暴力破解RSA需要多少计算资源？

#1 楼

小于$ x $的素数数量大约为$ \ frac {x} {\ ln x} $。因此，$ 512 $位素数的数量（大约是$ 1024 $位模所需的长度）大约为：

$$ \ frac {2 ^ {513}} {\ ln 2 ^ {513} }-\ frac {2 ^ {512}} {\ ln 2 ^ {512}} \约2.76×10 ^ {151} $$

RSA模数（即两个不同的对因此素数）为：

$$ \ frac {（2.76×10 ^ {151}）^ 2} {2} -2.76×10 ^ {151} = 1.88×10 ^ {302} $现在考虑一下可观察的宇宙包含约$ 10 ^ {80} $个原子。假设您可以将每个原子用作CPU，并且每个CPU可以枚举一个模数/毫秒。要枚举所有$ 1024 $位RSA模数，您需要：

\ begin {eqnarray *}
1.88×10 ^ {302} ms / 10 ^ {80}＆=＆1.88× 10 ^ {222} ms \\
＆=＆1.88×10 ^ {219} s \\
＆=＆5.22×10 ^ {215} h \\
＆= ＆5.95×10 ^ {211} \ text {years}
\ end {eqnarray *}

作为比较：宇宙大约是$ 13.75×10 ^ 9 $岁。

这不是资源问题，根本不可能。

此外，这样做也没有任何意义。有更快的方法来找到密钥。实际上，存在用于分解整数的具有次指数运行时间的算法。

#2 楼

正如其他答案所指出的那样，问题中描述的蛮力技术是没有希望的。

但是，有更好的技术可以攻击RSA密钥，包括GNFS。因此，即使1024位RSA密钥提供了相当大的安全性，它们也不再被认为可以完全避免受到可预测的学术努力的影响，甚至不能认为完全不受三字母代理机构的保护。请参阅我对今天有多大的RSA密钥被认为安全的详细答案。对于新系统，请使用任何适用的建议，或参考本网站上专门针对密钥长度建议的众多建议之一。

此外，有时用户可以利用密钥生成器中的漏洞，或攻击RSA。以不涉及整数分解的方式：窃取私钥；通过差分功率分析，定时或故障攻击将其提取；或利用填充不足的优势。另请参阅对RSA密码系统的二十年攻击。

更新：过去40年中进行的计算工作可帮助进行新的攻击，因为这些方法已经制定出来，但是（对于任何已知的实用方法）都是计算方法。攻击特定密钥所花费的精力对攻击另一个密钥没有用，就像知道$ 1234567890221 = 23801 \ cdot 51870421 $并不能真正帮助找到$ 1234567890197 $的分解一样。