Zděšení vyvolala u účastníků bezpečného obchodování na Internetu zpráva, že jeden ze spoluautorů známé asymetrické šifry R.S.A., izraelský vědec Adi Shamir vynalezl metodu, jak RSA šifru relativně rychle zlomit…
Zděšení vyvolala u účastníků bezpečného obchodování na Internetu zpráva, že jeden ze spoluautorů známé asymetrické šifry R.S.A., izraelský vědec Adi Shamir vynalezl metodu, jak RSA šifru relativně rychle zlomit…
Pravda je naštěstí, jak tomu obvyklé bývá, o kousek vedle. Na pražské konferenci Eurocrypt’99 věnované počítačové bezpečnosti představil Shamir principiálně novou a zcela nezvyklou metodu kryptanalýzy, vtělenou do přístroje zvaného TWINKLE. Zjednodušeně řečeno spočívá v optickém „prosvěcování“ svazku fólií se zašifrovaným textem převedeným do podoby jasových úrovní a následné „souběžné“ analýze výsledného obrazu. To dovoluje mnohem efektivnější kryptanalýzu, než tomu bylo doposud. Je také první metodou, která v reálu nastiňuje to, co jednou (až budou sestrojeny) dokážou kvantové počítače a jejich silný paralelismus.
Převedeno do řeči praxe to znamená, že za srovnatelný čas je možné prolomit RSA šifru s klíčem zhruba o 100 bitů delším než dosud; v optimistické (jak pro koho…) úvaze se hovoří o vylepšení „crackovací“ síly až o 200 bitů.
Civilní projekty „lámání šifer“ se dosud (před Shamirovým vynálezem) úspěšně popraly s RSA klíči délky kolem 400 bitů – rekord je „zlomení“ 465bitového klíče letos v únoru, provedené ovšem souběžně na stovkách pracovních stanic. Z Shamirova vynálezu plyne, že dnešní populární 512bitová RSA šifra se dostává do pásma ohrožených…
Důsledky? Pro systém PGP, který RSA šifru používá, to například znamená nepoužívat v žádném případě klíč kratší než 768 bitů, nejlépe je zvyknout si už na 1024bitový RSA klíč. My osobně jsme tedy schopni se proti rozlomení našeho elektronického podpisu nebo šifry bránit. Naneštěstí mnoho (až 95 %) stávajících prostředků elektronického obchodu používá RSA o síle právě 512 bitů, která je Shamirovým vynálezem reálně ohrožena.
Shamirova metoda kryptanalýzy je sice bezesporu významná a posouvá možnosti „lámání šifer“ o další řád, ale neznamená principiální znehodnocení dosavadních zabezpečení v elektronickém obchodu. Neznamená tedy například, že s příslušným zařízením lze „rozlomit“ libovolnou RSA šifru, ale jen RSA s klíčem nepřesahujícím určitou délku. Znovu však upozornila na to, že je třeba být po vzoru Franty Kocórka „stále ve střehu“ a aktuálnímu vývoji přizpůsobovat sílu použité šifry. Upozorňuje totiž na možnost skokového zlepšení možností kryptanalýzy – na možnost objevu nějaké úplně nové, mnohem silnější metody…
Vážné starosti začnou mít bankéři, jejichž banky podcenily situaci a nenasadily šifrovací sílu svých systémů dostatečně vysoko (aspoň 768, raději 1024 bitů a výše). U bank by bylo prolomení ochrany opravdu katastrofou; ohrožených bank je ale v reálu relativně málo, velké banky riziko nepodcenily.
Obecně hůře na tom mohou být jednotliví internetoví obchodníci, kteří např. použili software exportovaný z USA, kde bylo omezení délky klíče, nebo hardware (čipové karty, šifrovací karty do PC), kde je 512 bitů často napevno „zadrátováno“. Případný upgrade na delší klíč pak nemusí být triviální.
Důvod k opravdu akutním obavám však přesto není. Shamirův TWINKLE je zatím ve stádiu polofunkčního prototypu; rozhodně ne ve stavu, kdy jej může nějaká mezinárodní mafie ukrást a ihned použít. Je rozhodně dobře, že se o vynálezu ví – přinejmenším jako varování, že v horizontu půl až jednoho roku už takové zařízení může být komerčně dostupné – v ceně snad okolo 5000 dolarů…
