¿Qué tan mala es una idea usar intencionalmente claves RSA cortas para firmar URL de contenido privado de CloudFront?

4

Mientras reflexiona sobre un pregunta sobre SO sobre cómo generar de manera eficiente firmado privado -Contenido URLs para CloudFront Decidí verificar qué tipo de ahorros se pueden encontrar usando una clave RSA más corta. Con la clave de 2048 bits que genera AWS, nuestro método de firma se ejecuta en aproximadamente ~ 1550µs en mi computadora portátil; el uso de una clave de 512 bits reduce esto a ~ 113µs.

Firmamos los enlaces para otorgar a los usuarios pagados acceso a los archivos de medios por un número determinado de minutos, y ya hemos estado utilizando el proceso de firma HMAC SHA-1 equivalente para acceder a los mismos archivos en S3. La gran mayoría de las solicitudes que llena nuestro servidor son para estas URL firmadas.

¿Qué tan aceptable / inaceptable es usar una longitud corta para una clave dedicada a este propósito? ¿Qué califica como aceptablemente largo / corto?

    
pregunta abathur 22.07.2015 - 01:40
fuente

1 respuesta

4

En este momento (julio de 2015), el registro actual de ruptura de la clave RSA es para un Módulo de 768 bits , y tomó dos años de cálculos con muchas máquinas y, lo que es más importante, también con algunos cerebros muy finos. Un punto notable es que el mejor método conocido de ruptura de RSA (que se usó para RSA-768) es la factorización de enteros con el Tamiz de campo de número general ; GNFS no se beneficia de cualquier tipo de "precomputación". Esto significa que las personas que factorizaron la clave RSA de 768 bits, si se enfrentan a otra clave RSA de 768 bits para romper, nuevamente tendrían que pasar dos años en el trabajo.

En cuanto a las claves RSA de 1024 bits:

  • actualmente están intactos;
  • ellos podrían romperse con la tecnología existente, pero requeriría arrojar al problema un número no despreciable de millones de dólares para construir una máquina dedicada que sería buena solo al romper el RSA de 1024 bits;
  • ... e incluso esa máquina, si alguna vez se construye, aún necesitará mucho tiempo (meses, posiblemente años) para romper una clave RSA.

En su caso, si las firmas solo necesitan resistir durante unos minutos, entonces podría generar una nueva clave RSA todos los días, y esto derrotará a los atacantes basados en GNFS siempre y cuando se rompa un 1024 La clave RSA de bit toma más de un día, una propiedad que es muy probable que se mantenga durante las próximas décadas. Un buen punto (para usted) es que debido a que sus firmas se vuelven obsoletas rápidamente, "simplemente" debe hacer un seguimiento de los avances científicos y tecnológicos: el día en que algunas personas logren romper una clave RSA de 1024 bits, puede cambiar a 2048 teclas de bits; no tienes que hacerlo por adelantado.

    
respondido por el Tom Leek 22.07.2015 - 14:46
fuente

Lea otras preguntas en las etiquetas