Em estudo publicado em fevereiro e intitulado Ron was wrong, Whit is right, em que foram testadas milhões chaves públicas X.509 coletadas na web, especialistas em criptografia encontraram o que dizem ser uma frequência assustadoramente alta de chaves privadas RSA duplicadas. Segundo os especialistas, o módulo RSA de 1024 bits fornece a segurança de 99,8% na melhor das hipóteses. “As chaves privadas são acessíveis a qualquer pessoa que se dê ao trabalho de refazer o nosso trabalho.”

De 6,4 milhões de diferentes certificados X.509 e chaves PGP que usam o algoritmo RSA, 71.052 (1%) ocorrem mais de uma vez, alguns deles milhares de vezes. “Mais sério ainda, nós esbarramos em 12.720 diferentes módulos RSA de 1024 bits que não oferecem segurança”, dizem os pesquisadores. E ainda “De 11,4 milhões de módulos RSA, 26.965 são vulneráveis, incluindo os de 2048 bits”.

Para os especialistas, a pesquisa mostrou que a criptografia simétrica, como o ElGamal ou o DSA, com base no método Diffie-Hellman, é menos arriscada do que a criptografia baseada no RSA. Daí o título da pesquisa, “Ron estava errado, Whit está certo”, como uma referência à Whitfield Diffie, inventor do método Diffie-Hellman, juntamente com Martin Hellman, e à Ron Rivest, co-inventor do algoritmo RSA.

Em resumo, os pesquisadores dizem que encontraram “a grande maioria das chaves públicas funcionando conforme o esperado”, mas que foi desconcertante descobrir que dois em cada mil chaves RSA coletados não oferecem segurança.

Acesse a pesquisa Ron was wrong, Whit is right

fonte:
NetworkWorld