Een internationaal team van wiskundigen, computerwetenschappers en cryptografen, waaronder de Nederlandse wiskundigen Arjen K. Lenstra en Herman te Riele van het CWI in Amsterdam, voerden meer dan twee jaar lang berekeningen uit op honderden computers. Hun doel: RSA-768 factoriseren, een 768-bits (232 decimale cijfers) getal uit de RSA Factoring Challenge dat het product is van twee grote priemgetallen. Op 12 december 2009 slaagden ze daarin. Hoewel tegenwoordig minstens 1024-bit en zelfs 2048-bit RSA-sleutels worden aangeraden, worden 768-bit RSA-sleutels nog altijd in heel wat toepassingen gebruikt, bijvoorbeeld in kleine apparaten die niet de processorkracht hebben om met grotere sleutels te werken.

RSA Laboratories zelf zegt in zijn FAQ voor de Factoring Challenge dat het (toen nog hypothetische) kraken van RSA-768 niet betekent dat alle 768-bit RSA-sleutels vervangen moeten worden door grotere. Als de versleutelde gegevens maar voor korte tijd veilig moeten blijven en niet zo waardevol zijn, is er geen man overboord. Maar de onderzoekers die nu RSA-768 gekraakt hebben, spreken dit tegen: de conclusie van RSA Laboratories gaat uit van een vijftig keer grotere benodigde processorkracht dan die nu gebruikt is. Zelfs voor kortetermijnbescherming van gegevens met weinig waarde is RSA met een 768-bit sleutel dus niet meer aangeraden.

Het factoriseren van een 1024-bit RSA-sleutel is zo'n duizend keer moeilijker dan de huidige RSA-768-kraak. De onderzoekers schrijven in hun artikel dat het tegen 2020 mogelijk moet zijn om een 1024-bit RSA-sleutel te kraken, en merken op dat de huidige beveiligingsstandaarden toch al aanbevelen om sleutels van deze grootte tegen eind 2010 uit te faseren. Bron: Techworld