ataque con certificado X.509 (clave privada sha1 pequeña)

El hecho de que se usara SHA1 es trivial; Si tiene la clave privada utilizada para cifrar el resumen de hash, puede realizar los cambios que desee, volver a calcular el resumen y eliminarlo. No necesariamente tiene que romper SHA1 si lo que está buscando es la clave privada RSA.

Por "pequeño", ¿qué tan pequeño estamos hablando? El módulo RSA más grande jamás factorizado (lo que indica que el tamaño de bits de la clave puede ser craqueado) tenía una longitud de 768 bits (232 dígitos decimales), y utilizó el método del Tamiz de campo de número general, que es el estándar de oro actual para el craqueo RSA. La mayoría de los certificados han usado claves de 1024 bits o mejores durante años (¿qué es 1KB entre amigos, especialmente con Internet de banda ancha?), Con el mínimo actual de 2048 bits (considerado imposible con el conocimiento actual del ritmo de la tecnología, pero posiblemente vulnerable a (un nuevo tipo de hardware o vulnerabilidad descubierta) y 4096 bits es el estándar de oro (considerado imposible incluso si una vulnerabilidad futura o un gran salto en el hardware redujera la complejidad del tiempo de craqueo a la mitad).

Además, ¿sabes qué relleno se usó? Vanilla RSA, sin ningún esquema de relleno, es vulnerable a ciertos ataques matemáticos, por lo que nadie ha usado Vanilla RSA por un tiempo; la mayoría del cifrado RSA se realiza con PKCS o con esquemas de relleno OAEP que ofuscan reversiblemente el texto simple antes del cifrado (lo que hace que los diversos tipos de ataques de texto simple conocidos o elegidos sean mucho más difíciles).

Por último, si la CA estaba usando un tamaño de clave tan pequeño, el certificado de la CA que firmó el que usted tiene puede haber caducado (es decir, descifrarlo es un punto discutible; cualquier cosa que genere no será aceptada porque uno o más Los certificados en la cadena de confianza han caducado).