RSA: Encryptie-kraak geen verrassing
Volgens beveiligingsbedrijf RSA is de factorisatie van RSA-768 geen verrassing en was dit door de toegenomen rekenkracht van computers wel te verwachten. Onderzoekers maakten vorige week bekend dat ze na twee en een half jaar brute-forcen een 768-bit RSA encryptiesleutel hadden gekraakt. "De val van RSA-768 is een mijlpaal, maar geen verrassing. Het weerspiegelt de continue groei in rekenkracht en wetenschappelijke belangstelling voor het probleem van de factorisatie, maar is geen algoritmische doorbraak", zegt Ari Juels, hoofd wetenschapper en directeur van RSA Laboratories.
Hij ziet in de publicatie van de onderzoekers wel een waarschuwing voor de technische gemeenschap. In 2007 adviseerde het Amerikaanse National Institute of Standards and Technology (NIST) dat 1024-bit RSA sleutels eind 2010 vervangen zouden moeten zijn. "De factorisatie van RSA-768 bevestigt de voorzichtigheid van deze aanbeveling." Om RSA 1024-bit te kraken zou men duizend maal de middelen nodig hebben die voor het kraken van RSA-768 nodig waren. Juels waarschuwt dat RSA-1024 binnen de komende tien jaar zal vallen en dat een goed voorziene overheidsorganisatie 1024-bit sleutels nog eerder kan kraken. Aangezien sleutels vaak jaren rondslingeren, is het volgens hem tijd om die te vervangen, bijvoorbeeld door RSA-2048.
Anker
"Natuurlijk is cryptologie niet immuun voor verrassingen. Een innovatie in de factorisatie van algoritmen of speciaal ontwikkelde factorisatie hardware of ontwikkelingen in quantum computing kunnen voorspellingen onderuit halen", merkt Juels op. "Maar te midden van de poel van onzekerheid die computerbeveiliging is, zullen de richtlijnen van NIST over RSA sleutellengtes waarschijnlijk nog vele jaren als anker dienen."
Eigenlijk is het 'kraken' van dit soort dingen een complete verspilling van natuurbronnen.
Het brute-forcen valt zowat tot op de seconde te berekenen hoelang het (maximaal) zou duren. En uiteindelijk wordt het natuurlijk gekraakt, logisch. En dit soort dingen kunnen makkelijk 50 watt extra kosten, die dus in mijn ogen verspild worden. En als de videokaart gebruikt wordt kan het zelfs nog veel meer schelen, tot wel 100 watt of misschien wel 200 watt.
Gebruik je PC dan liever voor zoiets als Folding@Home waar mogelijk in de wetenschap nog iets bereikt kan worden. Alhoewel ik daar het nut moeilijk van kan inschatten.
Onder dat kopje kun je heel veel gedragingen als pure verspilling van welke bronnen dan ook beschouwen. (bijv, je had ook kunnen fietsen/ov-en ipv de auto te nemen en een hele lijst met vergelijkbare dingen kun je bedenken).
Echter een crimineel/overheidsdienst zal niet denken in mate van verspilling maar in mate van kans op succes/winst in financiële zin,dan wel in de zin van toegang tot de gewenste informatie om een voorsprong/betere uitgangspositie te verwerven.
[Een skimmer riskeert zijn/haar skim apparatuur van pak hem beet euro 500 in de wetenschap dat deze na 1 a 2 succesvolle skim acties terug is verdient, iedere daarop volgende succesvolle skim is pure winst].
Daarnaast is het kraken van een bepaalde sleutellengte van een algoritme dat in gebruik is in bijv. betalingsverkeer relevant voor t bepalen van de mate van veiligheid voor de gegevens die mbv dat algoritme versleuteld zijn. des te sneller t versleutelde pakketje is t decoderen, des te aannemelijker het wordt dat men deze data na gaat jagen omdat het aanrekkelijker is geworden als mogelijk toegangspunt voor fraude.
Veiligheidsdiensten watertanden natuurlijk bij t sneller verlopen van een kraak poging als ze toegang willen krijgen tot versleutelde data van een crimineel. In de toekomst zal t zo zijn dat men niet moeilijk doet over t feit dat je je wachtwoord voor je crypto container niet wilt geven, het voorarrest wordt gewoon net zolang verlengd om de kraak van de container te faciliteren. Altijd fijn als dit slechts 3 a 4 dagen hoeft te zijn ipv 2 weken.
Feli dan maar?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.