Wetenschappers Tanja Lange en Daniel Bernstein hebben de zogenaamde Roca-aanval onderzocht en zijn tot de conclusie gekomen dat deze tot 25 procent sneller uit te voeren is. Dat heeft gevolgen voor een realistisch aanvalsscenario.
De onderzoekers publiceren hun bevindingen in een blogpost. Daarin schrijven ze dat ze hun methode hebben ontwikkeld door de beperkte informatie te bekijken die de ontdekkers van de Roca-aanval ongeveer drie weken geleden publiceerden. Ze melden dat het niet moeilijk was om de aanval te reconstrueren, waardoor zij aannemen dat een 'serieuze aanvaller' de kwetsbaarheid zelf ontdekt zou kunnen hebben en deze had kunnen misbruiken. Ze waren in staat om de aanval tot 25 procent sneller te maken. Ars Technica meldt dat de originele ontdekkers vervolgens een aanval ontwikkelden die vier keer efficiënter was dan de oorspronkelijke.
Lange en Bernstein zeggen dat de oorspronkelijke schattingen over de kosten van een daadwerkelijke aanval veel te hoog zijn ingeschat. Volgens de ontdekkers was 20.000 euro voldoende voor een gemiddelde aanval, maar daarbij gingen ze uit van gehuurde apparatuur en consumenten-cpu's. Dat zou sneller kunnen door eigen apparatuur aan te schaffen die de tijd van een gemiddelde aanval terugdringt naar vier maanden. De cpu's zouden vervangen kunnen worden door gpu's, fpga's of asic's, aldus Lange en Bernstein.
Een aanval met gpu's zou bijvoorbeeld de kosten van het kraken van een kwetsbare 2048bit-sleutel verlagen naar 2000 dollar, stelt Enigma Blue-ceo Dan Cvcek in een e-mail aan Ars Technica. Lange en Bernstein zijn het verder oneens met de inschatting dat verkiezingsfraude in Estland zou vereisen dat alle kwetsbare id-kaarten met de rsa-sleutels worden gekraakt. Een aandeel van 10 procent zou al aanzienlijke verschuivingen in de uitkomst teweeg kunnen brengen. Estland blokkeerde afgelopen vrijdag de certificaten van 760.000 digitale id-kaarten, omdat deze gebruikmaken van de kwetsbare rsa-sleutels.
De door Infineon-chips geproduceerde rsa-sleutels zijn vatbaar voor een zogenaamde factorization attack. Dit betekent dat de publieke sleutel de privésleutel kan onthullen, wat nooit zou mogen gebeuren. Volgens Lange en Bernstein is dit een probleem omdat rsa niet alleen wordt gebruikt voor digitale handtekeningen, maar ook voor encryptie. Dat betekent dat een aanvaller die beschikt over een onderschepte versleutelde tekst later de inhoud terug kan halen, ook al heeft de verzender op een later tijdstip zijn kwetsbare sleutels vervangen.