RC5-64 sleutel gevonden

Distributed.net heeft bekendgemaakt dat er een eind is gekomen aan de RC5-64 challenge omdat de gezochte sleutel is gekraakt. Na 1.757 dagen, oftewel na ruim 4 jaar, is door een anoniem persoon de gezochte sleutel ingezonden.

RC5-64

De RC5-64 challenge is door het bedrijf RSA Security in het leven geroepen met als doel de veiligheid van het RSA encryptie algoritme te controleren door middel van een 'brute-force' hackpoging. Distributed.net is een instantie die heeft besloten een netwerk te bouwen ten einde met een grote groep vrijwilligers deze uitdaging aan te gaan. Hiervoor heeft Distributed.net een groot aantal software clients geschreven voor diverse platforms die de 'idle-time' van de processor benutten voor het kraken van de sleutel. Daarnaast voorziet deze instantie in een aantal servers waar de data die de clients hebben gecontroleerd wordt verzameld. Naast RC5-64 is Distributed.net deelnemer in nog een aantal andere projecten, waaronder OGR-25.

RC5 is een algoritme voor het beveiligen van gegevens door middel van encryptie. De gebruikte sleutelgrootte voor het de- en encrypten van de data kan verschillen. In het geval van het RC5-64 project is deze sleutelgrootte 64-bits. In het verleden heeft RSA een challenge uitgeschreven voor RC5-56, waarbij een 56-bits sleutel werd gebruikt. In het algemeen geldt: hoe groter de sleutel, hoe moeilijker de versleutelde data is te kraken.

De winnaar

In 1997 werd de RC5-64 challenge gestart; de uiteindelijke sleutel werd op 14 juli van dit jaar gevonden door een Pentium III op 450MHz die in Tokyo gestationeerd is. De eigenaar van de pc verkoos ervoor om anoniem te blijven. De gezochte sleutel was 0x63DE7DC154F4D03 en de tot nu toe onbekende tekst was "some things are better left unread". RSA had een beloning van 10.000 dollar ter beschikking gesteld aan de instantie of persoon die de juiste sleutel wist aan te leveren. De uiteindelijke winnaar, die via Distributed.net aan het project deelnam, krijgt dit bedrag echter niet uitgekeerd. Distributed.net heeft namelijk in het verleden besloten om de 10.000 dollar op te delen: 6.000 dollar voor een goed doel, 1.000 dollar voor de inzender van de juiste sleutel, 1.000 voor het team waar de winnaar lid van is en 2.000 dollar voor Distributed.net zelf, teneinde het netwerk en de software te verbeteren.

Dutch Power Cows

Een van de leuke aspecten van de RC5-64 challenge was dat Distributed.net uitgebreide statistieken ter beschiking stelde, waarop de aantal gecontroleerde 'work units' (wu's) per individuele gebruiker bijgehouden werden. Hierdoor onstond er een soort competitie om als deelnemer zoveel mogelijk wu's te controleren, teneinde hoog in de ranglijst te komen. Dit competitiegevoel werd versterkt door de mogelijkheid om samen te werken in teams.

Veel grote websites met een 'community', zoals AnandTech, Slashdot hadden een eigen team. Zo ook Tweakers.net uiteraard: de Dutch Power Cows (DPC). De meeste mensen zal dit ongetwijfeld niet zijn ontgaan, aangezien in de beginjaren van Tweakers.net dagelijks hitparades en grafieken op de frontpage verschenen. Na een lange inhaalslag was op 17 januari 2001 het moment aangebroken dat DPC de nummer één positie in het algemeen klassement overnam van AnandTech. Tot op de dag van vandaag waren we in staat deze positie te behouden; een prestatie waar iedereen die hieraan heeft meegeholpen trots op kan zijn .

Hoewel het RC5-64 project nu ten einde is gekomen, houdt DPC zeker niet op te bestaan. Tegenwoordig is het DPC team terug te vinden in de ranglijsten van een groot aantal projecten, waaronder OGR-25, THINK, SETI@Home. Hiervoor zijn uiteraard nog steeds leden welkom. Uitgebreide informatie over DPC in het algemeen en de diverse projecten is te vinden in de F.A.Q.. Daarnaast zal Distributed.net starten met een nieuw RC5 project, te weten RC5-72. Wanneer dit echter zal beginnen is helaas nog niet bekend:

On 14-Jul-2002, a relatively characterless PIII-450 in Tokyo returned the winning key to the distributed.net keyservers. The key 0x63DE7DC154F4D03 produces the plaintext output:

The unknown message is: some things are better left unread

Unfortunately, due to breakage in scripts (dbaker's fault, naturally) on the keymaster, this successful submission was not automatically detected. It sat undiscovered until 12-Aug-2002. The key was immediately submitted to RSA Labs and was verified as the winning key.

So, after 1,757 days and 58,747,597,657 work units tested the winning key was found! While it's debatable that the duration of this project does much to devalue the security of a 64-bit RC5 key by much, we can say with confidence that RC5-64 is not an appropriate algorithm to use for data that will still be sensitive in more than several years' time. On the distributed computing front, however, the RC5-64 project clearly demonstrates the viability of long-term, volunteer-driven, internet-based collaborative efforts. The next time someone bemoans the public's short attention span or need for instant gratification you should remind them what 331,252 people were able to accomplish by joining together and working for nearly five years. distributed.net's RC5-64 project clearly shows that even the most ambitious projects can be completed by volunteers thanks to the combined power of the internet and distributed computing.