ROCA (The Return of Coppersmith’s Attack).
The time complexity and cost for the selected key lengths (Intel E5-2650 v3@3GHz Q2/2014):
512 bit RSA keys - 2 CPU hours (the cost of $0.06);
1024 bit RSA keys – 97 CPU days (the cost of $40-$80);
2048 bit RSA keys – 140.8 CPU years, (the cost of $20,000 - $40,000).
Bryan
Y por eso hay que usar llaves de 4096
Paradójicamente en el paper encontraron que de las llaves afectadas las de 4096 bits son más fáciles de romper que las de 3072 bits.
Bryan
* vuelve a leer el paper *
No era que no era práctico?
En ninguno de los 2 casos es práctico. Pero consideran más difícil el caso de 3072
Bryan
Ah ah
Seh ya lei
Note that 4096-bit RSA key is not practically factorizable now, but may become so, if the attack is improved.
“Use key lengths which are not currently impacted (e.g., 3936 bits) by our factorization method. Be aware: use this specific mitigation only as a last resort, as the attack may be improved.”
no es más bien que por eso no hay que usar RSA?
como si fueran los 80’s
(y en criptografía de curvas elípticas, con 256 bits se la juega uno relajado)
Pero rsa no es el vulnerable, es infineon. Openssl no es vulnerable a ROCA.
si, de acuerdo… lo decía por lo del tamaño de las llaves
obviamente una mala implementación de curvas elípticas sería peor que RSA de openssl
pero el tamaño de las llaves es indepediente de eso (i.e. no protege contra errores de implementación)
por otro lado (ya no relacionado a lo de ROCA y ya no en broma), uno si debería ir migrando a criptografía de curvas elípticas
Aún no veo el paper. Pero me imagino que la vulnerabilidad está el generar números primos. Creo que rsa es relativamente simple, como para cometer errores. 
No sé de curvas elípticas…
@elopio había pasado un link hace meses para migrar las llaves de ssh de uno, que sería un buen comienzo:
y ahora lo que viene y está muy interesante es criptografía homomórfica y zk-SNARKs para zero knowledge proof
pero eso apenas estoy empezando a leer al respecto
(aunque creo que su fin es otro diferente)
por cierto, volviendo a lo de ROCA… ese era el mismo problema con la firma digital de Estonia, no? porque usaban esa biblioteca?
si, ese es: Estonian identity card - Wikipedia
me pregunto que habrán usado acá
Gerald Angelripper
Yo migre a ed25519 hace ratillo por mi paranoia baja, leí un artículo sobre ECDSA cuando estaba siendo desarrollado por el gobierno de USA
si, exacto… ecdsa no matiza
en el artículo lo dice:
ECDSA: depends. Recommended to change
bueno, buen punto… decir “curvas elípticas” puede ser confuso si uno no especifica que se refiere específicamente a “curvas de Edwards” (que no es lo mismo pero están altamente relacionadas)