Pull to refresh

Взлом ключей за деньги — оценка на основании сети биткоин

Reading time 3 min
Views 13K
Если рост мощности сети биткоин продолжится и дальше в текущем темпе, то вычислительная мощь этой сети может составить непосредственную угрозу криптостойкости RSA-1024 уже через год-полтора.

Криптовалюта Биткоин использует подбор хешей для закрепления проведённых транзакций. Эта операция требует существенных вычислительных ресурсов, но с ростом курса криптовалюты и появления видеокарт, позволяющих эффективно считать нужную криптографию, на подбор хешей были подключены существенные вычислительные ресурсы, уже превзошедшие мощность профессиональных суперкомпьютеров и сетей распределённых вычислений (научных и не очень).
Непосредственно работа сети биткоин-майнеров (тех, кто занимается подбором хешей) не представляет угрозу для криптографических ключей, однако её пример — хорошая оценка того, какие вычислительные мощности можно собрать, если платить всем участникам деньги. Причём платить не просто один большой приз за нахождение закрытого ключа, как это делалось до сих пор, а не очень большие деньги, пропорциональные вкладу в работу по взлому. Кроме того, часть ресурсов биткоин-майнеров может быть довольно быстро перехвачена, если будет объявлен конкурс на взлом криптографического ключа, дающий больший доход, чем майнинг биткоинов.

Под катом — небольшой прогноз роста мощности сети, оценки времени и стоимости взлома.

Прогноз мощности


Текущая мощность сети биткоин-майнеров составляет 46 петафлопс (PetaFLOP/s), с такой мощностью ломать один ключ RSA длиной 1024 бита самым эффективным алгоритмом нужно в среднем 6.4 года (основано на оценке, что для взлома одного ключа нужно в среднем 1012 MIPS-лет или около 9.47 йоттафлоп — 9.47*1024 флоп).

График совокупной мощности за последний год очень хорошо ложится на экспоненту с основанием «рост 2.3% в день» (на логарифмической шкале это прямая). Если рост мощности будет идти такими же темпами, то:
1) К началу 2012 года мощность вырастет до 3.8 эксафлопс, на взлом RSA-1024 будет необходимо в среднем 28.5 дней,
2) К середине 2012 мощность составит 242 эксафлопса, на взлом RSA-1024 будет необходимо в среднем 11 часов,
3) К началу 2013 мощность составит 16 зеттафлопс, на взлом RSA-1024 будет необходимо в среднем 10 минут,
Напоминаю, речь идёт о взломе одного ключа RSA-1024, а не о получении средства для взлома любого ключа. Но если это будет корневой сертификационный ключ какой-нибудь PKI-инфраструктуры, то вся инфраструктура будет скомпрометирована — обладатель закрытого ключа (или кто угодно, если закрытый ключ будет опубликован) сможет подделывать сертификаты в неограниченном количестве.
Конечно, рост сети может замедлиться или прекратиться (гиков с видеокартами конечное количество, электроэнергия не бесплатная и т.д.), сеть может сократиться или исчезнуть совсем. Но тенденция держится уже почти год.

Цена вопроса


Сейчас приз за один блок составляет 50 биткоинов (плюс налоги, но они пока составляют доли биткоина). Блоков в час находят около 7, т.е. работа сети приносит участникам около 350 биткоинов в час, сейчас это $3000 по курсу mtgox.
Сложно прогнозировать, сколько будет стоить биткоин даже через месяц, возможно его стоимость будет расти пропорционально мощности сети.
Однако кто-то может запастись биткоинами сейчас и использовать их для оплаты взлома ключа через год или полтора. $33000 за взлом через год или $500 за взлом через полтора года — не очень большие деньги, когда речь идёт о корневом сертификате.

Вывод


Взлом криптографических ключей упрощается, если участники получают деньги за свой вклад, а не только один приз.
Угроза для RSA-1024 уже совершенно серьёзная, крайне желательно в течение года отказаться от этой длины RSA ключей для сертификационных ключей и за 2 года — от личных ключей такой длины.
Собственно, эксперты предупреждали нас давно, но теперь угроза стала существенно материальнее.
Тем не менее, сертификационных ключей на RSA-1024 ещё полно. Вот, например, Gmail говорит мне, что SSL удостоверен корневым сертификатом «VeriSign Class 3 Public Primary CA», который годен аж до 2028 года, но он — RSA-1024.

Следующий шаг по сложности — криптографические ключи ECC-160, на них требуется примерно в 10 раз больше вычислительных ресурсов (около 1013 MIPS-лет).
Tags:
Hubs:
+64
Comments 108
Comments Comments 108

Articles