Krüpplografie des tages

Triggerwarnung: wer weiß, wie RSA funkzjoniert, sollte vor dem klick auf den folgenden link alle flüssigkeiten aus dem mund entfernen, um eine große sauerei zu verhindern.

Kryptografie ist eh schon so schwierig. Dafür sollte man zum ausgleich das brechen des kohds erleichtern, indem man ganz kleine primzahlen für die RSA-kryptografie nimmt.

Warum man für RSA besser zahlen mit mehr als vierzehn bits nehmen sollte, lässt sich sogar in der wicked pedia nachlesen.

Da dieses hochnotlächerliche Rsa::generate_keys() mit sicherheit in den näxsten paar tagen, wochen oder jahren (dieser kohd steht schon seit drei jahren dort) durch eine korrekte implementazjon ersetzt wird, hier eine archivierte versjon davon. Wenn ihr was mit krypto macht, denn denkt immer dran: kryptografie richtig zu machen ist nicht einfach, aber es ist zum ausgleich sehr einfach, fehler zu machen. Nehmt bewährten kohd anderer leute, und… ähm… werft da lieber trotzdem nochmal einen blick drauf, bevor ihr den kohd nehmt! Bei der oben verlinkten krüpplografie handelt es sich um bibliotekskohd, der anwendern sichere kommunikazjon untereinander ermöglichen sollte. Ich habe keine ahnung, wo das überall verbaut ist… 😦

Nachtrag 17:00 Uhr: Ärgerlicherweise ist dieses kleine mahnmal bei github gelöscht worden. Zu schade! Aber um so besser, dass ich an ein archiv gedacht habe.

Nachträge — security-meldung des jahres! Das wäre sie gewesen…

Ja, ich weiß, das jahr ist noch lang, aber ich bin mir sicher, dass diese meldung nicht mehr überboten wird: RSA mit 4096-bit-schlüssel scheint gebrochen zu sein; das faktorisierungsproblem in dieser größenordnung scheint lösbar zu sein oder die schlüsselerzeugung scheint zumindest in einigen implementazjonen einen ziemlich bösen fehler (oder eine hintertür) zu haben. Ich tippe übrigens auf letzteres.

Ich schreibe jetzt mal nichts weiter dazu, bis ich mehr weiß, aber wenn das stimmt, ist verdammt viel kryptografie auf einmal kaputtgegangen. Natürlich auch PGP.

Nachtrag: was zum henker! So weit hatte ich noch gar nicht gelesen, als ich aufgeregt tippte… was waren das für „primzahlen“? Weia!

Nachtrag Zwei: Weitgehende entwarnung!

News about a broken 4096 bit RSA key are not true. It is just a faulty copy of a valid key.

Es handelte sich um einen fehlerhaften subkey, der einfach zum keyserver hochgeladen wurde.