Phuctor: Pesquisadores quebraram chaves RSA de 4096 bits

Dois pesquisadores usaram uma ferramenta online, sua própria invenção chamada Phuctor, para quebrar 6 chaves de 4096 bits da criptografia mais poderosa disponível na RSA.segurança

O sistema de criptografia RSA usa uma chave pública para criptografar dados, a partir da qual um privado (que não deve ser compartilhado) é criado para fins de descriptografia.

A chave pública consiste em dois valores, e um deles é o produto dos dois números primos primos. Se alguém descobrir esse valor, poderá identificar a chave privada que corresponde à pública.

Esse princípio básico torna a criptografia RSA muito poderosa, pois é bastante difícil identificar o produto dos dois primeiros grandes números.

A ferramenta Phuctor é o resultado de uma colaboração entre Stanislav Datskovskiy e Mircea Popescu. Representa uma chave RSA do serviço de fatoração que determina se há um fator comum nas taxas de duas chaves públicas diferentes.

A ferramenta usa o algoritmo euclidiano para calcular o divisor comum máximo de dois números grandes, encontrando assim um número primo comum para calcular a chave privada.

Para descrever o quão poderosa é a criptografia RSA, Popescu disse em um post no blog que se pode “esperar que a chave seja calculada pouco antes de Elvis retornar como rainha da Inglaterra”.

Uma das chaves para a falha pertence a Peter H. Anvin (também conhecido na Internet como hPa), é um associado respeitado da comunidade de código aberto e também é um dos desenvolvedores do kernel do Linux.

A principal data de criação é 22 de setembro de 2011, uma data considerada relativamente recente pelo Popescu, embora exista a possibilidade de que ele não seja mais usado pelo proprietário.rsa

No entanto, embora as notícias pareçam bastante alarmantes, não há nada errado com o sistema de criptografia RSA, mas com a forma como as chaves foram criadas.

Hanno Böck é um jornalista independente alemão que no ano passado analisou dados de servidores que continham chaves públicas. O pesquisador acreditava ter descoberto uma porcentagem muito alta de chaves vulneráveis. Um olhar mais atento, no entanto, revelou que os casos que ele encontrou eram de fato chaves defeituosas.

Böck disse que qualquer pessoa pode enviar essa chave para um servidor sem nenhuma verificação.

“No entanto, essas chaves não são uma ameaça para ninguém. A única maneira que poderia ser importante seria usar um aplicativo quebrado do protocolo básico do OpenPGP que não controla se as chaves secundárias realmente pertencem à chave principal “, disse o jornalista.

Ele acrescentou que a entrada de uma chave danificada em uma instalação local do GnuPG não pôde ser feita, pois a tentativa seria rejeitada porque a assinatura não seria validada.