LINUX.ORG.RU

NIST и RSA отзывают стандартизированный алгоритм ГСЧ из-за «возможного бэкдора»

 , ,


0

2

Национальный институт стандартов и технологий США (NIST) вернул на стадию обсуждения давно утвержденный стандартом алгоритм Dual EC DRBG. Алгоритм описывает генерацию псевдослучайных чисел на основе эллиптических кривых.

Публичные дискуссии о наличии бэкдора в алгоритме поднимались многократно, однако это не помешало войти алгоритму в стандарт NIST США в 2006 году и успешно проходить все проверки. Последней каплей для NIST стали разоблачения Эдварда Сноудена, который в одной из публикаций на тему внедрения бэкдоров в стандарты шифрования, явно указал на стандарт NIST 2006 года.

Одновременно с этим, корпорация RSA призвала своих клиентов отказаться от использования Dual EC DRBG. Продукты RSA bsafe и Protection Manager используют этот алгоритм по умолчанию.

>>> Подробности

★★★★★

Проверено: Shaman007 ()
Последнее исправление: unfo (всего исправлений: 5)

понеслось по новой и теперь в новых узких кругах?

nerfur ★★★
()

ECDSA теперь нельзя? Или это о другом?

intelfx ★★★★★
()

А кто-то сомневался, что у Большого Брата все это ваше шифрование под надежным контролем?

Citramonum ★★★
()

В связи с такими новостями мне кажется, что было бы крайне неплохо, если бы существовала какая-нибудь некомерческая общественная(и главное - максимально прозрачная) организация вне юрисдикции США, которая бы нанимала независимых экспертов и проверяла так называемые «стандарты» на проблемные места.

Deleted
()
Ответ на: комментарий от Deleted

А лучше объявляла бы свои конкурсы и делала свои стандарты. Ну вы понимаете, с преферансом и дамами.

naryl ★★★★★
()
Ответ на: комментарий от Deleted

Ты новость-то читал? И проверяли и критиковали, но его всё равно пропихнули.

ziemin ★★
()
Ответ на: комментарий от Deleted

спуститесь на землю уже, а.

хотя европейцы могли бы что-нибудь противопоставить...

anonymous
()

В новости можно найти и хорошее - таки NSA не всесильна, и в NIST есть люди, которые могут пойти против, пусть даже и не сразу и под давлением общественности. А ведь могли бы игнорировать дальше, наверняка их об этом усиленно «просили».

risenshnobel ★★★
()
Ответ на: комментарий от Deleted

независимых экспертов

Кмк, с этим всё достаточно хорошо. Тысячи исследователей занимаются проблемами криптографии, постоянно выходит множество публикаций (не знаю какого качества). И по этому алгоритму сразу была конструктивная критика. Просто у госсударства есть власть чтобы пропихивать удобные для себя решения. В частности, могут объявить «всё что не по ГОСТу» вне закона.

true_admin ★★★★★
()
Ответ на: комментарий от ziemin

Список наверняка неполный, но в основном библиотеки: openssl, blackberry, samsung, microsoft - полный спектр. Стандарт, чо уж там. Интересно, что только RSA заявления сделала. Пиарятся что ли?

ziemin ★★
()

Сто лет в обед как читал про этот бекдор в Компьютерре — лет 5 назад, если не больше.

Obey-Kun ★★★★★
()
Ответ на: комментарий от Obey-Kun

Тогда: параноик утверждает, что в системе бэкдор! Всем бояться!!! ХА-ХА-ХА!

Сейчас: а может таки и бэкдор… [shuffle.png]

Deleted
()
Ответ на: комментарий от Deleted

В связи с такими новостями мне кажется, что было бы крайне неплохо, если бы существовала какая-нибудь некомерческая общественная(и главное - максимально прозрачная) организация вне юрисдикции США, которая бы нанимала независимых экспертов и проверяла так называемые «стандарты» на проблемные места.

Парадокс в том, что организациям вне юрисдикции США будет ещё меньше доверия. Например, организации из какой страны было бы доверие большее, чем из США?

anonymous_incognito ★★★★★
()
Ответ на: комментарий от anonymous_incognito

На данный момент меньше уже не получится. Написано США — читаешь «есть бэкдор, инфа 146%».

Deleted
()

Не тот ли самый алгоритм в библиотеках для шляпки и федорки отключен? Видно неспроста

andrew667 ★★★★★
()

Последней каплей для NIST стали разоблачения Эдварда Сноудена, который в одной из публикаций на тему внедрения бэкдоров в стандарты шифрования, явно указал на стандарт NIST 2006 года.

и вот, епрст, до этого «разоблачения» ну никак нельзя было догадаться, епрст, а то, что

In August 2007, Dan Shumow and Niels Ferguson discovered that the algorithm has a vulnerability which could be used as a backdoor. http://en.wikipedia.org/wiki/Dual_EC_DRBG

-- это, конечно, совершенно ничего не значит, а вот когда сноуден че-то там брякнул, тогда дааа

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от Deathstalker

Шанхайская организация сотрудничества

да-да, быть под колпаком китайской спецслужбы намного приятнее /сарказм/

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)

а теперь по теме: вернули на доработку, т.к. о бэкдоре там только ленивый не знает (и еще хомячки, которым сноуден — откровение)

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от Deleted

На данный момент меньше уже не получится. Написано США — читаешь «есть бэкдор, инфа 146%».

да, хомячки они такие, у них если и проценты, то только 146%, не меньше

www_linux_org_ru ★★★★★
()

Люди старались, придумывали, внедряли, подкупали.. И ведь не зла ради, а для мира во всем мире. Никакого уважения к чужому труду.

Deleted
()
Ответ на: комментарий от Deleted

Люди старались, придумывали, внедряли, подкупали.. И ведь не зла ради, а для мира во всем мире. Никакого уважения к чужому труду.

плохо значит старались

хороший бэкдор просто так не заметишь

www_linux_org_ru ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Парадокс в том, что организациям вне юрисдикции США будет ещё меньше доверия.

Это еще почему?

Deleted
()
Ответ на: комментарий от annulen

Вот тебе бабушка и эллиптические кривые

Так уже давно известно, что их АНБ разрабатывало.

с уверенностью не скажу, но по-моему ты тоже попсу несешь

эллиптические кривые достаточной степени сами по себе ломать еще (вроде как) не умеют, так что там одна эллиптическая кривая *защищала* бэкдор — чтобы им не смогли пользоваться посторонние

www_linux_org_ru ★★★★★
()

Пасквильпрограммисты дрожат за свой ГСЧ: торнады Мерсенна с бекдорами или без?

d_Artagnan ★★
()

вот хорошая цитатка в тему:

Frankly, I'd be surprised if anyone did use it. Even before the potential backdoor was discovered back in 2007, the Dual_EC_DRBG was known to be much slower and slightly more biased than all the other random number generators in NIST SP 800-90. To quote Bruce Schneier:

«If this story leaves you confused, join the club. I don't understand why the NSA was so insistent about including Dual_EC_DRBG in the standard. It makes no sense as a trap door: It's public, and rather obvious. It makes no sense from an engineering perspective: It's too slow for anyone to willingly use it. And it makes no sense from a backwards-compatibility perspective: Swapping one random-number generator for another is easy.»

I guess it's possible that the only people at NSA who ever thought the back door was going to work were too high in the hierarchy to really understand the practical issues. I can easily imagine a conversation something like this:

«The SIGINT folks keep asking for an algorithm that we can break but nobody else can. Is that possible?»

«Well, technically, yes, but it'd be really slow. Nobody's ever going to want to use it. And it'd look really suspicious, anyway.»

«Never mind that, just do it. I really want to get those guys off my back.»

The only other possibility I can think of is that maybe some people are using Dual_EC_DRBG in crypto products, simply because the NSA has been leaning on them to do so. But it still seems like an awkward way to introduce a backdoor into a cryptosystem, when it would be so much easier to just slip in a deliberate bug or two. Still, it's a NIST-approved algorithm, so using Dual_EC_DRBG could at least let you legitimately claim that your code has been tested and validated, while still having a backdoor. ( http://crypto.stackexchange.com/a/10192 )

http://csrc.nist.gov/groups/STM/cavp/documents/drbg/drbgval.html — там целый список, но большинство вместе с Dual_EC_DRBG сертифицируют и другое

www_linux_org_ru ★★★★★
()
Последнее исправление: www_linux_org_ru (всего исправлений: 1)

Продукты RSA bsafe и Protection Manager используют этот алгоритм по-умолчанию.

Конечно, о системном гпсч мелкомягкой операционки автор скромно умолчал.

segfault ★★★★★
()
Ответ на: комментарий от X-Pilot

Вот тебе бабушка и эллиптические кривые... :-/

Тебе и intelfx: дискретный логарифм на ЭК пока считать не научились. Бэкдор может заключаться в том, что точка ЭК, используемая в Dual EC DRBG может быть произведением генератора группы точек на известную АНБ константу.

Тем не менее, можно смело использовать этот же алгоритм, заменив стандартизированную точку на свою.

segfault ★★★★★
()
Ответ на: комментарий от Deleted

В связи с такими новостями мне кажется, что было бы крайне неплохо, если бы существовала какая-нибудь некомерческая общественная(и главное - максимально прозрачная) организация вне юрисдикции США, которая бы нанимала независимых экспертов и проверяла так называемые «стандарты» на проблемные места.

Я еще раз повторюсь - доказана _возможность_ бэкдора. Т.е. что АНБ могло сохранить число, использовавшееся для генерации некоторых констант алгоритма.

segfault ★★★★★
()
Ответ на: комментарий от Deleted

В принципе, никак. Проблема в другом - нельзя просто так взять и испортить жизнь властям США. После этого придется быстро, добровольно или принудительно, переходить-таки под их юрисдикцию.

О возможности бэкдора в данном ГПСЧ известно уже давно, но до Сноудена итим беспокоились только 3,5 анонимуса, не способные разбудить чувство здоровой паранойи во всех остальных.

segfault ★★★★★
()
Ответ на: комментарий от segfault

Конечно, о системном гпсч мелкомягкой операционки автор скромно умолчал.

Оффтопик, не?

shahid ★★★★★
() автор топика
Ответ на: комментарий от segfault

О возможности бэкдора в данном ГПСЧ известно уже давно, но до Сноудена итим беспокоились только 3,5 анонимуса, не способные разбудить чувство здоровой паранойи во всех остальных.

Дык новость вроде не про обнаружение боянистого бэкдора, а про ситуацию в целом.

shahid ★★★★★
() автор топика
Ответ на: комментарий от www_linux_org_ru

По делу то есть что сказать, нехомячок? :}

Deleted
()
Ответ на: комментарий от segfault

Проблема в другом - нельзя просто так взять и испортить жизнь властям США. После этого придется быстро, добровольно или принудительно, переходить-таки под их юрисдикцию.

Вспомним старую китайскую мудрость. Что делать королю обезьян, если он оказался между двух своих сильных врагов, тигром и львом? Столкнуть их друг с другом! Так и тут. Было бы идеально как-нибудь так сыграть на разногласиях мировых держав, чтобы оказавшись в опале у одного, в тоже время оставаться под покровительством у другого и наоборот.

Deleted
()
Ответ на: комментарий от Deleted

Вспомним старую китайскую мудрость

Угу, а они там, эти самые большие державы, об этом фокусе не догадываются. И не используют разногласия малой и большой держав чтобы еще более эффективно пить кровь с малой. Тупые львы не смогут изловчиться и отгрызть обезьянью ногу пока того душит тигр? Пекратите сочинять про китай, это просто выездная американская промышленность, захотят - вернут все в пару месяцев, просто перестанут с «большой земли» технологии поставлять, там само загнется, старье никому не нужно.

anonymous
()
Ответ на: комментарий от www_linux_org_ru

In August 2007, Dan Shumow and Niels Ferguson discovered that the algorithm has a vulnerability which could be used as a backdoor

то, конечно, совершенно ничего не значит, а вот когда сноуден че-то там брякнул, тогда дааа

Сноудена тоже проигнорировали бы, если бы его так активно не пытались заткнуть :) Раз уж страны НАТО перехватывают дипсамолёт, где ожидается Сноуден, значит к нему стоит прислушаться :)

question4 ★★★★★
()
Ответ на: комментарий от anonymous_incognito

Доверие к США ушло в прошлое.

dave ★★★★★
()
Ответ на: комментарий от Deleted

Да там вроде бы уже было исследование на эту тему.

Obey-Kun ★★★★★
()

Вот только непонятно почему его в OpenSSL включили.

Xunnu ★★
()

Зачем компаниям использовать этот стандарт, если известно что там бекдор?
Я понимяю что эппл или микрософт заставляют но, зачем это независимым компаниям?

Xunnu ★★
()

Вот только юмор ситуации в том, что Сноуден может оказаться ярым патриотом своей страны, действующим в строгом соответствии с инструкциями АНБ. И цель всей этой шумихи - выпилить последний непробекдоренный метод :)

Вот если бы можно было обязательно требовать ровно двух ключей - один по алгоритму, считающемуся уязвимым на основе слухов ( без формального доказательства ), и второй - не считающийся уязвимым :)

router ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.