Якщо зростання потужності мережі біткойн продовжиться і далі в поточному темпі, то обчислювальна міць цієї мережі може скласти безпосередню загрозу криптостійкості RSA-1024 вже через рік-півтора.
Криптовалюта Біткоін використовує підбір хешів для закріплення проведених транзакцій. Ця операція вимагає істотних обчислювальних ресурсів, але зі зростанням курсу криптовалюти і появи відеокарт, що дозволяють ефективно вважати потрібну криптографію, на підбір хешів були підключені істотні обчислювальні ресурси, що вже перевершили потужність професійних суперкомп'ютерів і мереж розподілених обчислень (наукових і не дуже).
Безпосередньо робота мережі біткойн-майнерів (тих, хто займається підбором хешів) не становить загрозу для криптографічних ключів, проте її приклад - хороша оцінка того, які обчислювальні потужності можна зібрати, якщо платити всім учасникам гроші. Причому платити не просто один великий приз за знаходження закритого ключа, як це робилося досі, а не дуже великі гроші, пропорційні внеску в роботу по злому. Крім того, частина ресурсів біткоін-майнерів може бути досить швидко перехоплена, якщо буде оголошено конкурс на злом криптографічного ключа, що дає більший дохід, ніж майнінг біткойнів.
Під катом - невеликий прогноз зростання потужності мережі, оцінки часу і вартості злому.
Прогноз потужності
Поточна потужність мережі біткоін-майнерів становить 46 петафлопс (PetaFLOP/s), з такою потужністю ламати один ключ RSA довжиною 1024 біта найефективнішим алгоритмом потрібно в середньому 6.4 року (засновано на оцінці, що для злому одного ключа потрібно в середньому 1012 MIPS-років або близько 9.47 йоттафлоп - 9.47 * 1024 флоп).
Графік сукупної потужності за останній рік дуже добре лягає на експоненту з підставою «зростання 2.3% на день» (на логарифмічній шкалі це пряма). Якщо зростання потужності буде йти такими ж темпами, то:
1) До початку 2012 року потужність зросте до 3.8 ексафлопс, на злом RSA-1024 буде необхідно в середньому 28.5 днів,
2) До середини 2012 потужність складе 242 ексафлопса, на злом RSA-1024 буде необхідно в середньому 11 годин,
3) До початку 2013 потужність складе 16 зетафлопс, на злом RSA-1024 буде необхідно в середньому 10 хвилин,
Нагадую, мова йде про злом одного ключа RSA-1024, а не про отримання кошти для злому будь-якого ключа. Але якщо це буде кореневий сертифікаційний ключ якої-небудь PKI-інфраструктури, то вся інфраструктура буде скомпрометована - володар закритого ключа (або хто завгодно, якщо закритий ключ буде опублікований) зможе підробляти сертифікати в необмеженій кількості.
Звичайно, зростання мережі може сповільнитися або припинитися (гіків з відеокартами кінцева кількість, електроенергія не безкоштовна і т. д.), мережа може скоротитися або зникнути зовсім. Але тенденція тримається вже майже рік.
Ціна питання
Зараз приз за один блок становить 50 біткойнів (плюс податки, але вони поки складають частки біткойна). Блоків на годину знаходять близько 7, тобто робота мережі приносить учасникам близько 350 біткойнів на годину, зараз це $3000 за курсом mtgox.
Складно прогнозувати, скільки буде коштувати біткойн навіть через місяць, можливо його вартість буде рости пропорційно потужності мережі.
Однак хтось може запастися біткойнами зараз і використовувати їх для оплати злому ключа через рік або півтора. $33000 за злом через рік або $500 за злом через півтора року - не дуже великі гроші, коли мова йде про кореневий сертифікат.
Вивід
Злом криптографічних ключів спрощується, якщо учасники отримують гроші за свій внесок, а не тільки один приз.
Загроза для RSA-1024 вже абсолютно серйозна, вкрай бажано протягом року відмовитися від цієї довжини RSA ключів для сертифікаційних ключів і за 2 роки - від особистих ключів такої довжини.
Власне, експерти попереджали нас давно, але тепер загроза стала суттєво матеріальнішою.
Тим не менш, сертифікаційних ключів на RSA-1024 ще повно. Ось, наприклад, Gmail каже мені, що SSL посвідчений кореневим сертифікатом «VeriSign Class 3 Public Primary CA», який годен аж до 2028 року, але він - RSA-1024.
Наступний крок за складністю - криптографічні ключі ECC-160, на них потрібно приблизно в 10 разів більше обчислювальних ресурсів (близько 1013 MIPS-років).
