Azərbaycanca AzərbaycancaБеларускі БеларускіDansk DanskDeutsch DeutschEspañola EspañolaFrançais FrançaisIndonesia IndonesiaItaliana Italiana日本語 日本語Қазақ ҚазақLietuvos LietuvosNederlands NederlandsPortuguês PortuguêsРусский Русскийසිංහල සිංහලแบบไทย แบบไทยTürkçe TürkçeУкраїнська Українська中國人 中國人United State United StateAfrikaans Afrikaans
Підтримка
www.wikidata.uk-ua.nina.az

Dual EC DRBG англ від Dual Elliptic Curve Deterministic Random Bit Generator криптографічно стійкий генератор псевдовипа

Dual EC DRBG

Dual EC DRBG

Dual_EC_DRBG (англ.; від Dual Elliptic Curve Deterministic Random Bit Generator) — криптографічно стійкий генератор псевдовипадкових чисел, розроблений Агентством національної безпеки США, один з чотирьох криптографічно стійких генераторів, стандартизованих NIST як «Special Publication 800-90» ([en]) у 2006 році. Одна з областей застосування - криптографічні системи для генерації ключів. Алгоритм заснований на використанні еліптичних кривих.

Алгоритм

image
схема Dual_EC_DRBG

У стандарті NIST SP 800-90A, в описі алгоритму використовуються 2 функції:

  • φ(a) - функція, що перетворює ціле число в бінарну послідовність
  • x(A) - функція, що повертає x-координату точки A

Хід роботи:

1) Задається випадкове значення t = randomseed()

2) У циклі виконуються операції:

  1. Обчислюється значення s = φ ( x ( t * P ) )
  2. Обчислюється значення r = φ ( x ( s * Q ) )
  3. Обрізаються старші 2 байти r
  4. Отримання 30 байтів r
  5. t = s

Безпека

Безпеку Dual_EC_DRBG засновано на складній проблемі теорії чисел — проблема Діффі-Гелмана. Це було заявленою причиною включення до NIST SP 800-90. Проте виробники генератора не опублікували математичного доказу безпеки генератора, і після публікації проекту NIST було показано, що Dual_EC_DRBG не є безпечним через те, що на виході отримується велика кількість бітів за раунд. Якщо використовувати точки еліптичної кривої, що задано у стандарті, то через завелику кількість бітів на виході створюється можливість бекдору, що дає можливість зловмиснику зламати генератор повним перебором. Цю проблему не було виправлено в остаточно опублікованому стандарті, залишивши Dual_EC_DRBG небезпечним.

У багатьох інших стандартах константи, які повинні бути довільними, вибираються принципом . У Dual_EC_DRBG виробники не вказали як задаються константи - точки еліптичної кривої P і Q. Оскільки комітет про стандартизацію був обізнаний про можливий бэкдор, до стандарту було включено спосіб отримання своїх констант P і Q. Але точне формулювання в стандарті було написане так, що використання P і Q, наданих у стандарті, потрібне для проходження перевірки FIPS 140-2, тому в OpenSSL були реалізовані саме ці константи, незважаючи на обізнаність про бэкдор і бажання використовувати більш надійні параметри. New York Times пізніше написала, що АНБ працювала під час процесу стандартизації так, щоб у кінцевому підсумку стати єдиним редактором стандарту.

Через деякий час, Деніел Браун і Крістіан Гьєстін [ 8 березня 2018 у Wayback Machine.] опублікували доказ безпеки Dual_EC_DRBG, в якому було показано, що сформовані точки еліптичної кривої будуть відрізняються від випадкових, якщо  :

  1. на виході буде менша кількість біт за раунд
  2. точки P і Q будуть незалежні
  3. наступні три проблеми будуть належати класу NP:
    • проблема Діффі-Гелмана
    • проблема дискретного логарифмування
    • проблема усіченої точки

Dual_EC_DRBG є досить повільним генератором в порівнянні з альтернативними генераторами, включеними в той же стандарт, однак ці альтернативи не мають доказів безпеки. Деніел Браун стверджує, що, завдяки доведення безпеки, генератор можна використовувати, незважаючи на швидкість його роботи, при умові, що використані надійні параметри.

Передбачуваний бекдор дозволяє зловмисникові визначити внутрішній стан генератора випадкових чисел після перегляду виходу одного раунду розміром 30 байт. Всі майбутні вихідні дані генератора випадкових чисел можуть бути легко пораховані, поки зовнішній джерело ентропії не перезавантажить генератор з новим значенням t0 . Наприклад, використання цього генератора робить небезпечним SSL / TLS, оскільки встановлення SSL-з'єднання включає в себе відправлення випадково згенерованого кількості у відкритому вигляді. Бекдор полягає в тому, що при використанні констант P і Q стандарту, АНБ знає таке e, e * Q = P. Таким чином, e є секретним ключем, імовірно відомим АНБ, а передбачуваний бекдор є клієнтографічним прихованим бекдором.

Бекдор

Перший висновок 30 байт r0 - це x - координата точки без початкових 16 біт. Для кожної кривої, заданої в стандарті, написані значення X нуля і однієї або двох точок на кривій. Таким чином, потрібно повністю перебрати не більше 17 біт для відновлення вихідної точки A.

  1. Відома точка A, а отже і відомо твір s0 * Q дорівнює A
  2. Відомий секретний ключ e, який задає співвідношення P = e * Q

То домножив кожну сторону рівняння s0 * Q = A на e виходить:

e * A = s0 * e * Q = s0 * P

Виходячи з цього, є можливість порахувати s1 = φ ( x ( e * A) ), а потім і r1, потім і наступні s2,...,sn і r2,...,rn. Для цього потрібно лише повним перебором знайти A, помножити отримане A e, потім помножити отримане значення Q і вивести значення координати x отриманої точки без перших двох байт.

Історія та стандартизація

АНБ вперше представила Dual_EC_DRBG в ANSI X9.82 DRBG на початку 2000-х років, включаючи параметри, що забезпечують бекдор, і в проекті стандарту ANSI був опублікований Dual_EC_DRBG. Так само він був доданий в стандарт ISO 18031. Принаймні два учасники комісії за стандартами і рекомендаціями ANSI X9F1, Деніел Браун і Скотт Ванстон з Certicom,були обізнані про точний механізм і обставин, при яких можливий бекдор, так як в січні 2005 року вони подали заявку на патент , в якому було описано, як вставити або запобігти бекдор в Dual_EC_DRBG. Пізніше було підтверджено, що дана "пастка" ідентична бэкдору генератора. У 2014 році Метью Грін, криптограф і професор університету Джона Хопкінса,критикував комітет, за те що не був прибраний цей заздалегідь відомий бекдор. У патенті були описані 2 умови існування цього бекдор:

1) Вибрано Q.

image Генератор випадкових чисел еліптичної кривої уникає escrow keys, вибираючи випадково точку Q. Навмисне використання escrow keys може забезпечити резервне копіювання. Зв'язок між P і Q використовується в якості escrow key і зберігається в захищеній області. Адміністратор реєструє вихід генератора і відновлює випадкове число за допомогою escrow key. image

2) Не скорочений вихід генератора

image Усічення виходу генератора - це альтернативний спосіб запобігання атаки за допомогою escrow key. Усічення виходу приблизно на половину забезпечить те, що вихід значень R, пов'язаних з одним виходом r, не піддаватиметься пошуку. Наприклад, для 160-бітної групи еліптичних кривих число потенційних точок R в списку становить близько 280, і пошук буде таким же складним, як завдання дискретного логарифмування. Недолік цього методу в тому, що ефективність генератора зменшується вдвічі, так як удвічі скорочується його вихід image

За словами Джона Келсі, одного з авторів NIST SP 800-90A, варіант вибору достовірного випадкового Q був доданий в стандарт в відповідь на бекдор, але таким чином, що перевірку FIPS 140-2 генератор проходив би тільки з використанням Q від АНБ. Не було зрозуміло, чому стандарт не вказував принцип вибору точки як Nothing sleeve up my number, або чому стандарт не скорочував вихід генератора, який запобігав би атаку з допомогою escrow key.

Порівняно з попереднім генератором EC PRG усічення виходу було реалізовано в Dual_EC_DRBG, який виводив від 1/2 до 2/3 від результату раунду EC PRG. Таке скорочення виходу, все одно залишало вихід генератора передбачуваним і непридатним як криптографічно стійкого генератора псевдовипадкових чисел. У стандарті зазначено, що реалізації повинні використовувати малий max_outlen, але при цьому дозволяє використовувати його тільки кратним 8 бітам. У додатку C стандарту сказано, що висновок меншої кількості біт, зробить вихід менш рівномірно розподіленим, але доказ безпеки від Брауна покладається на те, що значення показника max_outlen значно менше.

Комісія зі стандартів та рекомендацій ANSI X9F1, в якій обговорювався бекдор, також включала в себе співробітників з RSA Security. У 2004 році, RSA Security впровадила реалізацію Dual_EC_DRBG, в якій містився бекдор, в RSA BSAFE як результат секретної угоди з АНБ. В 2013 році, після того, як New York Times повідомила, що Dual_EC_DRBG містила бекдор, в RSA Security заявили, що не знали про бэкдоре при укладанні угоди з АНБ, після чого попросили користувачів переключити генератор. На конференції RSA 2014 року виконавчий голова RSA Security Art Coviello пояснив, що компанія зазнавала збитків від шифрування і вирішила перестати ним займатися, і замість цього стала довіряти стандартам і організаціям за твердженнями стандартів, таких як NIST.

Попередній варіант NIST SP 800-90A, включаючи Dual_EC_DRBG, був опублікований в грудні 2005 року. Остаточний варіант був опублікований в червні 2006 року. Документи, показані Сноуденом, були інтерпретовані як припущення, що в Dual_EC_DRBG реалізований бекдор від АНБ, посилаючись на прагнення АНБ бути єдиним редактором стандарту. Раннє використання Dual_EC_DRBG в RSA Security було висунуто АНБ як аргумент для включення генератора в NIST SP 800-90A. RSA Security згодом сказала, що прийняття Dual_EC_DRBG в NIST було причиною для його використання.

Потенційний бекдор не публікувався за межами комісії по стандартизації. Тільки після презентації [en] і Нільса Фергюсона в 2007 році бекдор став широко відомий. Їм було доручено реалізувати Dual_EC_DRBG для Microsoft. Крім того, Фергюсон обговорив можливий бекдор у 2005 році на нараді X9.Брюс Шнайер написав у статті Wired 2007 року про те, що недоліки Dual_EC_DRGB настільки очевидні, що ніхто не стане його використовувати.

В OpenSSL реалізовані всі частини NIST SP 800-90A, включаючи Dual_EC_DRBD, незважаючи на його сумнівну репутацію. При цьому творці OpenSSL зазначили, що вони прагнуть зробити OpenSSL повним і тому реалізують навіть небезпечні алгоритми. OpenSSL не використовував Dual_EC_DRBG за замовчуванням, і в 2013 році було виявлено, що реалізація OpenSSL Dual_EC_DRBG не працює і ніхто не міг її використовувати.


Брюс Шнайер повідомив в грудні 2007 року, що Microsoft додала підтримку Dual_EC_DRBG в Windows Vista, хоча вона не включена, і Шнайер попередив про потенційний бекдор. Windows 10 і більш пізні версії будуть замінювати виклики Dual_EC_DRBG на виклики генератора на основі AES.

9 вересня 2013 року, за інформацією отриманою від Сноудена, а також через доповідь New York Times про бекдор у Dual_EC_DRBG, NIST оголосив, що перевидає SP 800-90A і відкриває SP 800-90B/C для громадського обговорення. Зараз NIST «настійно рекомендує» не використовувати Dual_EC_DRBG. Публікація бекдор в стандарті прийнятому стало для NIST серйозним конфузом.

RSA Security зберегла Dual_EC_DRBG як генератор за замовчуванням в BSAFE навіть після того, як бекдор став широко відомий. Після широко поширився занепокоєння з приводу бекдор була зроблена спроба знайти програмне забезпечення, яке використовувало Dual_EC_DRBG, серед якого виділявся BSAFE. В 2013 році, начальник служби безпеки RSA Сем Каррі надав сайту Ars Technica обґрунтування вибору помилкового стандарту Dual_EC_DRBG за замовчуванням порівняно з альтернативними генераторами. Технічна частина заяви широко критикувалася криптографами. 20 грудня 2013 року агентство Reuters повідомило, що RSA прийняв секретний платіж в розмірі 10 мільйонів доларів від АНБ, щоб встановити Dual_EC_DRBG за замовчуванням в двох продуктах шифрування.

Примітки

  1. Recommendations for Random Number Generation Using Deterministic Random Bit Generators (Revised) (PDF). — National Institute of Standards and Technology, 2007. — 1 березня. — NIST SP 800-90. з джерела 26 вересня 2007.
  2. (PDF). Архів оригіналу (PDF) за 28 листопада 2016. Процитовано 25 квітня 2018.
  3. (англ.). blog.0xbadc0de.be. Архів оригіналу за 3 вересня 2018. Процитовано 21 грудня 2017.
  4. Daniel R. L. Brown, Kristian Gjøsteen. A Security Analysis of the NIST SP 800-90 Elliptic Curve Random Number Generator : [ 4 березня 2018] : ( )[англ.] // Advances in Cryptology - CRYPTO 2007. — Springer, Berlin, Heidelberg, 2007-08-19. — С. 466–481. — , 9783540741435. — DOI:10.1007/978-3-540-74143-5_26.
  5. Berry Schoenmakers, Andrey Sidorenko. Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator : [ 15 грудня 2017]. — 2006. — № 190.
  6. . A Few Thoughts on Cryptographic Engineering (амер.). 18 вересня 2013. Архів оригіналу за 20 серпня 2016. Процитовано 14 грудня 2017.
  7. . A Few Thoughts on Cryptographic Engineering (амер.). 28 грудня 2013. Архів оригіналу за 24 червня 2018. Процитовано 14 грудня 2017.
  8. (PDF). Архів оригіналу (PDF) за 15 грудня 2017. Процитовано 25 квітня 2018.
  9. . marc.info. Архів оригіналу за 16 жовтня 2014. Процитовано 14 грудня 2017.
  10. Ball, James (6 вересня 2013). . The Guardian (брит.). 0261-3077. Архів оригіналу за 25 квітня 2018. Процитовано 14 грудня 2017.
  11. . www.ietf.org. Архів оригіналу за 18 серпня 2016. Процитовано 14 грудня 2017.
  12. On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng (PDF). Архів оригіналу (PDF) за 26 лютого 2014. Процитовано 25 квітня 2018.
  13. (англ.). blog.0xbadc0de.be. Архів оригіналу за 3 вересня 2018. Процитовано 14 грудня 2017.
  14. (англ.). worldwide.espacenet.com. Архів оригіналу за 16 листопада 2018. Процитовано 14 грудня 2017.
  15. . Архів оригіналу за 3 травня 2018. Процитовано 25 квітня 2018.
  16. (амер.). A Few Thoughts on Cryptographic Engineering. Архів оригіналу за 29 січня 2018. Процитовано 21 грудня 2017.
  17. . A Few Thoughts on Cryptographic Engineering (амер.). 14 січня 2015. Архів оригіналу за 24 березня 2018. Процитовано 14 грудня 2017.
  18. (PDF). Архів оригіналу (PDF) за 15 грудня 2017. Процитовано 25 квітня 2018.
  19. . marc.info. Архів оригіналу за 16 жовтня 2014. Процитовано 15 грудня 2017.
  20. . A Few Thoughts on Cryptographic Engineering (амер.). 18 вересня 2013. Архів оригіналу за 20 серпня 2016. Процитовано 15 грудня 2017.
  21. . A Few Thoughts on Cryptographic Engineering (амер.). 28 грудня 2013. Архів оригіналу за 24 червня 2018. Процитовано 15 грудня 2017.
  22. . jeffreycarr.blogspot.ru. Архів оригіналу за 15 грудня 2017. Процитовано 15 грудня 2017.
  23. Ball, James (6 вересня 2013). . The Guardian (брит.). 0261-3077. Архів оригіналу за 25 квітня 2018. Процитовано 15 грудня 2017.
  24. . Reuters. Fri Dec 20 22:07:30 UTC 2013. Архів оригіналу за 5 травня 2018. Процитовано 15 грудня 2017.
  25. . Ars Technica (en-us) . Архів оригіналу за 12 серпня 2018. Процитовано 15 грудня 2017.
  26. . WIRED (амер.). Архів оригіналу за 23 листопада 2015. Процитовано 15 грудня 2017.
  27. . www.schneier.com. Архів оригіналу за 10 червня 2018. Процитовано 15 грудня 2017.
  28. (англ.). msdn.microsoft.com. Архів оригіналу за 15 грудня 2017. Процитовано 15 грудня 2017.
  29. (PDF). Архів оригіналу (PDF) за 26 травня 2018. Процитовано 25 квітня 2018.
  30. Perlroth, Nicole. . Bits Blog (англ.). Архів оригіналу за 25 березня 2018. Процитовано 15 грудня 2017.
  31. . IEEE Spectrum: Technology, Engineering, and Science News (англ.). Архів оригіналу за 1 лютого 2016. Процитовано 15 грудня 2017.
  32. . Ars Technica (en-us) . Архів оригіналу за 25 березня 2018. Процитовано 15 грудня 2017.
  33. . A Few Thoughts on Cryptographic Engineering (амер.). 20 вересня 2013. Архів оригіналу за 24 квітня 2018. Процитовано 15 грудня 2017.
  34. . The Guardian (брит.). 0261-3077. Архів оригіналу за 13 лютого 2021. Процитовано 15 грудня 2017.

Посилання

  • The Many Flaws of Dual_EC_DRBG [ 20 серпня 2016 у Wayback Machine.] // Matthew Green (Johns Hopkins University), September 18, 2013

Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет

Dual EC DRBG angl vid Dual Elliptic Curve Deterministic Random Bit Generator kriptografichno stijkij generator psevdovipadkovih chisel rozroblenij Agentstvom nacionalnoyi bezpeki SShA odin z chotiroh kriptografichno stijkih generatoriv standartizovanih NIST yak Special Publication 800 90 en u 2006 roci Odna z oblastej zastosuvannya kriptografichni sistemi dlya generaciyi klyuchiv Algoritm zasnovanij na vikoristanni eliptichnih krivih Algoritmshema Dual EC DRBG U standarti NIST SP 800 90A v opisi algoritmu vikoristovuyutsya 2 funkciyi f a funkciya sho peretvoryuye cile chislo v binarnu poslidovnist x A funkciya sho povertaye x koordinatu tochki A Hid roboti 1 Zadayetsya vipadkove znachennya t randomseed 2 U cikli vikonuyutsya operaciyi Obchislyuyetsya znachennya s f x t P Obchislyuyetsya znachennya r f x s Q Obrizayutsya starshi 2 bajti r Otrimannya 30 bajtiv r t sBezpekaBezpeku Dual EC DRBG zasnovano na skladnij problemi teoriyi chisel problema Diffi Gelmana Ce bulo zayavlenoyu prichinoyu vklyuchennya do NIST SP 800 90 Prote virobniki generatora ne opublikuvali matematichnogo dokazu bezpeki generatora i pislya publikaciyi proektu NIST bulo pokazano sho Dual EC DRBG ne ye bezpechnim cherez te sho na vihodi otrimuyetsya velika kilkist bitiv za raund Yaksho vikoristovuvati tochki eliptichnoyi krivoyi sho zadano u standarti to cherez zaveliku kilkist bitiv na vihodi stvoryuyetsya mozhlivist bekdoru sho daye mozhlivist zlovmisniku zlamati generator povnim pereborom Cyu problemu ne bulo vipravleno v ostatochno opublikovanomu standarti zalishivshi Dual EC DRBG nebezpechnim U bagatoh inshih standartah konstanti yaki povinni buti dovilnimi vibirayutsya principom U Dual EC DRBG virobniki ne vkazali yak zadayutsya konstanti tochki eliptichnoyi krivoyi P i Q Oskilki komitet pro standartizaciyu buv obiznanij pro mozhlivij bekdor do standartu bulo vklyucheno sposib otrimannya svoyih konstant P i Q Ale tochne formulyuvannya v standarti bulo napisane tak sho vikoristannya P i Q nadanih u standarti potribne dlya prohodzhennya perevirki FIPS 140 2 tomu v OpenSSL buli realizovani same ci konstanti nezvazhayuchi na obiznanist pro bekdor i bazhannya vikoristovuvati bilsh nadijni parametri New York Times piznishe napisala sho ANB pracyuvala pid chas procesu standartizaciyi tak shob u kincevomu pidsumku stati yedinim redaktorom standartu Cherez deyakij chas Deniel Braun i Kristian Gyestin 8 bereznya 2018 u Wayback Machine opublikuvali dokaz bezpeki Dual EC DRBG v yakomu bulo pokazano sho sformovani tochki eliptichnoyi krivoyi budut vidriznyayutsya vid vipadkovih yaksho na vihodi bude mensha kilkist bit za raund tochki P i Q budut nezalezhni nastupni tri problemi budut nalezhati klasu NP problema Diffi Gelmana problema diskretnogo logarifmuvannya problema usichenoyi tochki Dual EC DRBG ye dosit povilnim generatorom v porivnyanni z alternativnimi generatorami vklyuchenimi v toj zhe standart odnak ci alternativi ne mayut dokaziv bezpeki Deniel Braun stverdzhuye sho zavdyaki dovedennya bezpeki generator mozhna vikoristovuvati nezvazhayuchi na shvidkist jogo roboti pri umovi sho vikoristani nadijni parametri Peredbachuvanij bekdor dozvolyaye zlovmisnikovi viznachiti vnutrishnij stan generatora vipadkovih chisel pislya pereglyadu vihodu odnogo raundu rozmirom 30 bajt Vsi majbutni vihidni dani generatora vipadkovih chisel mozhut buti legko porahovani poki zovnishnij dzherelo entropiyi ne perezavantazhit generator z novim znachennyam t0 Napriklad vikoristannya cogo generatora robit nebezpechnim SSL TLS oskilki vstanovlennya SSL z yednannya vklyuchaye v sebe vidpravlennya vipadkovo zgenerovanogo kilkosti u vidkritomu viglyadi Bekdor polyagaye v tomu sho pri vikoristanni konstant P i Q standartu ANB znaye take e e Q P Takim chinom e ye sekretnim klyuchem imovirno vidomim ANB a peredbachuvanij bekdor ye kliyentografichnim prihovanim bekdorom BekdorPershij visnovok 30 bajt r0 ce x koordinata tochki bez pochatkovih 16 bit Dlya kozhnoyi krivoyi zadanoyi v standarti napisani znachennya X nulya i odniyeyi abo dvoh tochok na krivij Takim chinom potribno povnistyu perebrati ne bilshe 17 bit dlya vidnovlennya vihidnoyi tochki A Vidoma tochka A a otzhe i vidomo tvir s0 Q dorivnyuye A Vidomij sekretnij klyuch e yakij zadaye spivvidnoshennya P e Q To domnozhiv kozhnu storonu rivnyannya s0 Q A na e vihodit e A s0 e Q s0 P Vihodyachi z cogo ye mozhlivist porahuvati s1 f x e A a potim i r1 potim i nastupni s2 sn i r2 rn Dlya cogo potribno lishe povnim pereborom znajti A pomnozhiti otrimane A e potim pomnozhiti otrimane znachennya Q i vivesti znachennya koordinati x otrimanoyi tochki bez pershih dvoh bajt Istoriya ta standartizaciyaANB vpershe predstavila Dual EC DRBG v ANSI X9 82 DRBG na pochatku 2000 h rokiv vklyuchayuchi parametri sho zabezpechuyut bekdor i v proekti standartu ANSI buv opublikovanij Dual EC DRBG Tak samo vin buv dodanij v standart ISO 18031 Prinajmni dva uchasniki komisiyi za standartami i rekomendaciyami ANSI X9F1 Deniel Braun i Skott Vanston z Certicom buli obiznani pro tochnij mehanizm i obstavin pri yakih mozhlivij bekdor tak yak v sichni 2005 roku voni podali zayavku na patent v yakomu bulo opisano yak vstaviti abo zapobigti bekdor v Dual EC DRBG Piznishe bulo pidtverdzheno sho dana pastka identichna bekdoru generatora U 2014 roci Metyu Grin kriptograf i profesor universitetu Dzhona Hopkinsa kritikuvav komitet za te sho ne buv pribranij cej zazdalegid vidomij bekdor U patenti buli opisani 2 umovi isnuvannya cogo bekdor 1 Vibrano Q Generator vipadkovih chisel eliptichnoyi krivoyi unikaye escrow keys vibirayuchi vipadkovo tochku Q Navmisne vikoristannya escrow keys mozhe zabezpechiti rezervne kopiyuvannya Zv yazok mizh P i Q vikoristovuyetsya v yakosti escrow key i zberigayetsya v zahishenij oblasti Administrator reyestruye vihid generatora i vidnovlyuye vipadkove chislo za dopomogoyu escrow key 2 Ne skorochenij vihid generatoraUsichennya vihodu generatora ce alternativnij sposib zapobigannya ataki za dopomogoyu escrow key Usichennya vihodu priblizno na polovinu zabezpechit te sho vihid znachen R pov yazanih z odnim vihodom r ne piddavatimetsya poshuku Napriklad dlya 160 bitnoyi grupi eliptichnih krivih chislo potencijnih tochok R v spisku stanovit blizko 280 i poshuk bude takim zhe skladnim yak zavdannya diskretnogo logarifmuvannya Nedolik cogo metodu v tomu sho efektivnist generatora zmenshuyetsya vdvichi tak yak udvichi skorochuyetsya jogo vihid Za slovami Dzhona Kelsi odnogo z avtoriv NIST SP 800 90A variant viboru dostovirnogo vipadkovogo Q buv dodanij v standart v vidpovid na bekdor ale takim chinom sho perevirku FIPS 140 2 generator prohodiv bi tilki z vikoristannyam Q vid ANB Ne bulo zrozumilo chomu standart ne vkazuvav princip viboru tochki yak Nothing sleeve up my number abo chomu standart ne skorochuvav vihid generatora yakij zapobigav bi ataku z dopomogoyu escrow key Porivnyano z poperednim generatorom EC PRG usichennya vihodu bulo realizovano v Dual EC DRBG yakij vivodiv vid 1 2 do 2 3 vid rezultatu raundu EC PRG Take skorochennya vihodu vse odno zalishalo vihid generatora peredbachuvanim i nepridatnim yak kriptografichno stijkogo generatora psevdovipadkovih chisel U standarti zaznacheno sho realizaciyi povinni vikoristovuvati malij max outlen ale pri comu dozvolyaye vikoristovuvati jogo tilki kratnim 8 bitam U dodatku C standartu skazano sho visnovok menshoyi kilkosti bit zrobit vihid mensh rivnomirno rozpodilenim ale dokaz bezpeki vid Brauna pokladayetsya na te sho znachennya pokaznika max outlen znachno menshe Komisiya zi standartiv ta rekomendacij ANSI X9F1 v yakij obgovoryuvavsya bekdor takozh vklyuchala v sebe spivrobitnikiv z RSA Security U 2004 roci RSA Security vprovadila realizaciyu Dual EC DRBG v yakij mistivsya bekdor v RSA BSAFE yak rezultat sekretnoyi ugodi z ANB V 2013 roci pislya togo yak New York Times povidomila sho Dual EC DRBG mistila bekdor v RSA Security zayavili sho ne znali pro bekdore pri ukladanni ugodi z ANB pislya chogo poprosili koristuvachiv pereklyuchiti generator Na konferenciyi RSA 2014 roku vikonavchij golova RSA Security Art Coviello poyasniv sho kompaniya zaznavala zbitkiv vid shifruvannya i virishila perestati nim zajmatisya i zamist cogo stala doviryati standartam i organizaciyam za tverdzhennyami standartiv takih yak NIST Poperednij variant NIST SP 800 90A vklyuchayuchi Dual EC DRBG buv opublikovanij v grudni 2005 roku Ostatochnij variant buv opublikovanij v chervni 2006 roku Dokumenti pokazani Snoudenom buli interpretovani yak pripushennya sho v Dual EC DRBG realizovanij bekdor vid ANB posilayuchis na pragnennya ANB buti yedinim redaktorom standartu Rannye vikoristannya Dual EC DRBG v RSA Security bulo visunuto ANB yak argument dlya vklyuchennya generatora v NIST SP 800 90A RSA Security zgodom skazala sho prijnyattya Dual EC DRBG v NIST bulo prichinoyu dlya jogo vikoristannya Potencijnij bekdor ne publikuvavsya za mezhami komisiyi po standartizaciyi Tilki pislya prezentaciyi en i Nilsa Fergyusona v 2007 roci bekdor stav shiroko vidomij Yim bulo dorucheno realizuvati Dual EC DRBG dlya Microsoft Krim togo Fergyuson obgovoriv mozhlivij bekdor u 2005 roci na naradi X9 Bryus Shnajer napisav u statti Wired 2007 roku pro te sho nedoliki Dual EC DRGB nastilki ochevidni sho nihto ne stane jogo vikoristovuvati V OpenSSL realizovani vsi chastini NIST SP 800 90A vklyuchayuchi Dual EC DRBD nezvazhayuchi na jogo sumnivnu reputaciyu Pri comu tvorci OpenSSL zaznachili sho voni pragnut zrobiti OpenSSL povnim i tomu realizuyut navit nebezpechni algoritmi OpenSSL ne vikoristovuvav Dual EC DRBG za zamovchuvannyam i v 2013 roci bulo viyavleno sho realizaciya OpenSSL Dual EC DRBG ne pracyuye i nihto ne mig yiyi vikoristovuvati Bryus Shnajer povidomiv v grudni 2007 roku sho Microsoft dodala pidtrimku Dual EC DRBG v Windows Vista hocha vona ne vklyuchena i Shnajer poperediv pro potencijnij bekdor Windows 10 i bilsh pizni versiyi budut zaminyuvati vikliki Dual EC DRBG na vikliki generatora na osnovi AES 9 veresnya 2013 roku za informaciyeyu otrimanoyu vid Snoudena a takozh cherez dopovid New York Times pro bekdor u Dual EC DRBG NIST ogolosiv sho perevidaye SP 800 90A i vidkrivaye SP 800 90B C dlya gromadskogo obgovorennya Zaraz NIST nastijno rekomenduye ne vikoristovuvati Dual EC DRBG Publikaciya bekdor v standarti prijnyatomu stalo dlya NIST serjoznim konfuzom RSA Security zberegla Dual EC DRBG yak generator za zamovchuvannyam v BSAFE navit pislya togo yak bekdor stav shiroko vidomij Pislya shiroko poshirivsya zanepokoyennya z privodu bekdor bula zroblena sproba znajti programne zabezpechennya yake vikoristovuvalo Dual EC DRBG sered yakogo vidilyavsya BSAFE V 2013 roci nachalnik sluzhbi bezpeki RSA Sem Karri nadav sajtu Ars Technica obgruntuvannya viboru pomilkovogo standartu Dual EC DRBG za zamovchuvannyam porivnyano z alternativnimi generatorami Tehnichna chastina zayavi shiroko kritikuvalasya kriptografami 20 grudnya 2013 roku agentstvo Reuters povidomilo sho RSA prijnyav sekretnij platizh v rozmiri 10 miljoniv dolariv vid ANB shob vstanoviti Dual EC DRBG za zamovchuvannyam v dvoh produktah shifruvannya PrimitkiRecommendations for Random Number Generation Using Deterministic Random Bit Generators Revised PDF National Institute of Standards and Technology 2007 1 bereznya NIST SP 800 90 z dzherela 26 veresnya 2007 PDF Arhiv originalu PDF za 28 listopada 2016 Procitovano 25 kvitnya 2018 angl blog 0xbadc0de be Arhiv originalu za 3 veresnya 2018 Procitovano 21 grudnya 2017 Daniel R L Brown Kristian Gjosteen A Security Analysis of the NIST SP 800 90 Elliptic Curve Random Number Generator 4 bereznya 2018 angl Advances in Cryptology CRYPTO 2007 Springer Berlin Heidelberg 2007 08 19 S 466 481 ISBN 9783540741428 9783540741435 DOI 10 1007 978 3 540 74143 5 26 Berry Schoenmakers Andrey Sidorenko Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator 15 grudnya 2017 2006 190 A Few Thoughts on Cryptographic Engineering amer 18 veresnya 2013 Arhiv originalu za 20 serpnya 2016 Procitovano 14 grudnya 2017 A Few Thoughts on Cryptographic Engineering amer 28 grudnya 2013 Arhiv originalu za 24 chervnya 2018 Procitovano 14 grudnya 2017 PDF Arhiv originalu PDF za 15 grudnya 2017 Procitovano 25 kvitnya 2018 marc info Arhiv originalu za 16 zhovtnya 2014 Procitovano 14 grudnya 2017 Ball James 6 veresnya 2013 The Guardian brit 0261 3077 Arhiv originalu za 25 kvitnya 2018 Procitovano 14 grudnya 2017 www ietf org Arhiv originalu za 18 serpnya 2016 Procitovano 14 grudnya 2017 On the Possibility of a Back Door in the NIST SP800 90 Dual Ec Prng PDF Arhiv originalu PDF za 26 lyutogo 2014 Procitovano 25 kvitnya 2018 angl blog 0xbadc0de be Arhiv originalu za 3 veresnya 2018 Procitovano 14 grudnya 2017 angl worldwide espacenet com Arhiv originalu za 16 listopada 2018 Procitovano 14 grudnya 2017 Arhiv originalu za 3 travnya 2018 Procitovano 25 kvitnya 2018 amer A Few Thoughts on Cryptographic Engineering Arhiv originalu za 29 sichnya 2018 Procitovano 21 grudnya 2017 A Few Thoughts on Cryptographic Engineering amer 14 sichnya 2015 Arhiv originalu za 24 bereznya 2018 Procitovano 14 grudnya 2017 PDF Arhiv originalu PDF za 15 grudnya 2017 Procitovano 25 kvitnya 2018 marc info Arhiv originalu za 16 zhovtnya 2014 Procitovano 15 grudnya 2017 A Few Thoughts on Cryptographic Engineering amer 18 veresnya 2013 Arhiv originalu za 20 serpnya 2016 Procitovano 15 grudnya 2017 A Few Thoughts on Cryptographic Engineering amer 28 grudnya 2013 Arhiv originalu za 24 chervnya 2018 Procitovano 15 grudnya 2017 jeffreycarr blogspot ru Arhiv originalu za 15 grudnya 2017 Procitovano 15 grudnya 2017 Ball James 6 veresnya 2013 The Guardian brit 0261 3077 Arhiv originalu za 25 kvitnya 2018 Procitovano 15 grudnya 2017 Reuters Fri Dec 20 22 07 30 UTC 2013 Arhiv originalu za 5 travnya 2018 Procitovano 15 grudnya 2017 Ars Technica en us Arhiv originalu za 12 serpnya 2018 Procitovano 15 grudnya 2017 WIRED amer Arhiv originalu za 23 listopada 2015 Procitovano 15 grudnya 2017 www schneier com Arhiv originalu za 10 chervnya 2018 Procitovano 15 grudnya 2017 angl msdn microsoft com Arhiv originalu za 15 grudnya 2017 Procitovano 15 grudnya 2017 PDF Arhiv originalu PDF za 26 travnya 2018 Procitovano 25 kvitnya 2018 Perlroth Nicole Bits Blog angl Arhiv originalu za 25 bereznya 2018 Procitovano 15 grudnya 2017 IEEE Spectrum Technology Engineering and Science News angl Arhiv originalu za 1 lyutogo 2016 Procitovano 15 grudnya 2017 Ars Technica en us Arhiv originalu za 25 bereznya 2018 Procitovano 15 grudnya 2017 A Few Thoughts on Cryptographic Engineering amer 20 veresnya 2013 Arhiv originalu za 24 kvitnya 2018 Procitovano 15 grudnya 2017 The Guardian brit 0261 3077 Arhiv originalu za 13 lyutogo 2021 Procitovano 15 grudnya 2017 PosilannyaThe Many Flaws of Dual EC DRBG 20 serpnya 2016 u Wayback Machine Matthew Green Johns Hopkins University September 18 2013

Дата публікації:
Топ