RSA 2048? Reicht das heut zutage noch aus?

Ist eine RSA 2048 verschlüsselung überhaupt noch sicher genug? Ich meine wenn ein FBI da an die Daten will sollten die ja genug Rechenpower haben um den Schlüssel in angemessener Zeit zu knacken oder?

Benutzer wird von Ihnen ignoriert. Anzeigen

Rhaegar schrieb:
--------------------------------------------------------------------------------
> Ist eine RSA 2048 verschlüsselung überhaupt noch sicher genug? Ich meine
> wenn ein FBI da an die Daten will sollten die ja genug Rechenpower haben um
> den Schlüssel in angemessener Zeit zu knacken oder?


Sagen wir es so: Wenn du so sehr in den Fokus geraten bist, dass das FBI, die CIA oder die NSA ihre gesamte Infrastruktur dafür aufwenden um das zu knacken, dann hast du so oder so schon ein ziemlich großes Problem.

Natürlich kann nicht ausgeschlossen werden, dass die Geheimdienste irgendwelche Schwachstellen im Krypto-Algorithmus entdeckt haben, die nicht bekannt sind und die sie ausnutzen. Aber da weltweit auch durchaus Fähige Mathematiker und Algorithmiker Krypto-Verfahren analysieren und jeden Tag solche Algorithmen an Universitäten gelehrt werden haben schon einige Gehirne das Verfahren durchdacht.

Brute-Force Angriffe sind praktisch ausgeschlossen. Und darauf wolltest du ja mit "Rechenpower" bestimmt hinaus.

Benutzer wird von Ihnen ignoriert. Anzeigen

Dem "kleinen Raubkopierer" wird das nicht gefährlich werden. Dafür wird die Masse an "kleinen Raubkopierern" einfach zu groß sein, als dass da die Geheimdienste ihre schweren Geschütze auffahren.

Zumindest noch... wer weiß, wie weit die Content-Lobby die Regierungen noch kriegt.

Benutzer wird von Ihnen ignoriert. Anzeigen

Brauchen sie doch gar nicht. Das FBI wartet einfach ab, bis Mega in den einschlägigen Verzeichnissen auftaucht, dann bekommen sie die Schlüssel frei Haus.
Oder glaubst du, dass Mega-Filesharer die in Zukunft nur noch über Dotcoms hochgeheimen Messanger verschicken?
Pissmodo schreibt wie üblich nur klickorientierten Bullshit und was Golem betrifft...es hat schon ein ziemliches Geschmäckle, wenn in Richtung Rapidshare auf kritischen Journalismus gemacht wird, während man gleichzeitig jeder Twitterpups vom dicken Kim wie das heilige Mantra des künftigen Messias unter die Leute blässt.

Benutzer wird von Ihnen ignoriert. Anzeigen

Ich würde sagen wenn es denen wirklich wichtig ist foltern die dich einfach so lange bis sie das Passwort haben. Ist vermutlich schneller und billiger ;)

Bei Raubkopien ist dann wohl aber doch eher unwahrscheinlich



2 mal bearbeitet, zuletzt am 19.01.13 16:50 durch CrushedIce.

Benutzer wird von Ihnen ignoriert. Anzeigen

Wenn du damit sagen willst das RSA nicht knackbar ist solange keine Schwachstelle bekannt ist liegst du falsch. Durch faktorisierung kann sehr wohl der Schlüssel geknackt werden. 2002 oder 2003 wurde bereits ein 512er schlüssel geknackt. Und da das ja jetzt schon eine Zeit her ist stellt sich mir eben die Frage ob ein 4 mal so großer überhaupt noch ausreichende Sicherheit bietet. Bei Schlüssellängen geht es ja vor allem auch um die Zeit wie lange die Daten sicher sein sollen.

Benutzer wird von Ihnen ignoriert. Anzeigen

al-bundy schrieb:
--------------------------------------------------------------------------------
> ...es hat schon ein ziemliches Geschmäckle, wenn in Richtung
> Rapidshare auf kritischen Journalismus gemacht wird, während man
> gleichzeitig jeder Twitterpups vom dicken Kim wie das heilige Mantra des
> künftigen Messias unter die Leute blässt.
*rumroll*

Das Statement des Tages kommt ganz gewiss auch wenn es spät am Mittag ist.

Benutzer wird von Ihnen ignoriert. Anzeigen

Du solltest daibe allerdings erwähnen, wie lang die Faktorierisung von dem 512 bit Key gedauert hat (in relation zum 256 bit Key vor allem, die Steigerung ist nämlich nicht linear).



1 mal bearbeitet, zuletzt am 19.01.13 16:58 durch DASPRiD.

Benutzer wird von Ihnen ignoriert. Anzeigen

Ich weiß nicht wie lange es gedauert hat, ich weiß nur das er geknackt wurde und das 1024 auch schon als unsicher ausgerufen wurde. Das die Faktorisierung nicht linear ist weiß ich aber seit dem sind ja auch schon 10 Jahre vergangen. Würd mich generell schon interessieren für wie lange ein 2048 schlüssel noch für sicher betrachtet werden kann.

Benutzer wird von Ihnen ignoriert. Anzeigen

2048Bit gelten auf alle Fälle bis 2020 noch als verdammt sicher:

http://www.keylength.com/en/compare/

und selbst bis 2030 muss man sich da keine sorgen machen.

Benutzer wird von Ihnen ignoriert. Anzeigen

RSA-2048 reicht dicke.

Der Stand ist grad ungefähr folgender: RSA-768 und alles darunter lässt sich relativ leicht knacken, RSA-1024 könnte vermutlich eine Großorganisation mit genügend Geldressourcen und Rechenpower brechen. Wir werden warscheinlich in absehbarer Zeit (gefühlt einige Jahre) sehen, dass 1024 bit auch von hochkalibrigen Forschungseinrichtungen gebrochen werden kann.

2048 ist eine ganz andere Geschichte. Es deutet im Moment überhaupt nichts darauf hin, dass das irgendwie in Gefahr ist. Wie andere schon gesagt haben: 2048 ist nicht "viermal so sicher wie 512" - es ist um viele Größenordnungen sicherer.

Es gibt nur zwei Möglichkeiten, wie RSA-2048 geknackt werden könnte: 1. Durch völlig neue Technologien, etwa durch einen Quantencomputer oder 2. durch massive mathematische Durchbrüche.

Erstmal zur Mathematik: Rein theoretisch wäre es natürlich möglich, dass jemand den genialen Trick kennt, mit dem sich RSA in sekundenschnelle knacken lässt. Aber: Das ist ziemlich unwarscheinlich. Warum? Es gab schon einige Durchbrüche bei den Angriffen, aber die waren immer so in der Form "damit geht's halt ein bißchen schneller". Dadurch hat man sich langsam an die 1024 herangetastet, so dass das heute als nicht mehr sehr sicher gilt. Es kann schon sein, dass die NSA im Keller einen Algorithmus hat, der besser ist als das, was öffentlich bekannt ist. Aber mit hoher warscheinlichkeit ist der auch nur "ein bißchen besser" - nichts, was 2048 bit gefährden könnte. Sollte RSA-2048 in Gefahr sein, wird man das viele Jahre vorher absehen können.

Quantencomputer sind dann noch so eine Sache. Allerdings muss man sich klar sein: Im Moment basteln wissenschaftler daran, quantencomputer mit Bitlängen im Einstelligen bereich zu bauen. Von da bis zu 2048 bit ist es ein riesenschritt - und viele Physiker denken, dass der nie passieren wird. Man muss dazu auch wissen: Für 2048 bit reichen nicht zwei Quantencomputer, die je 1024 bit können. Ich brauche einen, der mit 2048 bit rechnen kann. Ich würde auch hier mit gutem Gefühl behaupten: Wenn sowas auch nur ansatzweise in Reichweite gerät, wird das nicht geheim bleiben und Jahre vorher absehbar werden.

Natürlich bleibt eine kleine Unsicherheit: Es *könnte* immer noch sein, dass die NSA heimlich eine Supertechnologie hat, mit der sie einen Quantencomputer bauen kann und es könnte sein, dass die NSA ein Supergenie engagiert hat und einen geheimen Knackalgorithmus kennt. Aber realistischerweise: Es könnte auch sein dass Du morgen von einem Meteoriten auf den Kopf getroffen wirst. Und das ist vermutlich warscheinlicher.

Benutzer wird von Ihnen ignoriert. Anzeigen

Rhaegar schrieb:
--------------------------------------------------------------------------------
> Ich weiß nicht wie lange es gedauert hat, ich weiß nur das er geknackt
> wurde und das 1024 auch schon als unsicher ausgerufen wurde. Das die
> Faktorisierung nicht linear ist weiß ich aber seit dem sind ja auch schon
> 10 Jahre vergangen. Würd mich generell schon interessieren für wie lange
> ein 2048 schlüssel noch für sicher betrachtet werden kann.

ja und 2007 wurde Mersenne 1039 faktorisiert, nur war ein Faktor ziemlich klein. Solch einen Faktor würde man gar nicht verwenden. Man wählt als Modul das Produkt aus zwei möglichst gleich langen Primzahlen. Aktuell ist RSA-2048 empfohlen. Sicherlich ist RSA-2048 mit einem NSA Supercluster mit einen nicht zu verachteten Zeitaufwand knackbar, aber der wird sicherlich auch nicht für 200 Raubkopien angeworfen.



1 mal bearbeitet, zuletzt am 19.01.13 17:40 durch JP.

Benutzer wird von Ihnen ignoriert. Anzeigen

Rhaegar schrieb:
--------------------------------------------------------------------------------
> Und da das ja jetzt schon eine Zeit her ist stellt sich
> mir eben die Frage ob ein 4 mal so großer überhaupt noch ausreichende
> Sicherheit bietet.

Eine IPv6 Adresse ist auch nur "4 mal so groß", wie eine IPv4 Adresse. Du schreibst zwar, dir sei die Nicht-Linearität bewusst, aber diese Aussage offenbahrt ein mangelndes Zahlenverständnis. Und während sich bei IPv6 im Vergleich zu IPv4 der theoretische Adressraum "nur" ver-10-hoch-28-facht, gibt es bei 2048bit im Vergleich zu 512bit schon 10-hoch-462 mal soviele mögliche Keys.

Benutzer wird von Ihnen ignoriert. Anzeigen

hannob schrieb:
--------------------------------------------------------------------------------
> RSA-2048 reicht dicke.
>
> Der Stand ist grad ungefähr folgender: RSA-768 und alles darunter lässt
> sich relativ leicht knacken, RSA-1024 könnte vermutlich eine
> Großorganisation mit genügend Geldressourcen und Rechenpower brechen. Wir
> werden warscheinlich in absehbarer Zeit (gefühlt einige Jahre) sehen, dass
> 1024 bit auch von hochkalibrigen Forschungseinrichtungen gebrochen werden
> kann.
>
> 2048 ist eine ganz andere Geschichte. Es deutet im Moment überhaupt nichts
> darauf hin, dass das irgendwie in Gefahr ist. Wie andere schon gesagt
> haben: 2048 ist nicht "viermal so sicher wie 512" - es ist um viele
> Größenordnungen sicherer.
>
> Es gibt nur zwei Möglichkeiten, wie RSA-2048 geknackt werden könnte: 1.
> Durch völlig neue Technologien, etwa durch einen Quantencomputer oder 2.
> durch massive mathematische Durchbrüche.
>
> Erstmal zur Mathematik: Rein theoretisch wäre es natürlich möglich, dass
> jemand den genialen Trick kennt, mit dem sich RSA in sekundenschnelle
> knacken lässt. Aber: Das ist ziemlich unwarscheinlich. Warum? Es gab schon
> einige Durchbrüche bei den Angriffen, aber die waren immer so in der Form
> "damit geht's halt ein bißchen schneller". Dadurch hat man sich langsam an
> die 1024 herangetastet, so dass das heute als nicht mehr sehr sicher gilt.
> Es kann schon sein, dass die NSA im Keller einen Algorithmus hat, der
> besser ist als das, was öffentlich bekannt ist. Aber mit hoher
> warscheinlichkeit ist der auch nur "ein bißchen besser" - nichts, was 2048
> bit gefährden könnte. Sollte RSA-2048 in Gefahr sein, wird man das viele
> Jahre vorher absehen können.
>
> Quantencomputer sind dann noch so eine Sache. Allerdings muss man sich klar
> sein: Im Moment basteln wissenschaftler daran, quantencomputer mit
> Bitlängen im Einstelligen bereich zu bauen. Von da bis zu 2048 bit ist es
> ein riesenschritt - und viele Physiker denken, dass der nie passieren wird.
> Man muss dazu auch wissen: Für 2048 bit reichen nicht zwei Quantencomputer,
> die je 1024 bit können. Ich brauche einen, der mit 2048 bit rechnen kann.
> Ich würde auch hier mit gutem Gefühl behaupten: Wenn sowas auch nur
> ansatzweise in Reichweite gerät, wird das nicht geheim bleiben und Jahre
> vorher absehbar werden.
>
> Natürlich bleibt eine kleine Unsicherheit: Es *könnte* immer noch sein,
> dass die NSA heimlich eine Supertechnologie hat, mit der sie einen
> Quantencomputer bauen kann und es könnte sein, dass die NSA ein Supergenie
> engagiert hat und einen geheimen Knackalgorithmus kennt. Aber
> realistischerweise: Es könnte auch sein dass Du morgen von einem Meteoriten
> auf den Kopf getroffen wirst. Und das ist vermutlich warscheinlicher.

Schade das man nicht oft so gute Beiträge in diesem Forum zu lesen bekommt. Vielen Dank!

Benutzer wird von Ihnen ignoriert. Anzeigen

Um mal aufzuzeigen, von was für Größenordnungen wir hier jeden. Im falle von RSA-768:

"The effort took almost 2000 2.2GHz-Opteron-CPU years according to the submitters, just short of 3 years of calendar time."

So einen Aufwand wird man sicher nicht für ein einzelnes File eines *möglichen* Schwarzkopierers (ja verdammt, es gibt keine Raubkopierer) in Betracht ziehen.

Qulle:
http://www.rsa.com/rsalabs/node.asp?id=3723

Benutzer wird von Ihnen ignoriert. Anzeigen

caldeum schrieb:
--------------------------------------------------------------------------------
> *rumroll*
>
> Das Statement des Tages kommt ganz gewiss auch wenn es spät am Mittag ist.

Er hat halt einfach recht. Kimbles Selbstvermarktungsmaschine läuft wie geschmiert und Nutzer wie Presse fressen ihm aus der Hand. Das ist auch Kims großes Talent - er hatte noch nie Ahnung von Technik, konnte sich aber schon in den 90ern erfolgreich in der Presse als der große Aufsteiger hinstellen und sein auf Pump finanziertes "Glamour-Leben" z.B. über kimble.org (die damals wirklich jeder kannte) inszenieren.

Das nervt halt extrem angesichts der Tatsache, dass er sich z.B. nicht zu schade war, mit Leuten wie Günther Frhr.v. Gravenreuth zusammenzuarbeiten (so ein absolutes NO-GO) um seinen Kopf aus der Schlinge zu ziehen oder die ganze Hacker- und Gründerszene in Verruf zu bringen.


Zur Verschlüsselung: Natürlich ist das großer Foo. So kann Mega einfach ziemlich gut abstreiten, vom Inhalt der Dateien Kenntnis zu haben. Sollte Mega wie ein üblicher Sharehoster benutzt werden (die bisherigen Screenshots sehen ja eher nach Dropbox-Klon aus), werden die Keys einfach auf boerse.bz und Konsorten zum entsprechenden Download-Link dazu verbreitet, wie halt bisher z.B. ZIP-Passwörter. No Magic here.

Yeeeeeeeeha - Nur echt mit 2^3 e
Perl-Monk, Java-Trinker, Objective-C Wizard, PHP-Kiddie, unfreiwilliger FreeBSD-/Linux-Teilzeitadmin

Benutzer wird von Ihnen ignoriert. Anzeigen

SeveQ schrieb:
--------------------------------------------------------------------------------
> Dem "kleinen Raubkopierer" wird das nicht gefährlich werden. Dafür wird die
> Masse an "kleinen Raubkopierern" einfach zu groß sein, als dass da die
> Geheimdienste ihre schweren Geschütze auffahren.
>
> Zumindest noch... wer weiß, wie weit die Content-Lobby die Regierungen noch
> kriegt.


Wieso die Regierung? Da wird großzügig angeboten die Decodiercluster selbst zu betreiben, und den Ermittlungsbehörden nur die Auswertungen zu liefern, die dann "beweisen" was böses getan wurde. Im Grunde auch nichts anderes, als die Papierseiten, auf denen irgendwelche IPs stehen, von denen aus angeblich was gemacht wurde.

Benutzer wird von Ihnen ignoriert. Anzeigen

Rhaegar schrieb:
--------------------------------------------------------------------------------
> Ist eine RSA 2048 verschlüsselung überhaupt noch sicher genug? Ich meine
> wenn ein FBI da an die Daten will sollten die ja genug Rechenpower haben um
> den Schlüssel in angemessener Zeit zu knacken oder?


Und wenn man das was man hochlädt vorher nochmal verschlüsselt? Da können die sich ja totrechnen. ;)

Benutzer wird von Ihnen ignoriert. Anzeigen

JP schrieb:
--------------------------------------------------------------------------------
Sicherlich ist RSA-2048 mit einem NSA Supercluster mit
> einen nicht zu verachteten Zeitaufwand knackbar

Gut, das wir hier einen NSA-Insider haben, der von Wundermaschinen berichtet, die dem Rest der Welt mindestens 20 Jahre vorraus sind.

Benutzer wird von Ihnen ignoriert. Anzeigen

Sharra schrieb:
--------------------------------------------------------------------------------

> Wieso die Regierung? Da wird großzügig angeboten die Decodiercluster selbst
> zu betreiben, und den Ermittlungsbehörden nur die Auswertungen zu liefern,
> die dann "beweisen" was böses getan wurde. Im Grunde auch nichts anderes,
> als die Papierseiten, auf denen irgendwelche IPs stehen, von denen aus
> angeblich was gemacht wurde.

Das Entschlüsseln privater Daten seitens Dritter sollte jedoch gesetzlich nicht wirklich gedeckelt sein.

Benutzer wird von Ihnen ignoriert. Anzeigen