Backdoor w standardzie kryptograficznym?

Bruce Schneier, dyrektor firmy Counterpane, zajmującej się bezpieczeństwem sieciowym, twierdzi, że w generatorze liczb losowych RNG wykorzystywanym w standardzie szyfrowania Dual_EC_DRBG umieszczony jest backdoor, który może pozwalać na łatwe odszyfrowanie zabezpieczonych danych.

Co ważne, standard ten został w marcu tego roku oficjalnie zaakceptowany przez amerykański instytut rządowy NIST (National Institute of Standards and Technology).

W opublikowanym w magazynie Wired artykule Bruce Schneier sugeruje, że w jednym z czterech wykorzystywanych w tym standardzie generatorów liczb losowych umieszczony został "matematyczny backdoor". Autor artykułu powołuje się m.in. na wyniki badań dwóch inżynierów zatrudnionych w Microsofcie - Dana Shumowa oraz Nielsa Fergusona (opublikowali oni rozprawę teoretyczną na ten temat).

Schneier twierdzi, że "furtka" została umieszczona w standardzie na zlecenie amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA - National Security Agency), która później wypromowała ów standard i ułatwiła mu zdobycie akceptacji NIST.

"Oczywiście, nie mamy sposobu by się dowiedzieć, czy NSA zna te tajne liczby. Być może dysponuje nimi ktoś z NIST, a może z grupy roboczej ANSI. Może nikt. Nie wiemy też, skąd się one wzięły - wiemy jednak, że ktokolwiek je zna, ten ma klucz do tej furtki. I jestem przekonany, że ani NIST, ani nikt inny, nie jest w stanie dowieść, że jest inaczej. A to jest dość przerażające" - mówi Bruce Schneier.

Phil Zimmerman, wynalazca popularnego systemu kryptograficznego Pretty Good Privacy (PGP) uważa, że w świetle przedstawionych informacji nikt rozsądny nie powinien wykorzystywać owych generatorów. "Zawsze należy obawiać się backdoorów. W tym konkretnym przypadku coś rzeczywiście wygląda dość niepokojącą - radzę nie korzystać z tych RNG-ów" - mówi Zimmerman.

Źródło: securitystandard.pl

Bruce Schneier jest założycielem i dyrektorem technicznym Counterpane Internet Security, firmy zajmującej się monitorowaniem bezpieczeństwa. Ten światowej sławy naukowiec, ekspert w dziedzinie bezpieczeństwa, jest autorem książek "Secrets and Lies: Digital Security in a Networked World" oraz "Applied Cryptography" wydanych przez Wiley Technology Publishing.

Realizacja: SIPLEX Studio