Bruce Schneier, dyrektor firmy Counterpane, zajmującej się bezpieczeństwem sieciowym, twierdzi, że w generatorze liczb losowych RNG wykorzystywanym w standardzie szyfrowania Dual_EC_DRBG umieszczony jest backdoor, który może pozwalać na łatwe odszyfrowanie zabezpieczonych danych.
Co ważne, standard ten został w marcu tego roku oficjalnie zaakceptowany przez amerykański instytut rządowy NIST (National Institute of Standards and Technology).
W opublikowanym w magazynie Wired artykule Bruce Schneier sugeruje, że w jednym z czterech wykorzystywanych w tym standardzie generatorów liczb losowych umieszczony został “matematyczny backdoor”. Autor artykułu powołuje się m.in. na wyniki badań dwóch inżynierów zatrudnionych w Microsofcie – Dana Shumowa oraz Nielsa Fergusona (opublikowali oni rozprawę teoretyczną na ten temat).
Schneier twierdzi, że “furtka” została umieszczona w standardzie na zlecenie amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA – National Security Agency), która później wypromowała ów standard i ułatwiła mu zdobycie akceptacji NIST.
“Oczywiście, nie mamy sposobu by się dowiedzieć, czy NSA zna te tajne liczby. Być może dysponuje nimi ktoś z NIST, a może z grupy roboczej ANSI. Może nikt. Nie wiemy też, skąd się one wzięły – wiemy jednak, że ktokolwiek je zna, ten ma klucz do tej furtki. I jestem przekonany, że ani NIST, ani nikt inny, nie jest w stanie dowieść, że jest inaczej. A to jest dość przerażające” – mówi Bruce Schneier.
Phil Zimmerman, wynalazca popularnego systemu kryptograficznego Pretty Good Privacy (PGP) uważa, że w świetle przedstawionych informacji nikt rozsądny nie powinien wykorzystywać owych generatorów. “Zawsze należy obawiać się backdoorów. W tym konkretnym przypadku coś rzeczywiście wygląda dość niepokojącą – radzę nie korzystać z tych RNG-ów” – mówi Zimmerman.
Źródło: securitystandard.pl
Bruce Schneier jest założycielem i dyrektorem technicznym Counterpane Internet Security, firmy zajmującej się monitorowaniem bezpieczeństwa. Ten światowej sławy naukowiec, ekspert w dziedzinie bezpieczeństwa, jest autorem książek “Secrets and Lies: Digital Security in a Networked World” oraz “Applied Cryptography” wydanych przez Wiley Technology Publishing.