Attacco certificato X.509 (piccola chiave privata sha1)

Il fatto che SHA1 sia stato utilizzato è banale; se hai la chiave privata utilizzata per crittografare il digest dell'hash, puoi apportare le modifiche che ti piacciono, ricalcolare il digest e spingerlo fuori. Non devi necessariamente interrompere SHA1 se quello che cerchi è la chiave privata RSA.

Per "piccolo", quanto parliamo? Il più grande modulo RSA mai fattorizzato (che indica che quel bit di chiave può essere fessibilmente rotto) era 768 bit di lunghezza (232 cifre decimali lunghe) e utilizzava il metodo del numero di campo standard Sieve che è l'attuale gold standard per il cracking di RSA. La maggior parte dei certificati utilizza da 1024 bit o meglio da anni (che cos'è 1KB tra amici, soprattutto con Internet a banda larga?), Con un minimo attuale di 2048 bit (considerato impossibile con la conoscenza attuale del ritmo della tecnologia, ma probabilmente vulnerabile a un nuovo tipo di hardware o vulnerabilità scoperta) e 4096 bit sono il gold standard (considerato impossibile anche se una vulnerabilità futura o un salto di qualità nell'hardware riducono la complessità del tempo di cracking della metà).

Inoltre, sai cosa è stato usato il padding? Vanilla RSA, senza alcuno schema di padding, è vulnerabile a certi attacchi matematici, motivo per cui nessuno ha usato vanilla RSA per un po 'di tempo; la maggior parte della crittografia RSA viene eseguita sia con PKCS che con schemi di padding OAEP che nascondono in modo reversibile il testo in chiaro prima della crittografia (rendendo più difficili vari tipi di attacchi di testo in chiaro noti o scelti).

Infine, se la CA utilizzava una dimensione di una chiave così piccola, il certificato CA che ha firmato quello che hai potrebbe essere scaduto (il che significa che il cracking è un punto controverso, tutto ciò che generi non sarà accettato perché uno o più i certificati nella catena di fiducia sono scaduti).