Onverwacht snelle kraak 1024-bits RSA-sleutel

Die periode zou voldoende zijn om het huidige gebruik van de 1024-bitssleutel uit te faseren. De woordvoerder van de Nederlandse Vereniging van Banken stelde in januari dat bij alle nieuwe diensten een 2048-bitssleutel wordt gebruikt. De oudere sleutels blijven echter voor de oudere producten nog jaren in gebruik, bijvoorbeeld in apparatuur waar de sleutel niet kan worden vervangen.

De Amerikaanse wetenschappers maken gebruik van kwetsbaarheden in de hardware waarop het encryptiealgoritme draait om de private 1024-bitssleutel te extraheren in slechts 100 uur rekentijd. Het kraken van de 768-bitssleutel kostte omgerekend nog een jaar lang continu rekenen op 1700 2,2 GHz-processoren.

Zij brengen kleine stroomstoringen aan op het systeem waarop het encryptiemechanisme draait. Dat produceert daarop foute digitale handtekeningen. Door een aantal van die fouten te verzamelen en daar een algoritme op los te laten, wisten de Amerikanen de private sleutel te bemachtigen.

De drie wetenschappers geven toelichting op hun aanpak op 10 maart tijdens de conferentie Design, Automation and Test in Europe (DATE) in Dresden. Hun werk is al gepubliceerd in een paper.

Toevoeging: Het 'kraken' van de RSA-sleutel is in cryptologietermen in dit geval niet aan de orde. De publicatie toont wel aan dat de implementatie van RSA-systemen vaak te wensen overlaat, zodat kwetsbaarheden worden geïntroduceerd in een nog altijd veilige RSA-encryptietechnologie. Lees meer in de papieren uitgave van Automatisering Gids van vrijdag 12 maart, die in de middag ook online bereikbaar wordt.