Queste stime sono molto grezze e, probabilmente, non hanno senso.
Gli algoritmi crittografici asimmetrici, come RSA e ECDSA, si basano su strutture matematiche e la loro rottura richiede di svelare tale struttura. In generale, la difficoltà di farlo aumenta con la dimensione degli oggetti sottostanti (cioè la "dimensione della chiave"), ma non in una regola esponenziale semplice, semplice.
Molti sforzi sono stati estesi a fare alcune "stime di forza" per poter confrontare le dimensioni delle chiavi RSA con le dimensioni delle chiavi ECDSA e anche le dimensioni delle chiavi per gli algoritmi simmetrici (come AES). È molto difficile anche definirlo correttamente, perché rompere una chiave RSA attraverso la scomposizione in fattori interi con gli algoritmi più noti per quella attività ( General Number Field Sieve) richiede non solo molti calcoli, ma anche una moltitudine di dati con schemi di accesso che non sono suscettibili di serializzazione e parallelismo - per dirla chiaramente, è necessario un computer con veramente gran quantità di molto veloce RAM (non stiamo parlando di semplici terabyte qui). Questo non si confronta direttamente con, ad esempio, la rottura di AES-key, che richiede molta CPU ma non ha bisogno di RAM, ed è imbarazzante parallelo.
Tuttavia, alcune persone intelligenti hanno ancora prodotto stime, e c'è un bel sito Web che li presenta e consente di modificare i parametri . Ad esempio, se si osservano le raccomandazioni NIST, una chiave RSA a 2048 bit viene considerata "in qualche modo equivalente" a una chiave a 112 bit per un algoritmo simmetrico, mentre una chiave RSA a 3072 bit viene considerata una chiave simmetrica a 128 bit . Le chiavi simmetriche sono solo un mucchio di bit senza una struttura speciale, quindi un tasto n -bit significa "può essere spezzato nello sforzo 2 n -1 in media "(elencando possibili combinazioni di bit n finché non viene trovato quello giusto). Pertanto, secondo le stime del NIST, si ritiene che RSA-3072 sia circa 65536 volte più strong di RSA-2048 (perché 128-112 = 16 e 2 16 = 65536).
Altre equazioni producono risultati diversi. Il metodo spiegato in RFC 3766 valuta RSA-2048 come equivalente a una chiave simmetrica a 103 bit e RSA-3072 fino a 125 bit. Ora queste stime implicherebbero che RSA-3072 sarebbe più di 4 milioni di volte più difficile da interrompere rispetto a RSA-2048 (2 125 / 2 103 = 4194304). Notiamo anche che RFC 3766 dice che RSA-2048 è mezzo milione di volte più debole di quello che il NIST dice che è.
Posso anche dire che una semplice affermazione come "RSA-3072 è X volte più difficile da rompere di RSA-2048" può avere senso solo se è possibile quantificare la durezza di rottura di RSA-2048 e RSA-3072. La quantificazione è: quanti soldi ci vorrebbe? E, proprio ora e anche per il prossimo futuro (vale a dire entro i prossimi 40 anni), l'unica risposta sana è "dimenticala". Nessuna quantità di denaro sulla Terra, anche con tutti i soldi esistenti presi insieme, ti comprerà una pausa chiave RSA-2048 o una pausa chiave RSA-3072. Questo è semplicemente fuori dalla portata della nostra tecnologia.
Questo non significa che RSA-2048 sarà sempre infrangibile; dice solo che se (o quando) è rotto, sarà attraverso un miglioramento qualitativo (una svolta algoritmica) le cui caratteristiche sono, per definizione, totalmente sconosciute.
Corrispondentemente, ogni affermazione su RSA-3072 che è "10 mila volte" più strong di RSA-2048 è in gran parte una speculazione non comprovata. O, nel migliore dei casi, una estrapolazione matematica da punti dati esistenti, innalzati a livelli che non hanno alcun senso fisico.