MIT: Kryptopuzzle 15 Jahre zu früh gelöst

Der Programmierer Bernard Fabrot hat ein Puzzle gelöst, das 1999 vom Kryptografen Ron Rivest am MIT erdacht wurde. Beim sogenannten LCS35-Puzzle ging es darum, eine große Anzahl von Quadrierungen hintereinander durchzuführen. Rivest hatte geschätzt, dass es bis 2034 dauern würde, bis Computer schnell genug sind, damit jemand eine Lösung bereitstellen könnte. Rivest hatte sich somit deutlich verschätzt.

Wie genau Fabrot das Rätsel gelöst hat, ist noch unklar, aber aus der Meldung des MIT geht hervor, dass er dabei wohl C-Code mit der GMP-Bibliothek verwendete. GMP ist eine Standardbibliothek für mathematische Operationen und freie Software. Fabrot hatte laut einem Artikel von Wired seit 2015 einen Computer an dem Rätsel rechnen lassen.

Anderes Team hätte Lösung im Mai gehabt

Pech gehabt hatte eine Gruppe namens Cryptohage, die fast zur gleichen Zeit ebenfalls versucht hatte, das Rätsel zu lösen, und hierfür optimierte FPGAs verwenden wollte. Das Cryptohage-Team ging davon aus, dass es mit Hilfe der Spezialhardware bis Mai in der Lage sein würde, das Rätsel zu lösen. Das Team wurde von Fabrot knapp überholt.

Das Konzept des Rätsels ist vergleichsweise einfach: Es galt, die Zahl 2 viele Male zu quadrieren, insgesamt etwa 80 Billionen mal. Nach jedem Schritt soll das Ergebnis zudem durch einen Modulus reduziert werden.

Rivest ging davon aus, dass es keine sinnvolle Möglichkeit gebe, diese Berechnung zu parallelisieren. Zwar könne innerhalb des Quadrierungs-Algorithmus` parallel gerechnet werden, aber jede Quadrierung für sich müsste einzeln durchgeführt werden. Damit sollte verhindert werden, dass jemand mit besonders vielen parallel arbeitenden Rechnern das Rätsel löst. Das Rätsel ist damit ein Beispiel für eine sogenannte verifizierbare Verzögerungsfunktion (Verifiable Delay Function, VDF).

Mit Primfaktoren lässt sich das Rätsel schneller lösen

Eine weitere Besonderheit: Der Modulus ist eine zusammengesetzte Zahl aus zwei Primfaktoren. Wer die Primfaktoren kennt, kann die Lösung mit einem speziellen Algorithmus schneller berechnen. Doch die kennen zunächst nur die Ersteller des Rätsels. Die Hintergründe sind in einem 1996 veröffentlichten Paper erläutert.

Die Modulus-Zahl ist 2.048 Bit groß. Statt die vielen Quadrierungen durchzuführen, könnte diese Zahl auch faktorisiert werden, doch das ist noch schwerer. Hier gibt es auch eine Verbindung zum von Rivest mitentwickelten Verschlüsselungsalgorithmus RSA: Wäre man in der Lage, diese Zahl zu faktorisieren, wäre auch RSA angreifbar. Doch Rivest gab demjenigen, der das Rätsel löst, eine Möglichkeit, die Primfaktoren zu erfahren. Er verschlüsselte eine kurze Nachricht mit dem Ergebnis des Rätsels und teilte diese ebenfalls mit.

Als Teil des Rätsels wurden 1999 einige Gegenstände aus der IT-Geschichte in eine Zeitschatulle verpackt. Diese sollte entweder 2034 oder zum Zeitpunkt der Lösung des Rätsels geöffnet werden und enthält Objekte, die von IT-Größen wie Bill Gates und Tim Berners-Lee beigesteuert wurden. Die Zeitschatulle soll am 15. Mai geöffnet werden. Dann will Fabrot auch Details über seinen Lösungsweg verraten.