擇密鑰長度,以免受到高度信任的攻擊(或等效地,符合該目標的標準),這是本網站在 keylength上最能實現的目標。
目前的保理記錄是2020 年 2 月下旬的 829 位RSA-250 ,請參閱 CADO-NFS 團隊的摘要。那是在 2019 年 12 月的 795 位RSA-240之後不久,請參閱詳細論文。
我強調以上是關於學者**實際進行的攻擊。據我們所知,黑客總是落後幾年(見下文)。另一方面,可以想像,資金充足的政府機構在保理業務中領先很多年。他們有硬體和CPU時間。周圍有如此多的 1024 位密鑰,因此能夠破解這些密鑰可能是一種有價值的技術。這是對 NSA 密碼分析突破聲稱的少數可信和推測的解釋之一。此外,專用硬體總有一天會改變情況。例如 Daniel Bernstein 和 Tanja Lange 概述的:批處理 NFS(在SAC 2014 的會議記錄中;也在Cryptology ePrint Archive中,2014 年 11 月)。或者在遙遠的未來,可用於密碼分析的量子電腦。
到 2020 年,對仍在使用 1024 位 RSA 保護商業資產的系統的主要實際威脅通常**不是公共模數分解;而是通過其他方式滲透 IT 基礎設施,例如黑客攻擊,以及信任頒發給不應信任的實體的數字證書。有了 2048 位或更多位,我們可能會在 20 年內免受因式分解的威脅,並且有公平(但不是絕對)的信心。
分解進度最好顯示在圖表上(要獲取原始數據,例如製作更好的圖表,請編輯此答案)
這也顯示了這個答案開頭的線性近似,這實際上是一個偶數機率的猜想
$$ 2000-2016 $$在決定是否應該推遲歐洲數字行駛記錄儀項目以升級其 1024 位 RSA 加密(今天仍然廣泛使用)時,我在 2002 年左右私下進行了一段時間。我在 2004 年公開承諾(法語) 。圖中還顯示了我所知道的 RSA 密鑰的惡意分解的三個單一事件(除了這些事件的模仿者,或利用有缺陷的密鑰生成器):
- 1995 年的Blacknet PGP 密鑰。Alec Muffett、Paul Leyland、Arjen Lenstra 和 Jim Gillogly 秘密分解了一個 384 位 RSA 密鑰,該密鑰用於對通過許多 Usenet 新聞組發送的垃圾郵件“BlackNet 消息”進行 PGP 加密。沒有金錢損失。
- 大約在 1998 年的法國“YesCard”。一個人考慮了 321 位密鑰,然後在法國借記/貸記銀行智能卡的發行人證書中使用(儘管它顯然太短了)。通過律師的代理,他聯繫了發卡機構,試圖將他的工作貨幣化。為了證明他的觀點,他製作了一把假冒的智能卡,並將它們實際用於地鐵售票機。他被抓獲並被判緩刑 10 個月(法文判決)。2000年發布了相同密鑰的分解(法語),不久之後,假冒智能卡迅速興起。這些適用於任何 PIN,因此名稱YesCard(法語)(其他帳戶用英語)。有一段時間,它們在自動售貨機上造成了一些金錢損失。
- 2009 年的TI-83 Plus 作業系統簽名密鑰。有人將用於在此計算器中籤署可下載韌體的 512 位密鑰分解,簡化了自定義作業系統的安裝,從而使他成為機器愛好者中的英雄。沒有直接的金錢損失,但製造商顯然不開心。此後,許多 512 位密鑰(包括其他計算器的密鑰)已被考慮在內。
注意:到 2000-2005 年,512 位 RSA 不再提供實質性的安全性。儘管如此,據報導,具有這種密鑰大小的證書在 2011 年之前由官方證書頒發機構頒發,並用於簽署惡意軟體,可能是通過惡意分解。