trevizan

Bom, no meu entedimento o post tem a intenção de esclarecer que a apresentação em questão não demonstrou nada de novo ou desconhecido, ou seja, não mudou nada e não merece o destaque que teve, e esclarecer que não há motivos para desespero, a menos que você esteja utilizando tamanhos de chaves que não são recomendados (< 1024 bits para sistema legados e < 2048 bits para implementações novas). De forma alguma colocou-se o RSA como um criptosistema perfeito e "eternamente inquebrável", o que seria de uma ingenuidade imensa considerando o histórico observado: cifra de César e de Vigenère, Enigma ou mesmo o DES já foram seguros um dia.

Visto isso, acho que os comentários levaram a discussão para uma polarização (RSA x ECC) que não existe na prática. Tanto que colocou-se o DHE como base para o RSA em oposição a ECC, mas na verdade o DHE se baseia no problema do logaritmo discreto, mesma classe de problema no qual o ECDHE e os protocolos de assinatura baseadas em curvas elípticas citados acima se apoiam. Se essa dicotomia fizesse sentido não haveria cipher suites que combinam ambas primitivas, como por exemplo a TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.

Concordo que  ECC pode oferecer soluções mais elegantes, eficientes e com chaves menores para o mesmo nível de segurança, mas essas são apenas características dos algoritmos, isso não a torna mais segura por definição. O mais importante é conhecer qual o nível de segurança para cada parâmetro escolhido, como mostrado na tabela abaixo:

fonte: https://www.keylength.com/en/4/

Além disso, é importante notar que discussões acerca da segurança das curvas elípticas já foram levantadas por pesquisadores de maior relevância na área e processos de padronização também foram interrompidos. O NIST, por exemplo, atualmente está focado em padronizar soluções de assinatura digital e encapsulamento de chaves que sejam resistentes aos algortimos quânticos conhecidos, soluções essas que não incluem RSA, ECC ou DHE que utilizamos hoje.

O problema é que a cada qubit adicionado a taxa de erro cresce muito rápido. O próprio artigo diz que estima-se que para fatorar RSA-2048 precisaríamos de cerca de 20 milhões de qubits e que hoje o estado da arte apresenta 70 qubits, ou seja, há  um grande caminho a se percorrer.

É importante ter em mente que o algoritmo de Shor também afeta a criptografia de curvas elípticas, mas em contrapartida o NIST já está padronizando os algoritmos pós-quânticos em duas frentes: uma de assinatura baseada em hash ( https://csrc.nist.gov/Projects/Stateful-Hash-Based-Signatures) e outra mais geral (https://csrc.nist.gov/Projects/Post-Quantum-Cryptography).