Arjen Lenstra和James Hughes等人发表了一篇研究论文(PDF),他们从网上收集了1170万个公钥,验证公钥的有效性,是否容易被破解。结果发现,每1000个RSA公钥就有两个不安全。在收集到的470万1024位RSA公钥中,有12720个是用常见单质因子生成。
研究人员称现实中的RSA公钥系统的安全性明显弱于基于Diffie Hellman的ElGamal或(EC)DSA加密算法。安全研究员Dan Kaminsky认为,论文调查数据充实,但结论并不支持作者观点。他指出,加密技术的风险不是由选择的密码,而是由密钥管理控制的。
研究发现了12720个易破解的公钥,但同时还发现了294万过期证书。但论文并没有讨论证书,因为用户不会轻易相信证书,如果没有需求,密钥的强度并不重要。调查只是说明了网络上的公钥并不能完全信任。密钥管理才是目前密码技术的大难题。
更多阅读:
