500万個のSSH公開鍵を解析する実験

insiderman 曰く、　GitHubに登録されている約500万個のSSH公開鍵を収集し、解析を行ったという発表資料が公開されている。これによると、そのうち35個が鍵のビット数が少なく「攻撃可能そうな鍵」だったという。

　SSHで利用される公開鍵認証では、そのビット数で強度が大きく変わることが知られており、多くの場合は2048ビットの鍵が使われている。しかし、検証結果では256ビットや512ビットの鍵が計35個見つかったという。ビット数が少ない公開鍵の場合、素因数分解でそこから秘密鍵を生成でき、実験では256ビットのRSA鍵を3秒で素因数分解できたという。また、古いDebianで作られた脆弱な鍵も見つかったという。

　そのほか、「素数2つの積でない」鍵も見つかったとのことで、これはコピペミスで不適切な鍵が登録されたものではないかと考察されている。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
200 台の PS3 で 112 ビット楕円曲線暗号の解読に成功 2009年07月16日
SSLで使われる証明書の偽造に成功、200台のPS3でMD5をクラック 2009年01月02日
Debianのopensslパッケージに欠陥発覚 2008年05月16日