Tutta la crittografia RSA ora è considerata insicura? (In particolare SSH e SSL)

Naviga le tue risposte
1

Alcune delle fughe che sono emerse durante / dopo Snowden riguardavano il fatto che la NSA stava pagando all'organizzazione dietro la RSA un lotto di denaro in modo tale da indebolire sistematicamente la crittografia per impostazione predefinita.

Poiché sia SSL che SSH utilizzano tipicamente i keypair RSA pubblici / privati per la loro crittografia, questa crittografia è ora considerata non sicura?

Che cosa è esattamente trapelato e mette in dubbio la sicurezza di tutta la crittografia SSL / SSH?

    
posta Naftuli Kay 28.03.2014 - 18:21
fonte

3 risposte

11

Stai confondendo RSA , una famiglia di crittosistemi che si basa sulla difficoltà di factoring di prodotti di grandi dimensioni numeri primi, con RSA Security LLC , una società che vende prodotti correlati alla sicurezza.

RSA e RSA sono entrambi chiamati RSA dopo i messaggi R , S e A , che hanno entrambi inventato il cryptosystem RSA e fondato la RSA azienda. La società è stata fondata in parte per commercializzare prodotti che si basano sul crittosistema.

L'attuale controversia riguarda RSA (la società) presumibilmente che indebolisce deliberatamente uno dei loro prodotti al fine di rendere è più facile per la NSA spiare o altrimenti attaccare gli utenti di questi prodotti. Questo indebolimento non ha nulla a che fare con RSA (il criptosistema).

Se non altro, le attuali rivelazioni delle capacità della NSA rafforzano la fiducia che possiamo avere negli algoritmi crittografici più affidabili e ampiamente utilizzati: le rivelazioni di Snowden riguardano modi per aggirare le protezioni crittografiche in vari modi (facendo in modo che i service provider rivelino le loro chiavi segrete) , sfruttando bug del software, impiantando hardware spia, ecc.). Se la NSA potesse interrompere gli algoritmi di crittografia, non avrebbero bisogno di esaminare tutto questo.

    
risposta data 28.03.2014 - 18:33
fonte
3

Oltre a RSA (i crittosistemi inventati da Rivest, Shamir e Adleman) che non sono equivalenti a RSA Data Security (l'azienda ha anche fondato da loro 5 anni dopo RSA è stata inventata), l'originale i creatori del crittosistema vendettero la loro azienda a Security Dynamics nel 1996. A quel punto, Shamir e Adleman avevano già lasciato la società, e Rivest aveva diviso la sua attenzione tra la società e la sua posizione al MIT (Massachusetts Institute of Technology). Tenete presente che fino alla metà degli anni 2000, la società non era compatibile con la NSA, quindi i sistemi crittografici creati prima di quel periodo non avrebbero avuto probabilmente un'influenza negativa da parte della NSA.

Ecco una citazione di un primo articolo del 1 ° maggio 1999:

Although Shamir and Adleman soon ended their affiliation with RSA, Rivest stayed with the company, which was sold to Security Dynamics in 1996 for $250 million. Rivest now divides his attention between RSA and his teaching and administrative duties at MIT.

Puoi leggere su RSA Security e la sua storia più recente qui: link

La voce lunga dovrebbe rivelarsi più utile di qualsiasi rehash che fornisco.

    
risposta data 28.03.2014 - 20:22
fonte
1

Penso che tu stia confondendo l'algoritmo RSA con RSA-the-company. La società è risultata essere complice della NSA nel promuovere un generatore di numeri pseudocasici compromesso. Questo non ha nulla a che fare con l'algoritmo di crittografia a chiave pubblica RSA utilizzato in SSL / TLS.

    
risposta data 28.03.2014 - 18:25
fonte

Leggi altre domande sui tag

Controlla la "sicurezza" di una password [chiusa] Quanto è sicuro questo approccio di autenticazione rispetto all'hash?