Genaueres im Kapitel Kryptoanalyse des RSA-Verfahrens der Kryptologie-Vorlesung
Iterieren der Verschlüsselung ergibt:
Er(c) = cer
Da die Exponenten mod f(n) reduziert werden können, sich also in der endlichen multiplikativen Gruppe des Restklassenrings Z/f(n)Z bewegen, gibt es ein r mit
er º 1 (mod f(n)), also Er(c) = c, also Er-1(c) = m (!!)
Die Wahrscheinlichkeit, dass für einen gegebenen Geheimtext c der Exponent r klein ist, ist extrem gering.
===> Das Problem kann vernachlässigt werden.
Wer den Modul n = pq faktorisieren kann, kann den geheimen Exponenten d aus dem öffentlichen e bestimmen.
Es ist kein besseres Verfahren bekannt; möglicherweise sind beide Probleme äquivalent (im komplexitätstheoretischen Sinn, also die Lösungen gleich aufwendig).
Entscheidend für die Sicherheit also:
Wie schnell kann man große Zahlen faktorisieren?
Daraus ergeben sich folgende Schätzungen:
Zahl | Dezimalstellen | Aufwand | Status |
---|---|---|---|
rsa120 (399 Bit) | 120 | 100 MIPS-Jahre | (auf schnellem PC in 1 Woche machbar) |
rsa140 (466 Bit) | 140 | 2000 MIPS-Jahre | (te Riele, CWI, 1999) |
512-Bit-Modul | 154 | 100000 MIPS-Jahre | (te Riele, CWI, 1999) |
1024-Bit-Modul | 308 | 1011 MIPS-Jahre | (kurzfristige Sicherheitsgrenze) |
2048-Bit-Modul | 616 | 1015 MIPS-Jahre | (mittelfristige Sicherheitsgrenze) |
... solange die Mathematiker keine wesentlich schnelleren Faktorisierungsverfahren finden!
Schätzungen von Rivest (80er Jahre) [Grenze in Dezimalstellen - im Bereich von 2048 Bit entspricht die pessimistische Schätzung dem heutigen Stand]:
Jahr | optimistisch | mittel | pessimistisch |
---|---|---|---|
1990 | 117 | 155 | 388 |
1995 | 122 | 163 | 421 |
2000 | 127 | 172 | 455 |
2005 | 132 | 181 | 490 |
2010 | 137 | 190 | 528 |
2015 | 142 | 199 | 567 |
2020 | 147 | 204 | 607 |
Vorsicht: Alle diese Schätzungen sind mit sehr großer Unsicherheit behaftet.
Neu:
Nach Bernsteins Vorschlag ist der Aufwand für das Zahlkörpersieb:
Zeit | Ln1.19 + o(1) |
---|---|
Speicherpaltz | Ln0.79 + o(1) |
Die Abschätzung von Lenstra/Verheul sieht jetzt eher zu optimistisch aus. 1024-Bit-Schlüssel sollten schnellstens aus dem Verkehr gezogen werden! 2048-Bit-Schlüssel sind gerade noch für ein paar Jahre sicher.