為什麼推薦的 RSA 密鑰長度如此之長?
我正在檢查權威來源以支持我建議的最小 RSA 密鑰長度為 1024 的建議,並且震驚地發現 NIST 800-56Br1 和 FIPS 186-4 都建議至少 2048 位和 3072 位用於絕密數據。我發現根據密鑰的預期壽命,其他來源也有類似的高建議。
鑑於我可以找到有關針對 RSA 加密的攻擊的資訊,這些建議似乎過分了。據我所知,最近一次分解 RSA 數字的嘗試是成功分解 756 位 RSA 數字。那是在 2009 年,大約需要 100 台電腦和一個數學家團隊兩年的努力。這些研究人員指出,他們的方法無法擴展到更大的 RSA 數字,因此其他
$$ and unknown $$需要開發方法。 假設每增加一個位會使值的數量增加一倍,則 1024 位將具有 $ 2^{256} $ 可能值的倍數。即使考慮到對這一巨大領域的極少利用,攻擊 1024 位 RSA 密鑰所需的努力似乎也遠遠超出了目前能力的範圍。
我錯過了一些最近的攻擊嗎?我注意到我發現的一些建議早於 2009 年的論文。當沒有人攻擊過比 1024 容易得多的 756 位密鑰時,為什麼密碼分析家會認為 1024 位 RSA 密鑰是不夠的?
誰能指出我的密碼分析工作證明了 1024 位 RSA 的風險?
RSA,以及在某種程度上類似的 Diffie-Hellman,其安全性基於將大數分解為素數的難度。雖然像 AES 這樣的方案可以使用所有 2 n 個數字,但為了破解 RSA,您需要猜測素數。
由於素數要少得多,並且可以更好地猜測因子,因此我們需要比其他方案(如 AES)大得多的素數。因此,每個額外的位不會使蠻力強制它的難度加倍。如果您想冒險研究數學,可以查看 RSA 上的 Wikipedia 頁面。
雖然沒有人(我們知道)成功突破 1024,但始終保持領先地位始終很重要。而且由於蠻力並不完全是困難的2256倍,我們選擇更高的素數。誰知道未來的數學改進可能會破壞 1024 位密鑰。
使用數字域篩和二次域篩,現在很容易破解小於 1024 位甚至更多位的 RSA 密鑰,因此量子密碼學的概念將打破所有關於牢不可破安全性的神話。所以畢業到更高位的安全性是顯而易見的選擇。目前,ECDH 和 EC RSA 仍然提供一些喘息的機會。