Stavo leggendo il blog sulla sicurezza di Mozilla Eliminazione graduale dei certificati con chiavi RSA a 1024 bit . In effetti, alcuni browser stanno deprecando RSA a 1024 bit per CA e CA subordinate perché il certificato deve resistere all'attacco da 10 a 30 anni.
Per quanto ne so, RSA a 1024 bit fornisce circa 80 bit di sicurezza a causa dei progressi nella fattorizzazione dei numeri interi e del setaccio dei campi numerici. 80 bit di sicurezza sono fuori dalla portata della maggior parte degli aggressori.
SHA-1 fornisce circa 61 bit di sicurezza a causa di HashClash di Marc Steven. 61 bit di sicurezza sono alla portata di molti attaccanti, soprattutto quando il tempo di elaborazione è così poco costoso su Amazon EC2 o Nova di OpenStack .
Due attacchi alla vita reale su crypto sono a conoscenza (1) chiave di firma di Texas Instruments , che ha fattorizzato un 512- chiave di bit; e (2) Fiamma , che ha sfruttato le collisioni sugli algoritmi di firma deboli / feriti. Da TI, sappiamo che l'attaccante proverà a calcolare una chiave con circa 60 bit di sicurezza. E da Flame sappiamo che che l'attaccante attaccherà la funzione digest quando la sua sicurezza effettiva è di circa 60 bit o giù di lì.
Perché i browser deprecano CA e CA subordinate con RSA a 1024 bit, ma conservano SHA-1?