Estaba leyendo el blog de seguridad de Mozilla Eliminación de certificados con claves RSA de 1024 bits . En efecto, algunos navegadores están desaprobando el RSA de 1024 bits para las CA y las CA subordinadas porque el certificado debe resistir el ataque durante 10 a 30 años.
Por lo que sé, el RSA de 1024 bits proporciona aproximadamente 80 bits de seguridad debido a los avances en la factorización de enteros y el tamiz de campo numérico. La seguridad de 80 bits está fuera del alcance de la mayoría de los atacantes.
SHA-1 proporciona aproximadamente 61 bits de seguridad gracias a la HashClash de Marc Steven. La seguridad de 61 bits está bien al alcance de muchos atacantes, especialmente cuando el tiempo de cómputo no es caro en EC2 de Amazon o OpenStack's Nova .
Dos ataques de la vida real en criptografía que conozco son (1) Clave de firma de Texas Instruments , que incluyó un 512- clave de bit y (2) Flame , que explotó colisiones en algoritmos de firma débiles / heridos. Desde TI, sabemos el atacante intentará factorizar una clave con 60 o más bits de seguridad. Y desde Flame sabemos el atacante atacará la función de resumen cuando su seguridad efectiva sea de alrededor de 60 bits o menos.
¿Por qué los navegadores desaprobaron las CA y las CA subordinadas con RSA de 1024 bits, pero conservaron SHA-1?