Je vaš RSA ključek zares varen?

Če katera od vaših spletnih storitev uporablja RSA modul kot kriptografski ključ za varovanje podatkov, potem imate približno za 1 odstotek možnosti, da popolnoma enak ključ uporablja tudi kakšen drug uporabnik na svetu, čeprav bi v teoriji takšen ključ moral biti edinstven. Kriptografski strokovnjaki so namreč s proučevanjem 6,4 milijona javnih kriptografskih ključev X.509 in PHP certifikatov, ki so prosto dostopni na internetu, ugotovili, da se več več kot 71.000 oziroma nekoliko več kot 1% RSA modulov ponavlja, v nekaterih primerih tudi do 1000 krat. Preprosto povedano to pomeni, da je kvazi edinstven RSA ključ dejansko deljen še z nekim drugim uporabnikom (ali nekaj tisoč uporabniki). Zaključimo lahko, da 1024-bitni RSA modul v najboljšem primeru nudi do 99,8% varnosti, a je lahko ta tudi manjša. Do sedaj je veljalo prepričanje, da algoritem generira edinstvena naključna števila, ki se ne ponavljajo.

RSA algoritem je poimenovanje dobil po svojih izumiteljih – Ron Rivest, Adi Shamir in Adleman Lena, njegova osnovna tehnika pa je bila predstavljena že davnega leta 1973. Gre za najbolj priljubljen kriptografski sistem na svetu z javnim ključem, ki omogoča izmenjavo podatkov, brez potrebe po menjavi posebnega tajnega ključa. Z drugimi besedami povedano, določena oseba lahko šifrira podatke z javnim ključem, ki jih nato druga oseba dešifrira s pomočjo svojega privatnega ključa. Metoda se lahko koristi tako za šifriranje podatkov, kot za digitalni podpis.