l+f: Crypto-Startup knackt angeblich RSA – und wird zur Lachnummer

In einer Live-Demo knackte Crown Sterling einen RSA-Schlüssel, um die Effizienz ihres Verfahrens zu zeigen. Die Antwort der Security-Community folgte prompt.

In Pocket speichern vorlesen Druckansicht 142 Kommentare lesen
l+f: Ransomware-Erpesser schlagen 400.000 Dollar aus und gehen mit leeren Händen

(Bild: Screenshot Crown Sterling Website)

Lesezeit: 2 Min.

(Bild: heise)

Die Tage von RSA sind gezählt. Doch ganz so schlimm wie es das Crypto-Startup Crown Sterling glauben machen wollte, ist es dann doch nicht. Die knackten zwar tatsächlich einen RSA-Schlüssel live und vor Publikum. Doch es handelte sich dabei um einen 256-Bit-Schlüssel – also eher ein Spielzeug-Schlüsselchen.

Zur Einordnung: Bereits seit Jahren gilt die Empfehlung, keine Schlüssel unter 2048-Bit mehr zu verwenden; alles unter 1024-Bit galt schon vor zehn Jahren als gefährlich. Die ursprüngliche RSA-Beschreibung von Rivest Shamir und Adelman enthielt eine Challenge mit einem 426-Bit-Schlüssel, der 1994 geknackt wurde, wie Crypto-Experte Bruce Schneier in seinem Blog erklärte. Der Security-Experte Robert Graham demonstrierte, dass und wie man einen beliebigen 256-Bit-Schlüssel mit dem Open-Source-Tool Msieve in etwa 100 Sekunden auf einer einfachen Desktop-CPU faktorisieren kann.

Mit den von Crown Sterling gefeierten "Novel Geometric Methods for Semiprime Factorization" gelang das auf einem Laptop wohl in 50 Sekunden. Doch es ist anzunehmen, dass dieses Laptop mehr als eine CPU zur Verfügung hatte und auch tatsächlich nutzte. Auf jeden Fall erscheint das Potenzial des Verfahrens angesichts von Grahams Demo nicht mehr ganz so beeindruckend.

Übrigens, wer Spaß am Bullshit-Bingo hat, kann sich an der Crown-Sterling-Website ergötzen. Nur ein Beispiel: "TIME AI™ is a dynamic non-factor based quantum encryption utilizing multidimensional encryption technology including time, music’s infinite variability, artificial intelligence, and most notably mathematical constants to generate entangled key pairs."

Mehr Infos

lost+found

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht

(ju)