<div dir="ltr">Using 1024-bit keys is silly, but PoC||GTFO</div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Oct 4, 2014 at 12:08 PM, ianG <span dir="ltr"><<a href="mailto:iang@iang.org" target="_blank">iang@iang.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">(some skepticism about whether this there is really a break in OpenSSL,<br>
but the rumour mill will no doubt throw mud on the 1024 bit part as well...)<br>
<br>
<br>
<br>
OpenSSL bug allows RSA 1024 key factorization in 20 minutes<br>
<br>
<a href="https://www.reddit.com/r/crypto/comments/2i9qke/openssl_bug_allows_rsa_1024_key_factorization_in/" target="_blank">https://www.reddit.com/r/crypto/comments/2i9qke/openssl_bug_allows_rsa_1024_key_factorization_in/</a><br>
<br>
Supposedly.<br>
<br>
So just a few minutes ago has finished a talk at Navaja Negra 2014, the<br>
third? most important security congress in Spain, where the speaker (a<br>
member of the organization) claimed to have found a bug in OpenSSL RSA<br>
key generation, which he is able to exploit to factorize N into p and q<br>
in around 20 minutes (on a laptop). He did a live demo. I wasn't there,<br>
but some friends were.<br>
<br>
He claimed:<br>
<br>
    The bug originates in this lines of rsa_gen.c:<br>
<br>
    117 bitsp=(bits+1)/2;<br>
    118 bitsq=bits-bitsp;<br>
<br>
    the main problem being that the rounding of 1025 isn't downwards but<br>
upwards, resulting in bitsp= 513 and bitsq=511, which, supposedly, later<br>
on the code and due to compiler optimizations, causes the bug.<br>
<br>
    It affects all versions of OpenSSL.<br>
<br>
    He is neither going to report it to the developers, nor publish<br>
anything.<br>
<br>
I personally think he's full of shit, but the fact that he's a member of<br>
the organization and thus not only his personal prestige but also the<br>
organization's is at stake, makes you wonder. Anyhow, we'll see.<br>
<br>
I posted it yesterday to netsec but the mods removed it. Let's discuss<br>
it here!<br>
<br>
Edit 1: so my friends talked to him today, and he's serious about it. He<br>
says he's broken 1024 keys on Amazon clusters in 18 seconds.<br>
<br>
Edit 2: he claims some guy from Argentina found the same thing 6 years<br>
ago, and has been trying to show it on cons since then, but no con<br>
accepted his talk because they wouldn't believe him.<br>
<br>
Edit 3: he also says the attack consists in trying "probable primes",<br>
whose probability is generated by said bug. Might it be some variation<br>
on Fermat's attack?<br>
_______________________________________________<br>
The cryptography mailing list<br>
<a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>
<a href="http://www.metzdowd.com/mailman/listinfo/cryptography" target="_blank">http://www.metzdowd.com/mailman/listinfo/cryptography</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Tony Arcieri<br>
</div>