Rzekomo udany atak na RSA-1024 w OpenSSL

dodał 5 października 2014 o 22:50 w kategorii Drobiazgi, Krypto  z tagami:

Artykuł musimy zacząć od słowa „rzekomo”, bo aż trudno uwierzyć w to, co piszemy poniżej. Albo mamy do czynienia z jednym z najciekawszych odkryć w historii branży, albo z poważnymi zaburzeniami psychicznymi autora „odkrycia”.

Rzekomo na konferencji Navaja Negra (poważna konferencja branży bezpieczeństwa w Hiszpanii) jeden z prelegentów zaprezentował udany atak na implementację algorytmu RSA w OpenSSL. Był on rzekomo w stanie, w trakcie demonstracji na żywo, odzyskać klucz prywatny na podstawie klucza publicznego RSA o długości 1024 bitów. Cała operacja zajmuje rzekomo 20 minut na laptopie, a 18 sekund w chmurze Amazona. Rzekomo problem został zgłoszony do OpenSSL.

Rzekomo metoda ataku ma polegać nie na nowym algorytmie rozbijania iloczynu na liczby pierwsze, a na możliwości wytypowania liczb pierwszych, które są potencjalnymi prawdopodobnymi kandydatami do weryfikacji – atak typu bruteforce. O możliwości takiego ataku decyduje implementacja algorytmu w OpenSSL, a nie jego wada fundamentalna. Wstępny opis ataku znajdziecie tutaj (po hiszpańsku), tam też jest film przedstawiający jego przebieg. Tutaj dyskusja na Reddicie – większość dyskutantów przychyla się do teorii o chorobie autora. prawdopodobnie kwestia wyjaśni się w ciągu parunastu godzin. Albo jest PoC, albo go nie ma :)

konferencja