Quanto è brutta un'idea che usa intenzionalmente delle brevi chiavi RSA per firmare gli URL di contenuto privato CloudFront?

Question

Quanto è brutta un'idea che usa intenzionalmente delle brevi chiavi RSA per firmare gli URL di contenuto privato CloudFront?

#1 da (4 voti)

4

Mentre medita su domanda su SO in merito alla generazione efficiente di privato firmato -content URL per CloudFront, ho deciso di verificare quali tipi di risparmio si potevano trovare usando una chiave RSA più corta. Con la chiave di 2048 bit generata da AWS, il nostro metodo di firma gira intorno a ~ 1550μs sul mio laptop; l'uso di un tasto a 512 bit lo riduce a ~ 113μs.

Firmiamo i collegamenti per garantire agli utenti pagati l'accesso ai file multimediali per un determinato numero di minuti e abbiamo già utilizzato il processo di firma HMAC SHA-1 equivalente per accedere agli stessi file su S3. La stragrande maggioranza delle richieste che i nostri server riempiono sono per questi URL firmati.

Quanto è accettabile / inaccettabile utilizzare una lunghezza ridotta per una chiave dedicata a questo scopo? Cosa si può dire accettabilmente lungo / breve?

key-generation rsa

posta abathur 22.07.2015 - 01:40

fonte

1 risposta

Leggi altre domande sui tag key-generation rsa

Implicazioni pratiche della vulnerabilità Android SOP del 2014 Quanto è sicura la derivazione della chiave basata su password in caso di password lunga?

score 4 · Accepted Answer

In questo momento (luglio 2015), il record corrente per l'interruzione della chiave RSA è per un Modulo a 768 bit , e ci sono voluti due anni di calcoli con molte macchine e, soprattutto, con alcuni cervelli molto fini. Un punto importante è che il metodo di rottura RSA più noto (che è stato utilizzato per RSA-768) è la fattorizzazione di interi con il Campo generale Numero Sieve ; GNFS non beneficia di alcun tipo di "precomputazione". Ciò significa che le persone che hanno preso in considerazione la chiave RSA a 768 bit, se si sono trovati di fronte a un'altra chiave RSA a 768 bit, dovrebbero di nuovo trascorrere due anni sul posto di lavoro.

Come per le chiavi RSA a 1024 bit:

sono attualmente ininterrotti;
loro potrebbero essere infranti con la tecnologia esistente, ma richiederebbe di lanciare al problema un numero non trascurabile di milioni di dollari per costruire una macchina dedicata che sarebbe buona solo a rottura di RSA a 1024 bit;
... e anche quella macchina, se mai costruita, avrebbe ancora bisogno di molto tempo (mesi, forse anni) per rompere una chiave RSA.

Nel tuo caso, se le firme necessitano solo di resistere per alcuni minuti, potresti generare una nuova chiave RSA ogni giorno, e questo sconfiggerà gli attaccanti basati su GNFS pur di spezzare un 1024 -bit La chiave RSA richiede più di un giorno, una proprietà che è probabile che rimanga valida per i prossimi decenni. Un buon punto (per te) è che da quando le tue firme diventano obsolete rapidamente, devi "solo" tenere traccia dei progressi scientifici e tecnologici: il giorno in cui alcune persone riescono a infrangere una chiave RSA a 1024 bit, puoi passare a 2048- chiavi di bit; non devi farlo in anticipo.