zurück zum Artikel

l+f: Crypto-Startup knackt angeblich RSA – und wird zur Lachnummer

Jürgen Schmidt
l+f: Ransomware-Erpesser schlagen 400.000 Dollar aus und gehen mit leeren Händen

(Bild: Screenshot Crown Sterling Website)

In einer Live-Demo knackte Crown Sterling einen RSA-Schlüssel, um die Effizienz ihres Verfahrens zu zeigen. Die Antwort der Security-Community folgte prompt.

Lost and Found Logo

(Bild: heise)

Die Tage von RSA sind gezählt. Doch ganz so schlimm wie es das Crypto-Startup Crown Sterling glauben machen wollte, ist es dann doch nicht. Die knackten zwar tatsächlich einen RSA-Schlüssel live und vor Publikum. Doch es handelte sich dabei um einen 256-Bit-Schlüssel – also eher ein Spielzeug-Schlüsselchen.

Zur Einordnung: Bereits seit Jahren gilt die Empfehlung, keine Schlüssel unter 2048-Bit mehr zu verwenden; alles unter 1024-Bit galt schon vor zehn Jahren als gefährlich. Die ursprüngliche RSA-Beschreibung von Rivest Shamir und Adelman enthielt eine Challenge mit einem 426-Bit-Schlüssel, der 1994 geknackt wurde, wie Crypto-Experte Bruce Schneier in seinem Blog [1] erklärte. Der Security-Experte Robert Graham demonstrierte [2], dass und wie man einen beliebigen 256-Bit-Schlüssel mit dem Open-Source-Tool Msieve [3] in etwa 100 Sekunden auf einer einfachen Desktop-CPU faktorisieren kann.

Mit den von Crown Sterling gefeierten [4] "Novel Geometric Methods for Semiprime Factorization" gelang das auf einem Laptop wohl in 50 Sekunden. Doch es ist anzunehmen, dass dieses Laptop mehr als eine CPU zur Verfügung hatte und auch tatsächlich nutzte. Auf jeden Fall erscheint das Potenzial des Verfahrens angesichts von Grahams Demo nicht mehr ganz so beeindruckend.

Übrigens, wer Spaß am Bullshit-Bingo hat, kann sich an der Crown-Sterling-Website [5] ergötzen. Nur ein Beispiel: "TIME AI™ is a dynamic non-factor based quantum encryption utilizing multidimensional encryption technology including time, music’s infinite variability, artificial intelligence, and most notably mathematical constants to generate entangled key pairs."

Mehr Infos

lost+found [6]

Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.

Alle l+f Meldungen in der Übersicht [7]

(ju [8])

URL dieses Artikels:
https://www.heise.de/-4536268

Links in diesem Artikel:
[1] https://www.schneier.com/blog/archives/2019/09/crown_sterling_.html
[2] https://twitter.com/ErrataRob/status/1175045949367967746?s=20
[3] https://github.com/azet/msieve
[4] http://www.crownsterling.io/2019/09/crown-sterling-decrypts-rsa-asymmetric-public-keys-in-live-demonstration/
[5] https://timeai.io/
[6] https://www.heise.de/thema/lost%2Bfound
[7] https://www.heise.de/thema/lost%2Bfound
[8] mailto:ju@ct.de

Copyright © 2019 Heise Medien