Forscher vermelden neuen Rekord beim Knacken von RSA
Mit dem Knacken von 795-Bit-Schlüsseln feiert die Krypto-Community einen neuen Meilenstein auf dem Weg zur Beerdigung von RSA und Diffie Hellman.
(Bild: Elio Reichert, CC BY 4.0)
Ein internationales Forscherteam vermeldet weitere Erfolge beim Knacken von RSA & Co. Sie verkündeten auf einer Mailing-Liste, dass sie die RSA-240-Challenge gelöst haben, was das Knacken eines RSA-Schlüssels mit 795 Bit bedeutet. Die letzte RSA-Challenge mit 768 Bit wurde vor zehn Jahren gemeistert.
Die RSA-240-Challenge erforderte das Berechnen der Primfaktoren einer sehr großen Zahl:
124620366781718784065835044608106590434820374651678805754818788883289666801188210855036039570272508747509864768438458621054865537970253930571891217684318286362846948405301614416430468066875699415246993185704183030512549594371372159029236099 = 509435952285839914555051023580843714132648382024111473186660296521821206469746700620316443478873837606252372049619334517 * 244624208838318150567813139024002896653802092578931401452041221336558477095178155258218897735030590669041302045908071447
Dazu benötigten die Forscher etwa 900 CPU-Kern-Jahre auf 2.1 GHz Xeons Gold.
Bessere Knack-Verfahren
Doch der aktuelle Durchbruch weist einige Besonderheiten auf. So gaben sich die Forscher nicht mit dem Knacken von RSA zufrieden, sondern berechneten auch in einem Aufwasch mit der gleichen Hardware und Software den diskreten Logarithmus derselben Größe. Zur Erklärung: Das der RSA-Verschlüsselung zugrundeliegende mathematische Problem ist die aufwendige Faktorisierung großer Zahlen; der schwer zu berechnende diskrete Logarithmus verhindert hingegen das (einfache) Knacken von Diffie Hellman.
Beide Probleme sind verwandt und der gleichen Problemklasse zuzuordnen. Konkret bedeutet das: Wenn irgendwann das eine Problem etwa mit Quantencomputern effizient gelöst werden kann, ist theoretisch auch das andere Verfahren geknackt. Dieser neue Rekord zeigt, dass das durchaus für die Praxis gilt. Beim letzten Mal vergingen noch sieben Jahre, bis nach RSA-768 2016 auch das Knacken eines vergleichbaren DLP-Problems gelang.
Darüber hinaus betonen die Forscher, dass ihr Rekord auch einen echten Fortschritt bei den eingesetzten Verfahren bedeutet und keineswegs nur der gemäß dem Mooreschen Gesetz immer schneller werdenden Hardware zuzurechnen sei. Sie haben Tests mit der Hardware durchgeführt, die beim Knacken des 768-Bit-Logarithmus-Problems 2016 zum Einsatz kam. Demnach hätten sie den Schlüssel selbst auf dieser Hardware heute etwa dreimal schneller geknackt.
Die Zukunft von RSA
RSA und auch Diffie Hellman mit 1024-Bit-Schlüsseln sind zwar immer noch nicht geknackt, aber die Uhr tickt. Man darf nicht vergessen, dass es sich hierbei nur um die öffentliche Forschung handelt. Der größte Arbeitgeber für Kryptografen – die NSA – pflegt Durchbrüche beim Knacken von Verfahren nicht freiwillig zu veröffentlichen.
Konkret sollte man heute keine Schlüssel unter 4096 Bit mehr benutzen; noch besser sind Verfahren auf elliptischen Kurven, die bei deutlich kürzeren Schlüsseln mehr Sicherheit bieten. Mehr zum sinnvollen Einsatz von Krypto-Verfahren erklärt der heise-Security-Hintergrund-Artikel Kryptographie in der IT – Empfehlungen zu Verschlüsselung und Verfahren. (ju)
