Backdoor w standardzie kryptograficznym?

Bruce Schneier, specjalista ds. bezpieczeństwa z firmy BT Counterpane, twierdzi, że w generatorze liczb losowych RNG (random number generator) wykorzystywanym w standardzie szyfrowania Dual_EC_DRBG umieszczony jest backdoor, który może pozwalać na łatwe odszyfrowanie zabezpieczonych danych.

Co ważne, standard ten został w marcu tego roku oficjalnie zaakceptowany przez amerykański instytut rządowy NIST (National Institute of Standards and Technology). W opublikowanym w magazynie Wired artykule Bruce Schneier sugeruje, że w jednym z czterech wykorzystywanych w tym standardzie generatorów liczb losowych umieszczony został "matematyczny backdoor". Autor artykułu powołuje się m.in. na wyniki badań dwóch inżynierów zatrudnionych w Microsofcie - Dana Shumowa oraz Nielsa Fergusona (opublikowali oni rozprawę teoretyczną na ten temat). Schneier twierdzi, że "furtka" została umieszczona w standardzie na zlecenie amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA - National Security Agency), która później wypromowała ów standard i ułatwiła mu zdobycie akceptacji NIST.

Wątpliwości badaczy budzą liczby, na podstawie których definiowane są algorytmy, wykorzystywane do tworzenia generatorów - z ich analiz wynika bowiem, że są one powiązane z dodatkowym zestawem ukrytych liczb (które mogą posłużyć do ustalenia stanu generatora). To właśnie zostało uznane za "backdoor".

"Oczywiście, nie mamy sposobu by się dowiedzieć, czy NSA zna te tajne liczby. Być może dysponuje nimi ktoś z NIST, a może z grupy roboczej ANSI. Może nikt. Nie wiemy też, skąd się one wzięły - wiemy jednak, że ktokolwiek je zna, ten ma klucz do tej furtki. I jestem przekonany, że ani NIST, ani nikt inny, nie jest w stanie dowieść, że jest inaczej. A to jest dość przerażające" - mówi Bruce Schneier.

Zdaniem Phila Zimmermanna, twórcy PGP oraz Zfone, w świetle przedstawionych informacji nikt rozsądny nie powinien wykorzystywać owych generatorów. "Zawsze należy obawiać się backdoorów. W tym konkretnym przypadku coś rzeczywiście wygląda dość niepokojącą - radzę nie korzystać z tych RNG-ów" - mówi Zimmerman. Twórca PGP sądzi, że NSA jest w stanie wprowadzić backdoora do standardu promowanego przez państwo - aczkolwiek zastrzega, że takie działanie zwykle wiąże się z poważnym ryzykiem, ponieważ agencja może znaleźć się w bardzo trudnej sytuacji gdy fakt ten wyjdzie na jaw.

Zimmerman zastrzega, iż obawy co do "podejrzanego" generatora liczb losowych nie oznaczają, że użytkownicy mają zrezygnować z szyfrowania danych przy pomocy Dual_EC_DRBG. Wystarczy, że użyją któregoś z trzech pozostałych generatorów lub jakiejś innej metody rekomendowanej przez NIST (np. szyfrów blokowych). "Ja na przykład i tak nie przepadam za generatorami, ponieważ zwykle wykorzystują zbyt dużo zasobów obliczeniowych komputera" - mówi Phil Zimmerman.

Więcej informacji na ten temat znaleźć można w blogu Brucea Schneiera.