По данным агенства Рейтер, АНБ оставило свои закладки не в одном, как было известно ранее, а сразу в двух программах, принадлежащих пионеру в области безопасности - компании RSA Security.

В декабре прошлого года уже появлялись доказательства того, что АНБ заплатило компании около 10 миллионов долларов за возможность поучаствовать в разработке генератора случайных чисел, основанного на механизме двойных эллиптических кривых (Dual EC DRBG). Внесённые изменения позволяли любому, кто был осведомлен о них, без особых трудностей предсказывать поведение генератора, а «случайные» числа становились вовсе не «случайными». Проблема усугублялась тем, что этот метод шифрования был задействован по умолчанию в самом популярном продукте RSA - программном комплексе BSAFE.

Профессоры различных американских университетов выступили с заявлением о том, что им удалось найти еще один бэкдор в BSAFE. Он размещён в расширении Extended Random (применяемом для повышения безопасности веб-сайтов), которое изначально должно было увеличивать количество источников энтропии, увеличивая надежность шифрования. Однако, включение данного расширения не только не способствует усилению криптостойкости, но позволяет в сотни и тысячи раз ускорить дешифровку данных, зашифрованных с помощью пресловутых двойных эллиптических кривых путём облегчения предсказания следующих случайных чисел. Примечательно, что в 2008 году Пентагон рекомендовал использовать это расширение в качестве средства повышения энтропии.

RSA Security отрицает, что данный код был добавлен по просьбе АНБ, но в качестве оправдания упирает лишь на то, что это расширение не обрело популярность, а его разработка и поддержка были прекращены полгода назад. «Нам стоило более скептически отнестись к намерениям АНБ,» - сказал главный инженер RSA Сэм Кэрри. «Мы доверяли им, лишь потому, что они обеспечивают безопасность правительства США и критической инфраструктуры США.»

По словам Томаса Райсенпарта из университета Висконсина, исследовавшего код, Extended Random не даёт вообще никаких преимуществ в плане безопасности.

Мэтью Грин, профессор университета Джонса Хопкинса, высказался более образно. Учитывая тот факт, что указанное расширение появилось аккурат после принятия двойных эллиптических кривых в качестве стандарта, объяснения RSA выглядят крайне неубедительно. «Использовать Dual EC DRBG - все равно, что играть со спичками. Но включение Extended Random можно сравнить разве что с добровольным обливанием себя бензином», - говорит Грин.

Роль АНБ в происхождении Dual EC DRBG довольно значительна. Авторами документа, описывавшего эту технологию, являются Маргарет Солтер, технический директор подразделения АНБ, ответственного за обеспечение безопасности, и сторонний эксперт Эрик Рескорла, выступавший за шифрования всего веб-трафика в Интернете. В настоящее время, он работает в Mozilla Foundation и отказывается от комментариев по вопросу об эллиптических кривых. Ответа от Маргарет Солтер получено не было. Агентство Национальной Безопасности США также отказалось комментировать ситуацию.

Несколько лет назад Инженерный совет Интернета (IETF) рассматривал вопрос о принятии Extended Random в качестве отраслевого стандарта. К счастью, этот протокол тогда принят не был.

Исследователям понадобился всего лишь час времени, чтобы вскрыть шифрование BSAFE, а стоимость задействованного для этого оборудования не превышает 40 тысяч долларов. Задействование Extended Random ускоряет этот процесс в 65 000 раз, сводя время атаки к нескольким секундам. Эта простота позволяет легко применять такую атаку при массовом наблюдении за трафиком.

>>> Подробности

Национальный институт стандартов и технологий США (NIST) вернул на стадию обсуждения давно утвержденный стандартом алгоритм Dual EC DRBG. Алгоритм описывает генерацию псевдослучайных чисел на основе эллиптических кривых.

Публичные дискуссии о наличии бэкдора в алгоритме поднимались многократно, однако это не помешало войти алгоритму в стандарт NIST США в 2006 году и успешно проходить все проверки. Последней каплей для NIST стали разоблачения Эдварда Сноудена, который в одной из публикаций на тему внедрения бэкдоров в стандарты шифрования, явно указал на стандарт NIST 2006 года.

Одновременно с этим, корпорация RSA призвала своих клиентов отказаться от использования Dual EC DRBG. Продукты RSA bsafe и Protection Manager используют этот алгоритм по умолчанию.

>>> Подробности

Как известно, с появлением квантовых компьютеров, криптографический алгоритм RSA станет легко уязвимым. Поэтому давно идут поиски альтернативного криптографического алгоритма с открытым ключом, защищённого от взлома на квантовом компьютере. Одним из кандидатов на замену RSA в постквантовую эпоху является предложенный тридцать лет назад алгоритм Роберта Джей Макэлиэса (Robert J McEliece).

Докторанту Дублинского университета (DCU) Нейлу Костигану (Neill Costigan), при поддержке Irish Research Council for Science, Engineering and Technology (IRCSET), а также профессору Майклу Скотту (Michael Scott), члену Science Foundation Ireland (SFI), удалось произвести успешную атаку на этот алгоритм. На это у них ушло 8000 часов процессорного времени. Во взломе принимали участие представители ещё четырёх стран. Ими было потрачено 200000 часов процессорного времени. Взлом был совместным.

Учёные пришли к выводу, что изначально предложенная длина ключа этого алгоритма недостаточна и должна быть увеличена. При этом алгоритм Роберта Джей Макэлиэса всё ещё считается неуязвимым к взлому на квантовом компьютере.

>>> Подробности