攻击:用多项式分解“短袖”RSA密钥,揭示CompleteFTP缺陷
Trail of Bits 介绍了一种新的密码分析方法:当私钥因实现缺陷而出现“短袖”RSA密钥(偏向大量0位)的结构性偏差时,可以用多项式分解高效恢复因子。研究由 Keegan Ryan 牵头,并与 badkeys 项目负责人 Hanno Böck 合作。团队通过扫描证书透明日志、TLS/SSH 扫描、PGP 等数据集,发现野外存在大量可疑密钥。
报告指出两类“短袖 RSA密钥”真实世界模式。其中 Pattern 2 可追溯到 EnterpriseDT 的 CompleteFTP 中大整数(big-integer)旧代码的类型不匹配问题。该缺陷影响 RSA 密钥生成:10.0.0–12.0.0(2016年12月–2019年3月);同时也会生成易受攻击的 DSA 密钥:10.0.0–23.0.4(2016年12月–2023年12月)。根据互联网扫描结果,研究者从受影响版本中恢复了 603 组独立的 RSA 私钥和 74 组 DSA 私钥;另外还发现 26 组 RSA 密钥符合“短袖”但其模式尚未识别。
在处置方面,团队建议用户检查并更换密钥。CompleteFTP 在 2026 年 5 月 8 日发布 v26.1.0,内置自动检测:一旦 RSA/DSA 密钥需要重生成就会提示用户;同时也提供独立工具。报告还显示:修复版 RSA 代码在 2019 年 3 月上线后,受影响主机的趋势迅速停止,但“受影响密钥的占比”在更换密钥速度较慢时会出现平台期。
给安全运营与关注基础设施风险的市场参与者的核心结论:当“短袖 RSA密钥”的比特分布存在结构性偏差时,攻击者可用多项式因子分解实现高效破解,把糟糕随机性直接转化为真实密钥泄露风险。
中性
这次事件属于特定软件实现缺陷(EnterpriseDT CompleteFTP)引发的技术性密码学突破,且主要针对“密钥生成偏差”导致的“短袖 RSA密钥”可被高效分解;它并非直接针对主流加密网络或协议层的漏洞,因此对系统性市场冲击的上限较低。以往加密市场确实会对可信的基础设施安全失效做出反应,但本次披露的影响范围看起来集中在少量主机与 SSH/TLS 等“主机密钥/证书基础设施”场景。
短期内,交易者可能出现轻微的“基础设施信任”风险厌恶情绪(类似市场在 TLS/PKI 或某些钱包实现漏洞出现时的短暂波动)。不过该报告提供了明确的缓解路径(v26.1.0 与独立检测工具),并且时间线显示 RSA 弱点在 2019 年 3 月代码重写后趋势停止,说明不确定性可控。
长期来看,更大的价值在于行业知识:研究强调“短袖 RSA密钥”这类结构性比特偏差会让攻击者实现更容易的因子分解,从而推动安全工具更积极扫描与更频繁密钥轮换。由此带来的影响更多是操作与合规成本的边际变化,而不是对加密资产基本面造成实质改变。综合判断:对市场稳定的直接影响为中性,更偏叙事层面的本地化安全风险,而非引发广泛抛售的导火索。