Disponible la nueva versión "donationware" 7.3 de OrganiZATOR
Descubre un nuevo concepto en el manejo de la información.
La mejor ayuda para sobrevivir en la moderna jungla de datos la tienes aquí.

Notas sobre Internet

[Home]  [Inicio]  [Índice]


Subir

N.17:  La seguridad del sistema RSA, estado de la cuestión.

§1  Sinopsis

Reproducimos a continuación el texto íntegro de un artículo aparecido en el boletín de Hispasec, una empresa consultora de seguridad informática, a la que hemos citado anteriormente    www.hispasec.com .

Como puede verse, el artículo es a su vez la reproducción de un trabajo original en inglés de un conocido especialista en criptografía, y expone muy claramente el estado del debate sobre la seguridad del sistema RSA a la fecha de su publicación.

¿Basta con 1024 bits?

A continuación se transcribe, traducido libremente al castellano, un pequeño artículo escrito por Bruce Schneier, reputado criptólogo de fama mundial y autor de algoritmos como "blowfish" y "twofish", uno de los finalistas del reciente AES.

El artículo fue publicado en el boletín "Crypto-Gram", del 15 de Abril de 2002.

>>>>>

¿Basta con 1024 bits?.

El mes pasado escribí a propósito de las investigaciones de Dan Bernstein sobre factorizaciones, y cómo dicho trabajo puede afectar al tamaño de las claves RSA.  En los últimos días se han producido discusiones al respecto en la lista de correo BugTraq, en la que el cypherpunk "Lucky Green" citaba este trabajo como la principal motivación para revocar su clave PGP de 1024 bits.

Esto provoca una interesante pregunta: ¿son las claves RSA de 1024 bits inseguras y, si es el caso, qué debe haberse al respecto?. 

El récord de factorización público actual es de 512 bits, utilizando ordenadores de propósito general.  La prudencia nos obliga a que sospechemos que instituciones como la ASN (Agencia de Seguridad Nacional de EE.UU.) pueden superar dicho récord de forma privada, aunque no sabemos por qué porcentaje.

En 1995 estimé que la longitud de las claves necesarias para protegernos de diferentes adversarios: individuos, corporaciones y gobiernos (Applied Cryptography, segunda edición, tabla 7.6, página 162). En aquel momento sugerí que se debería migrar a claves de 1280 bits o, incluso, 1536 bits, si nos preocupaba tener a grandes corporaciones y gobiernos como adversarios.:

Longitud recomendada de la clave pública RSA

        Año       Ind.       Corp.     Gob.
        1995      768      1280      1536
        2000    1024      1280      1536
        2005    1280      1536      2048
        2010    1280      1536      2048
        2015    1536      2048      2048

Mirando estos números escritos hace siete años, creo que eran conservadores, aunque no demasiado.  La factorización, al menos entre la comunidad académica, no ha progresado tan rápido como esperaba.  Pero el progreso matemático ocurre a ráfagas, y un descubrimiento transcendental puede recuperar el progreso perdido.  Así que si estuviese haciendo estas recomendaciones hoy mismo, mantendría mis estimaciones del año 2000.

Hace tiempo que creo que una clave de 1024 bits puede romperse con una máquina de mil millones de dólares.  Y sigo creyendo también que una clave RSA de 1024 bits es aproximadamente equivalente a una clave simétrica de 80 bits (en Applied Cryptography, escribí que una clave RSA de 768 bits es equivalente a una clave simétrica de 80 bits; eso probablemente fue una infravaloración de las claves RSA).

Comparar claves simétricas com asimétricas es como comparar manzanas con naranjas.  Recomiendo claves simétricas de 128 bits porque trabajar con ellas es tan rápido como con claves de 64 bits.  Esto no es cierto para las claves asimétricas.  Doblar el tamaño de la clave supone, aproximadamente, dividir la velocidad de procesamiento software por seis.  Esto puede no tener importancia para PGP, por ejemplo, pero puede convertir aplicaciones cliente-servidor como SSL en tortugas.  He visto artículos proclamando que se necesita una clave RSA de 3072 bits para que tenga una resistencia equivalente a una clave simétrica de 128 bits, y claves RSA de 15.000 bits para resistir como claves simétricas de 256 bits.  Este tipo de mentalidad es ridículo.  Las prestaciones y los modelos de ataque son tan diferentes que la comparación no tiene ningún sentido.

No hay razón para el pánico y para descartar los sistemas actuales: No creo que el anuncio de Bernstein haya cambiado nada.  En la actualidad podemos estar razonablemente contentos con nuestras claves de 1024 bits, y los militares e instituciones lo bastante paranoicas como para temerlas deberían haberlas actualizado hace años.

En mi opinión, la gran noticia del anuncio de Lucky Green no es que crea que las investigaciones de Benstein sean lo bastante preocupantes como para aconsejarle revocar sus claves de 1024 bits sino que, en el 2002, Lucky Green todavía tiene claves RSA de 1024 bits que revocar.

Esta discusión subraya la inmensa inercia en el despliegue de claves.  Mucha gente todavía utiliza claves cortas.  El mensaje de Lucky Green ha arrojado luz sobre este fenómeno.  Escribió "a la luz de esto, he revocado todas mis claves PGP personales de 1024 bits y la gran telaraña de confianza que dichas claves han adquirido con el tiempo".  La malla de confianza asociada a dichas claves tenía un gran valor, y restablecerla con un nuevo conjunto de claves será difícil y llevará tiempo.  Para Green, el coste era más importante que tener claves "lo bastante grandes".

El anuncio de Lucky Green en BugTraq
http://online.securityfocus.com/archive/1/263924

Mi ensayo sobre el artículo de Bernstein sobre factorización
www.counterpane.com

Cobertura periodística
http://zdnet.com.com/2110-1105-863643.html
www.infosecuritymag.com

Otros ensayos sobre el artículo de Bernstein
www.rsasecurity.com

Más Información:

Is 1024 Bits Enough?
www.counterpane.com

Circuits for Integer Factorization: a Proposal
http://cr.yp.to/papers.html#nfscircuit

Jesús Cea Avión


  Inicio