768-bitowy klucz RSA złamany

Nie ma już bezpiecznych rozwiązań, bo nawet bardzo silne zostaną złamane przez superkomputery, a niedługo "chmura" wejdzie do codziennego użytku i prawie każdy będzie mógł złamać taki klucz.

Brute forcem to se każdy może... ;P

A na poważnie: każdy algorytm szyfrowania da się złamać. Tylko czasem zajmie to zbyt dużo czasu. A że komputery są coraz szybsze, trzeba stosować coraz lepsze metody. Trzeba.

Polak złamał enigme, polak złamie RS 1024.

tbsone, Polak nie zlamie, bo nie ma czym.

No nie dobrze, nie dobrze...

A mnie jedynie ciekawi, czy nie lepiej byłoby te moce obliczeniowe przeznaczyć na przykład na szukanie leku na raka...

@ inż. Mamoń
jak to czym ?! Kalkulatorem !!

Polak ma czym. Poczytaj o najnowszym data center w Trójmieście.

No raczej coraz szybciej będzie można łamać takie zabezpieczenia dzięki rozwojowi GPGPU. Wystarczy napisać program do łamania używający OpenCL i uruchomić na kilku(nastu) GPU i to będzie dużo szybsze niż setka procesorów CPU...

Dowód na to -> Avatar, film wy-renderowany GPU (renderowanie 3ds max itp. zawsze było na CPU, do teraz). Gdyby renderowali to na CPU zajęło by im to pewnie kilka lat, a i tak jedna scenę renderowali 1,5 dnia. Fakt ze użyli wolnych serwerów Tesli (~4TFLOPa na serwer z 4GPU... HD5970 ma tyle jedna (na 2 GPU) ...) ale pewnie mieli ich nie jeden.

Podsumowując rozwój GPGPU wymusi używanie lepszych zabezpieczeń, bo złamanie takich RSA niedługo będzie potrafić zwykła karta graficzna end-usera, bo co generacje GPU, ich wydajność rośnie dwukrotnie (HD4870 ~1.2 TFLOP, HD5870 ~2.5 TFLOP).

Każdy bit powoduje podwojenie czasu deszyfrowania, np. 769 bitów to dwa razy więcej kombinacji niż 768 itd. Czyli do 1024 bitów jeszcze daleko.

@virusek_ - rok temu nie było jeszcze HD5870. Zdjęcia do filmu trwają od pół roku do dwóch lat, następny rok trwa montaż filmu. Z efektami specjalnymi więcej.

@inż. Mamoń

Owszem, Polska jest technologicznie biedna. Ale najwięcej naszych naukowców pracuje poza granicami kraju :P a tak serio to faktycznie mamy małe szanse na powodzenie w tej dziedzinie.

Zastanawiam się, jaki cel ma łamanie coraz dłuższych kluczy. Bo czy tak długi klucz ma zastosowanie praktyczne? Ktoś go stosuje?

@MaRa

Zdjęcia do Avatara zostały zrobione w 2007, od tamtej pory pracowano nad złożeniem wszystkiego w zadowalającą całość. A i tak powinni jeszcze trochę poczekać.

@MaRa

Fakt, co nie zmienia faktu ze nvidia jest w tyle, zresztą co tu porównywać Tesle używana do filmów i innych multimedialnych zastosowań - i to pewnie ze względu na CUDA. ATI używają już do obliczeń dość długo, 2560 x HD4870x2 jest w 5tym (wg. TOP500) najlepszym superkomputerze świata (1-wszym, bo linpack nie potrafi używać GPU, a tam używają danych z tego benchmarka, całość z GPU ma ponad 1PFLOP).

Ale nie ważne co jest szybsze, bo i tak GPU dziś jest dużo szybsze od nawet najszybszych CPU w takich zastosowaniach jak obliczenia równolegle.

czym otworzyć hhttp://

@Thindwa
"Zastanawiam się, jaki cel ma łamanie coraz dłuższych kluczy."

By wiedzieć na ile jest się bezpiecznym. Każdy lekarz wie, że profilaktyka jest najlepszą ochroną.

@virusek_
A mi się obiło o uszy, że GPU uzyskało szybkość kosztem dokładności, ale nie pamiętam o co dokładnie biegało. Możesz to rozwinąć?

@ .bv Otwieraczem do piwa

@borzole

Dane podawane dziś, np. 5 TFLOP dla HD5870, to jest pojedyncza precyzja (single, float). HD4xxx i niższe modele HD5xxx nie obsługują podwójnej. Sewery Tesla S1070 (te używane do Avatara) posiadają zgodność z podwójna precyzja w standardzie IEEE 754 (tak jak obecnie najwyższe modele ATI HD5xxx) ale wydajność podwójnej precyzji nadal jest bardzo niska, i S1070 ma tylko ~350 GFLOP w podwójnej precyzji. Co do ATI HD57xx/HD59xx nie jestem pewny, ale wg. architektury wewnętrznej która AMD opisywało, jednostka VEC5 potrafi 4 single lub 1 double na tak zegara, wiec podwójna precyzja pewnie jest 4x wolniejsza.

Ale wiedz ze SSE2/3/4 w CPU, to tez oszustwo, obniża to precyzje kosztem wydajności, choć może działać odwrotnie - zależy jak kto chce.

oczywiście na takt zegara a nie tak zegara... dziwne ze tu nie ma edycji wpisów dla osób zarejestrowanych ....

Jak powstaną komputery kwantowe to obecne szyfrowania będą złamane w kilka sekund.

Nie znam się na tym i mam pytanie: czy opracowanie klucza jest trudniejsze niż jego złamanie? Jeżeli nie, dlaczego nie mogą na zapas zrobić technologii 65536 bitowej? Czemu kolejne klucze różnią się relatywnie małą ilością bitów?

@klik9

Mogą, ale obecne komputery będą weryfikować takie klucze kilka dni/tygodni....

A jak napisał @MaRa, dodanie 1 bita to 2x tyle kombinacji.

Przewidywania RSA Laboratories moim zdaniem były złe bo wzięli pewnie pod uwagę same CPU, nie uważali z GPU może mieć zostawanie przy łamaniu haseł, a jednak czas pokazał że może... (sam widziałem łamacz MD5 w CUDA i OpenCL, któremu na mizernej grafie uda się złamać MD5 w ~10-20minut...)

@ble ble ble

A gdyby babcia miała wąsy...
Na razie ich nie ma a GPGPU jest realne i obecne w większości kart grafiki z przynajmniej DX 10 (prócz Intela).

Ciekawe ile by się pobierał taki programik na 5 TB przy standardowym łączu neostrady :)

@ble ble ble
ale wiesz, że prędzej skolonizujemy marsa niż zbudujemy kwantowy klaster? :)

@Qball
nie wiem co tam masz za łączę, ale nawet w cimno możesz sobie z proporcji policzyć:

5TB/x = (jakiś program pobrany z dp ) / (ile to trwało)

zakładam, że wzór przekształcić potrafisz ;P

@borzole: nie był bym taki pewien. Komputery kwanowe już są tworzone. Co prawda na razie tylko w laboratoriach i o niewielkiej mocy obliczeniowej, ale jest tylko kwestią czasu, kiedy będą stosowane w praktyce.

Ciekaw jestem czy kiedys zostanie złamany Triple DES... No ale to zajelo by im chyba cale zycie i tego jeszcze by brakło... osobiscie uzywam Triple DES i polecam innym. Jest bardzo mocnym algorytmem kryptograficznym!

****?
Procek pracował 1500lat? a ja myślałem że lata 20 to postęp w świecie IT.....

Co do komputerów kwantowych to raczej nie za szybko (wymagają temp. bliskie zeru bezwzględnemu ) , ale optyczne to już prędzej, też są diabelnie szybkie, i do tego teoretycznie energooszczędne.

@JankoMilicjant
A to ciekawe, masz na myśli użeranie się z pojedynczymi fotonami, by je złapać w pułapkę? Ciężko to nazwać komputerem. Kolonizacja Marsa jest równie zaawansowana, w końcu dwa łaziki już tam mieszkają :D Bodajże "Duch" i "Mrok", nie wróć "Sposobność"

@virusek_ ATI HD48xx ma podwójną precyzję i wydajność daleko większą niż CUDA.

Może łamacza dla RSA nie ma, za to na WPA jest i stary GF8800GTX łamie hasło 56x szybciej od najlepszego C2D i prawie tak samo szybko w stosunku do i7.

Ciekawe kiedy złamią AESa

Tylko, że to nie był atak BruteForce...
"This paper reports on the factorization of the 768-bit number RSA-768 bythenum-ber ?eld sieve factoring method and discusses some implications for RSA"

W tym podlinkowanym PDF jest wszystko ładnie opisane.

" Jako ciekawostkę można podać, że wynik pracy algorytmów deszyfrujących zajmował aż 5 TB. "

To dane cząstkowe potrzebne podczas pracy przy użyciu SNFS ( punkt 2.1 w PDF ).

Fatalnie przetlumaczony news. Osoba, ktora to pisala, albo nie znam angielskiego, albo nie ma elementarnej wiedzy w tym temacie. Warto zdobywac wiedze i sie uczyc!

Pozwolcie na troche mojej pychy.

Po primo, od poczatku i dla jasnosci..... kluczem jest wlasnie liczba, czyli N, rzedu 768 bitow, postaci N = p*q, gdzie p, g - liczby pierwsze (specjalnie wygenerowane, "bliskie" siebie co do rzedu).
Po drugie primo, aby rozlozyc klucz, czyli liczbe N 768 bitow metoda brutal force na czynniki pierwsze nalezaloby wykonac prosto liczac sqrt(2^768) operacji, czyli 2^(768/2) = 2^384. Tak wiec, pi razy drzwi, zakladajac, iz procek buja sie z zegarem 2Ghz i ze na kazdy takt wykona jeden krok/operacje arytmetyczna sprawdzajaca liczbe (a musi wiele wiecej, mozna zalozcy jaks stala C=...., zalezna od wielu czynnikow, pomijam to) to latwo obliczyc, iz:
2^384 / 2*10^9 = okolo 2 * 10^106 sekund.
Dzielac 2*10^106 przez 365dni*24godz*60min*60sek wychodzi liczba troszke mniejsza, cos kolo 10^100 lat (wiecej ciekawych prownan mozna poczytac w ksiazkach z kryptografii, np polska pozycja prof. Kutylowskiego)
Po trzecie primo, dla osob zainteresowanych, prosze zapoznac sie z obliczeniowa teoria liczby oraz geometria algebraiczna, a mozna sie dowiedziec, ze na dzis najskuteczniejsze czasowo metody/algorytmy stosowane do rozkladania N na czynniki pierwsze polegaja na teorii cial liczbowych, ktorą stosuje sie w tzw. sitach wielomianowych. Pozniej, potezne klastry obliczeniowe wykonuja kilka faz ogliczeniowych, aby finalnie przejsc do zasadniczych obliczen. Np kilka miesiecy trwa wybieranie/obliczanie specjalnych wielomianow, pozniej o wiele dluzej przesiewanie.... I tu wlasnie odnosi sie informacja, ze jeden procek 2Ghz musialby pracowac 1500 lat aby wykonac procedure przesiewania, jednak oszacowanie jest bardziej skomplikowane, i tu nie podam. Za to zainteresowanych tematem odsylam do jednej z wielu dobrych knig:
Prime Numbers: A Computational Perspective by Crandall , Pomerance,
albo calkiem niezla i wproadzajaca do tematu: II czesc Knutcha: Sztuka programowania.

Bog Ojciec jest wielki!

znalazlem link do zrodla: http://eprint.iacr.org/2010/006.pdf

Pytanie: Skoro GPU są takie zajebiste, to czemu w komputerach są jeszcze CPU? Nie lepiej je wyrzucić i dać 2x GPU ? :P

theadzik, kasa kasa :D

@up odnośnie źródła:

zgadnij co jest podlinkowane w "opisała" w newsie..

Nikt kto zajmuje sie łamaniem szyfrów nie używa komputerów ogólnego zastosowania, do łamania RSA używa sie specjalnych układów które tylko tym sie zajmują i nie potrafią wiele więcej. Więc podawanie ile to by robił zwykły pecet to tylko pokazanie jakie to komputery domowe sa wolne

Będzie problem, bo większość stron SSL, w tym banków internetowych używa kluczy 1024-bitowych. Im szybciej zmienią klucze na dłuższe, tym lepiej, a już powinni zaczynać.

Problem jest o tyle poważny, że nie tylko superkomputery czy obliczenia w chmurze dysponują odpowiednią mocą obliczeniową, by złamać klucze. Pomyślmy o największych sieciach botnet'owych, które mają równie wielkie (jak nie większe) możliwości obliczeniowe. Wystarczy zaadoptować i zaaplikować do nich program do obliczeń równoległych i na efekty nie trzeba będzie długo czekać - w końcu nie muszą one tylko rozsyłać spamu. Aż strach się bać...

Pozdrawiam,
Dimatheus

@jovo

Nieprawda, MD5 łamie komputer z lepszym GPU w jakieś 10minut !
GPU ma dużą przewagę nad procesorami w takich obliczeniach, zobacz aplikacje Folding@Home która przelicza dużo szybciej dane na GPU niż CPU.

"wykorzystując do tego klaster o mocy odpowiadającej procesorowi AMD Opteron 2,2 GHz pracującemu z maksymalną mocą przez 1500 lat"

Jakoś nie do końca rozumiem to porównanie. Mam problem z logiką tego zdania. O jaką moc tu chodzi, obliczeniową czy o energię zużytą przez procesor podczas obliczeń? I w jakim czasie ten klaster zużyje/osiągnie taką samą moc co Opteron pracujący przez 1500 lat?

Jeśli chodzi o kryptografię na liczenie na CPU po prostu szkoda prądu. Od ładnych paru lat liczę RC5-72 (btw: Polska dość wysoko stoi w statsach, które notabene akurat padły). Na zwykłym R4850 w ciągu 1,5 doby jestem w stanie przeliczyć tyle bloków, co na kolejnych CPU przeliczyłem przez 5 lat. Współczesne CPU 4-rdzeniowe typu Phenom II/C2Q (nie mam jeszcze danych z i7) wyciągają w RC5 około 40-60 mln kluczy/sek (MKs/s). Najzwyklejszy R4850 680 MHz liczy ponad 500 MKeys/s. R5970 po lekkim OC wyciąga blisko 3 GKs/s (3.000 MKs/s). A proszę pamiętać, że mając odpowiednią ilość gotówki w typowym pececie domowym na AMD790 da się zainstalować 4 takie karty (czym to zasilać i jakie rachunki za prąd to inna sprawa). Taki konfig "domowy" do łamania RC5-72 na obecnym kliencie ATI Stream jest w stanie osiągnąć ~12 GKeys/s. Lepiej pokazuje to wprost przełożenie - 12000 MKeys/s na 4x R5970 vs 50-60 MKeys/s na PII X4 czy nawet 120 MKeys/s na 2x Opteronie (rzadko spotykana w domu platforma). Po prostu różnica o rząd wielkości.

A tak BTW:
W kliencie RC5-72 wyszło kantowanie nVidii na precyzji obliczeń, tak jak kiedyś w 3Dmarku. W CUDA <2.2 karty nvidii osiagały podejrzanie wysoką wydajność, lepszą od konkurentów ATI z wyraźnie większą mocą obliczeniową w TFLOPach. Sprawa się rypłą, jak się okazało, że CUDA 2.1 i niższe dla przyspieszenia obliczeń liczy niedokłądnie (błąd CUDA, nie klienta RC5). W rezultacie wszystkie dotychczasowe obliczenia na CUDA trzeba było robić od nowa, a obecnie wydajność w RC5 odpwiednich kart nVidii jest około 1/2 mniejsza niż odpowiedników ATI z tego samego przedziału cenowego. Nie mówię o grach, ale o kryptografii właśnie - tu bardzo dobrze sprawdza się ogromna liczba prostych procesorów strumieniowych ATI, nawet wyraźnie niżej taktowanych niż jednostka shaderów w nV.

@theadzik:
CPU jest szybszy od jednej jednostki obliczeniowej w GPU, a jest wiele algorytmów, których po prostu nie da się zrównoleglić. W większości programów użytkowych obliczenia to bardzo niewielki kawałek kodu, większość to instrukcje warunkowe, skoki czy wywołania funkcji. Zupełnie inna architektura, zupełnie rożne zastosowania

Jasne ,że zdanie jest skonstruowane błędnie. Autor przytaczjąć mega krypto Newsa nie wziął pod uwagę logiki w zdaniach. "Złamanie klucza przeprowadzono przy użyciu techniki brute force wykorzystując do tego klaster o mocy odpowiadającej procesorowi AMD Opteron 2,2 GHz pracującemu z maksymalną mocą przez 1500 lat."

Złamanie klucza przeprowadzono przy użyciu techniki brute force wykorzystując do tego klaster obliczeniowy ( moc klastra ). Aby osiągnąć efekt uzyskany przez naukowców przy użyciu procesora AMD Opteron 2,2 Ghz pracującego z maksymalna mocą potrzebowali byśmy 1500 lat.

Inaczej nie widzę tego zdania.

Prośba do osoby kryjacej sie pod nickiem RC5-72. Podaj mi prosze jakis konkretny model ATI warty uwagi i zakupu w okolicach 300 zl. Zamierzalem kupic nVidie, aby poprobowac cos z algorytmami faktoryzacji, a skoro masz doswiadczenie i mowisz ze karta ATI bedzie lepsza, to sobie takowa zakupie. Dzieki za info.

siak czy owak wykorzystujac GPU do rozkladania klucza zwykly uzytkownik nie ma kasy by zlozyc sobie maly klaster z 4xGPU na jednej jednosce, do tego dochodzi wiedza programowania i laczenia jednostki w jeden klaster. tu juz zaczynaja sie schody dla zwyklych uzytkownikow, dla programistow juz moze nie choc i oni powinni miec problemy. Dla lamiacych cyberprzestepcow to zapewne nic trudnego

sredni czas zycia jednego klucza to ponizej 1 dnia. Łamanie trwa conajmniej 2 -3 tygodnie (uzycie superkomputera). Jezeli mamy restrykcyjna polityke bezpieczeństwa (zmiana parametrów autoryzacji) to jestesmy bardzo bezpieczni. Pomyślcie że wysyłamy pakiety danych szyfrowanych w RC5 i grupujac dane w bloki dokonujemy ich przesuniecia (jak z kostką rubika). Operacja matematycznie bardzo prosta jezeli znamy wzór :) A takowy algorytm jest juz nie do zabicia.

Witam!

Na mojej stronie wprowadziłem ostatnio zabezpieczenie w postaci szyfrowania podczas logowania i innych czynności. Zastanawiam się co byłoby lepsze - algorytm DES, czy RSA? W przypadku RSA długości klucza na 1024 (768-bitowy klucz RSA został już złamany), serwer mógłby trochę "mulić", chociaż nie sprawdzałem. Jak jest w przypadku DESa? Który z nich trudniej złamać i który będzie tutaj lepszym wyborem?

Z góry dziękuję za odpowiedź