История генератора – Dual_EC_DRBG
В воскресенье – немного “рекурсивных” трактовок событий. История с “бэкдором NSA” в алгоритме генерации псевдослучайных чисел Dual_EC_DRBG, который был рекомендован к использованию NIST, снова всплыла пару месяцев назад, конечно, в связи с публикациями СМИ очередных данных из “документов Сноудена”. NIST рекомендацию отозвал. Крупные разработчики ПО и аппаратуры – от использования Dual_EC_DRBG открестились. Так поступили, например, в Cisco. Некоторые, фактически, повинились, среди них – RSA Security. Шуму, в общем, было немало.
Интересно, что больше всего эта история похожа на работу операции прикрытия, которую заготовили раньше. Дело в том, что о потенциальном бэкдоре в алгоритме Dual_EC_DRBG (полное название: Dual Elliptic Curve Deterministic Random Bit Generator) было хорошо известно давно, примерно, с 2007 года (вот в этой заметке Шнайера есть ссылки на публикации).
Сам бэкдор задан в рекомендации NIST, где предложено использовать в качестве ключевых параметры, заданные в соответствующем документе NIST. Если предположить, что тот, кто генерировал параметры (очевидно, NSA), выбрал их специальным образом, то у него в руках оказывается универсальный секретный ключ, который позволяет вычислять заданное состояние конкретной реализации алгоритма, на основе небольшого набора данных, сгенерированных этой реализацией. Схема с заданием специальных параметров – это стандартный метод “модификации” добротных криптосистем с целью добавления в них секретного мастер-ключа. То есть, топорный бэкдор был очевиден для специалиста. И его сразу нашли и подробно разобрали.
А “рекурсия” состоит в том, что, возможно, вся эта история и была затеяна для того, чтобы в определённый момент, с шумом отказаться от плохого алгоритма, создав нужное движение в профильном сообществе. Операция прикрытия.
[Пара технических моментов: 1) алгоритм Dual_EC_DRBG можно использовать с собственными параметрами, отличными от рекомендованных, это закрывает упомянутый бэкдор; 2) из идейных соображений, этот алгоритм выглядит весьма интересным, так как основан на хорошо известной теоретико-числовой проблеме, да ещё и использует эллиптические кривые.]
Адрес записки: https://dxdt.ru/2013/11/10/6315/
Похожие записки:
- Манускрипт "Новой истории" и знак "at"
- Утечки данных YubiKey/Infineon
- Кубиты в состояниях
- Постквантовая "гибридизация" криптосистем и перспективы стойкости
- Мониторинг жонглёров
- Starlink и орбитальный доступ для смартфонов
- Фольклор и квантовый компьютер
- TLS и подмена сертификата на jabber.ru
- CVE-2024-3094 про бэкдор в liblzma и теория ИБ
- "Ответы" в поисковых системах: один показательный пример
- Сервис для просмотра логов Certificate Transparency
Комментарии читателей блога: 3
1 <t> // 10th November 2013, 18:06 // Читатель jno написал:
может, хотят алгоритм “очернить”?
2 <t> // 24th December 2013, 13:36 // Читатель Валентин написал:
К алгоритму это не имеет никакого отношения, проблема с генератором случайных чисел.
3 <t> // 24th December 2013, 17:57 // Александр Венедюхин:
Имелась в виду криптография на эллиптических кривых.