OpenSSLの脆弱性によりRSA暗号の1024ビット鍵が20分で因数分解できる

2015/07/22

1： キングコングラリアット(大阪府)＠＼(^o^)／:2014/10/06(月) 09:27:44.27 ID:gcLmcTRV0.net

http://img.2ch.sc/ico/anime_charhan01.gif

海外掲示板Redditに「OpenSSLの脆弱性によりRSA暗号の1024ビット鍵が20分で因数分解できる」との投稿があり、Twitterなどで話題になっています。
OpenSSLとは、インターネット上における標準的な暗号通信プロトコルであるSSLやTLSに対応したオープンソースのライブラリーです。

ただし、この投稿の内容を再現できているRedditユーザーはいないようで、信ぴょう性が疑われている状況です。

問題の投稿によれば、スペインのセキュリティカンファレンス「Navaja Negra 2014」で、OpenSSLにおけるRSA暗号の鍵生成にバグがあるとの報告がなされたとのこと。
報告者は、ラップトップを使用し、1024ビット（10進数で309桁）の整数をたったの20分で素因数分解するライブデモを披露したと言います。

RSA暗号とは、2つの素因数を乗じた数を計算するのには時間がかからないが、
逆に乗じた数を素因数に分解するためにはかなりの計算時間を必要とすることを安全性の根拠としている公開鍵暗号で、現在広く利用されています。
たとえば、 23×53=1219 となることを暗算することはそこまで難しくはありませんが、1219を暗算で素因数分解することは難しくなります。
桁数が増えれば増えるほど素因数分解に要するリソースは増加していき、暗号の安全性が高まるとされているわけです。

仮に、たった20分で素因数分解できるとすれば、1024ビットのRSA暗号に関しては、その安全性の根拠が崩れることになります。

今回の投稿では、報告者が主張する脆弱性は、OpenSSLのrsa_gen.cファイルに存在する端数処理に関するバグに起因すると説明されています。
また、OpenSSLの全バージョンに影響するとの注意もなされています。

http://appllio.com/20141006-5767-open-ssl-1024-rsa

15： リバースパワースラム(庭)＠＼(^o^)／:2014/10/06(月) 09:37:41.40 ID:bPsUMEe70.net

いまだに1024bit使ってる時点でアホ

25： 雪崩式ブレーンバスター(静岡県)＠＼(^o^)／:2014/10/06(月) 09:55:46.73 ID:iPZEiQ6Z0.net

因数分解できまぁーす

35： 名無しさんがお送りします:2014/10/06(月) 10:57:51.71 ID:Y0ghUPwnc

専門家によるとデマらしいが、反証したら飯奢ってもらえるらしいぞ

40： 河津掛け(東京都)＠＼(^o^)／:2014/10/06(月) 11:02:22.02 ID:GvPBxK/j0.net

素因数分解の難しさっていうのは量子コンピュータがあったら突破されるの？

41： スターダストプレス(徳島県)＠＼(^o^)／:2014/10/06(月) 11:04:26.66 ID:I5TH9rdN0.net

通り過ぎる自動車のナンバーを
素因数分解していたらかなりの確率で事故る。

これ、豆知識な。

42： ジャンピングパワーボム(WiMAX)＠＼(^o^)／:2014/10/06(月) 11:08:24.31 ID:eugN7EgV0.net

>>40
難しさは変わらない。
今のPCでも解くことはできるけど、現実的でないほど長い時間がかかる。
量子コンピュータだと、この手の計算が得意で早いから現実的な時間内で解ける。

47： スターダストプレス(徳島県)＠＼(^o^)／:2014/10/06(月) 11:25:00.43 ID:I5TH9rdN0.net

ここに　1219　と書かれた金庫がある。

前には、数値を入力する端末が2台並んでいる。
それぞれに正しい整数を入力すれば金庫は開くようだ。

・銀行員が君に鍵を1つ渡しました。それには23と書かれています。
　君は端末に23と入力した。
　次に　1219　÷　23 = 53と暗算し、残りの端末に53と入力した。

　金庫は開いた。

・ハッカーが金庫にやってきました。
　金庫に書かれた1219という数字を見て、暗算で素因数分解を始めました。
　10時間ほど計算をした後で、ハッカーは疲れきって諦めて帰ることにしました。

49： ジャンピングDDT(北海道)＠＼(^o^)／:2014/10/06(月) 12:09:38.78 ID:Tm6V2Kfb0.net

RSA暗号では、1024ビットの公開鍵を総当たりして破るとなると、家庭用のPCで何年何十年間、計算し続けないと復号できんよ。

今回の指摘は、サーバー側で公開鍵作っているため、その作っている最中の過程を見られたとすれば、公開鍵を作る過程で秘密鍵も作れるのだから、open -SSLの穴を突かれたことになるんでないの？

78： マシンガンチョップ(空)＠＼(^o^)／:2014/10/07(火) 11:12:35.82 ID:Mm2I4f3n0.net

素数2つでしょ？
a × b = c
aとbは素数

なら
c>=a、c>=b

素数テーブルを用意すれば組み合わせの数なんてすくないんじゃないの？
知らんけど

79： ファイヤーボールスプラッシュ(滋賀県)＠＼(^o^)／:2014/10/07(火) 11:39:06.09 ID:wWcLAO1q0.net

>>78
512ビットの素数だけでもだいたい 1.9×10^305 個くらいあるんだが。
宇宙全部をひとつのメモリにしても足りない。

80： ファイヤーボールスプラッシュ(滋賀県)＠＼(^o^)／:2014/10/07(火) 11:41:59.16 ID:wWcLAO1q0.net

>>78
計算間違えてた。1.9×10^151 が正しい見積もり。
それでも宇宙全部をひとつのメモリにしても足りんね。

81： 急所攻撃(庭)＠＼(^o^)／:2014/10/07(火) 13:45:29.33 ID:knydel7H0.net

>>78
こういうこと言う上司が居なくなるとブラックは多少は減るな

83： 急所攻撃(新疆ウイグル自治区)＠＼(^o^)／:2014/10/07(火) 17:20:55.92 ID:xFyB00OJ0.net

>>47
1219が素数同士の積ってわかてるなら、
2から35までの奇数の組み合わせなので、
10時間も途方に暮れなくてもいいように思うけど。

86： ウエスタンラリアット(新疆ウイグル自治区)＠＼(^o^)／:2014/10/07(火) 18:12:07.85 ID:ZSM0CVtP0.net

そもそも社会の根幹を扱うような暗号化技術なのに
そのソースコードが公開されてるとか狂気の沙汰

87： ジャンピングDDT(芋)＠＼(^o^)／:2014/10/07(火) 18:51:53.73 ID:QuE/PhSt0.net

>>86
ネタにマジレスしてやるが
秘密はバレたらおしまい
アルゴリズムを公開しても具体的な暗号がバレないことが求められる

88： ◆sLgFl7859I (庭)＠＼(^o^)／:2014/10/07(火) 19:17:16.58 ID:6k1NTQaJ0.net

>>86
うーん
誤解を恐れず、お札に例えると、
ここにマイクロ文字が仕込んでありますよ
って公開するレベル
それだけ知っても役には立たない

89： ニールキック(奈良県)＠＼(^o^)／:2014/10/07(火) 21:21:53.85 ID:Ct5E14hB0.net

>>86
公開されてないほうがよっぽど狂気の沙汰じゃん…
堅固さを検証する方法がない暗号なんて誰が使うんだよ

91： エルボーバット(東京都)＠＼(^o^)／:2014/10/07(火) 22:41:48.64 ID:efX9+XRi0.net

>>86
釣りはやめろ

92： 頭突き(徳島県)＠＼(^o^)／:2014/10/07(火) 23:11:59.14 ID:NvYzdQZ50.net

>>86
Open Sourceじゃないと
かえって胡散臭くて怖いわ

98： ニールキック(奈良県)＠＼(^o^)／:2014/10/08(水) 12:17:12.69 ID:v//W8FAN0.net

>>95
オボボ細胞と同じで再現性ないみたいだしな

引用元：

http://hayabusa3.2ch.sc/test/read.cgi/news/1412555264/

- 論文