История генератора – Dual_EC_DRBG

CubesВ воскресенье – немного “рекурсивных” трактовок событий. История с “бэкдором NSA” в алгоритме генерации псевдослучайных чисел Dual_EC_DRBG, который был рекомендован к использованию NIST, снова всплыла пару месяцев назад, конечно, в связи с публикациями СМИ очередных данных из “документов Сноудена”. NIST рекомендацию отозвал. Крупные разработчики ПО и аппаратуры – от использования Dual_EC_DRBG открестились. Так поступили, например, в Cisco. Некоторые, фактически, повинились, среди них – RSA Security. Шуму, в общем, было немало.

Интересно, что больше всего эта история похожа на работу операции прикрытия, которую заготовили раньше. Дело в том, что о потенциальном бэкдоре в алгоритме Dual_EC_DRBG (полное название: Dual Elliptic Curve Deterministic Random Bit Generator) было хорошо известно давно, примерно, с 2007 года (вот в этой заметке Шнайера есть ссылки на публикации).

Сам бэкдор задан в рекомендации NIST, где предложено использовать в качестве ключевых параметры, заданные в соответствующем документе NIST. Если предположить, что тот, кто генерировал параметры (очевидно, NSA), выбрал их специальным образом, то у него в руках оказывается универсальный секретный ключ, который позволяет вычислять заданное состояние конкретной реализации алгоритма, на основе небольшого набора данных, сгенерированных этой реализацией. Схема с заданием специальных параметров – это стандартный метод “модификации” добротных криптосистем с целью добавления в них секретного мастер-ключа. То есть, топорный бэкдор был очевиден для специалиста. И его сразу нашли и подробно разобрали.

А “рекурсия” состоит в том, что, возможно, вся эта история и была затеяна для того, чтобы в определённый момент, с шумом отказаться от плохого алгоритма, создав нужное движение в профильном сообществе. Операция прикрытия.

[Пара технических моментов: 1) алгоритм Dual_EC_DRBG можно использовать с собственными параметрами, отличными от рекомендованных, это закрывает упомянутый бэкдор; 2) из идейных соображений, этот алгоритм выглядит весьма интересным, так как основан на хорошо известной теоретико-числовой проблеме, да ещё и использует эллиптические кривые.]

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 3

  • 1. 10th November 2013, 18:06 // Читатель jno написал:

    может, хотят алгоритм “очернить”?

  • 2. 24th December 2013, 13:36 // Читатель Валентин написал:

    К алгоритму это не имеет никакого отношения, проблема с генератором случайных чисел.

  • 3. 24th December 2013, 17:57 // Александр Венедюхин ответил:

    Имелась в виду криптография на эллиптических кривых.