¿Por qué los navegadores desaprobaron el RSA de 1024 bits, pero retuvieron el SHA-1?

6

Estaba leyendo el blog de seguridad de Mozilla Eliminación de certificados con claves RSA de 1024 bits . En efecto, algunos navegadores están desaprobando el RSA de 1024 bits para las CA y las CA subordinadas porque el certificado debe resistir el ataque durante 10 a 30 años.

Por lo que sé, el RSA de 1024 bits proporciona aproximadamente 80 bits de seguridad debido a los avances en la factorización de enteros y el tamiz de campo numérico. La seguridad de 80 bits está fuera del alcance de la mayoría de los atacantes.

SHA-1 proporciona aproximadamente 61 bits de seguridad gracias a la HashClash de Marc Steven. La seguridad de 61 bits está bien al alcance de muchos atacantes, especialmente cuando el tiempo de cómputo no es caro en EC2 de Amazon o OpenStack's Nova .

Dos ataques de la vida real en criptografía que conozco son (1) Clave de firma de Texas Instruments , que incluyó un 512- clave de bit y (2) Flame , que explotó colisiones en algoritmos de firma débiles / heridos. Desde TI, sabemos el atacante intentará factorizar una clave con 60 o más bits de seguridad. Y desde Flame sabemos el atacante atacará la función de resumen cuando su seguridad efectiva sea de alrededor de 60 bits o menos.

¿Por qué los navegadores desaprobaron las CA y las CA subordinadas con RSA de 1024 bits, pero conservaron SHA-1?

    
pregunta jww 24.05.2015 - 01:18
fuente

2 respuestas

3

Romper una firma de CA SHA1 no lo llevaría a ningún lado: simplemente podría recrear un certificado público con la misma firma que uno legítimo, pero la clave pública del certificado legítimo aún se usará para verificar los certificados, porque se almacena en los navegadores.

Para falsificar con éxito un certificado, debe romper uno de:

  • una clave privada RSA de la cadena
  • una suma de comprobación de una autoridad intermedia
  • la suma de comprobación del certificado SSL / TLS

Las sumas de comprobación no necesariamente tienen que usar el mismo algoritmo de la CA raíz: se puede usar una CA raíz con hash con SHA1 para firmar el certificado TLS con hash con SHA256.

    
respondido por el Enos D'Andrea 02.06.2015 - 00:35
fuente
1

Dado que las suites de cifrado con secreto de reenvío no se utilizan universalmente, la clave RSA en un certificado de entidad final debe permanecer segura durante todo el tiempo que el contenido de las comunicaciones deba permanecer seguro. La función hash, por otro lado, solo necesita estar segura en el momento de validar el certificado.

Además, para una función hash, debemos distinguir entre la seguridad y los diferentes tipos de ataques (a diferencia de RSA, donde es bastante factorizado o no factorizado, no hay intermedios). El ataque más fácil de realizar contra una función hash es un ataque de colisión simple, pero también es el menos útil. El ataque más útil contra una función hash sería un ataque de preimagen con prefijo flexible y sufijo, pero nadie lo ha logrado incluso para MD5. Entre ellos se encuentran los ataques de colisión con un prefijo distinto y un sufijo común. Estos pueden combinarse con una CA que tiene políticas de emisión deficientes para construir un certificado falso, pero ciertamente no es una tarea fácil.

No obstante, para los certificados de entidades intermedias y finales, los principales navegadores están impulsando una eliminación de SHA1. Para los certificados raíz, el algoritmo de resumen es básicamente irrelevante. Dado que el cliente ya tiene el certificado raíz en su tienda, no necesita obtenerlo de una fuente no confiable.

    
respondido por el Peter Green 21.11.2015 - 04:31
fuente

Lea otras preguntas en las etiquetas