05.11 // RSA Security заявила о наличии АНБ-бэкдора в своих продуктах
Причем, еще 19 сентября.
А вот Microsoft, например, не заявило. Но об этом ниже.
Итак, в их продуктах RSA Data Protection и RSA Bsafe во всю использовался алгоритм Dual EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generation), сертифицированный NIST (описание). И сертифицированный, как выяснилось, с сюрпризом от агенства национальной безопасности США. То есть, это никакой не random, если вы знаете в чём суть закладки.
Ну и о том, что этот алгоритм может содержать бэкдор, исследователи говорили еще в 2007м году. Что не помешало NIST его сертифицировать. А кипиш начался после опубликованных Сноуденом документов, где явно говорилось о неком стандарте 2006 года.
Dual_EC_DRBG, между прочим, является довольно популярной штуковиной.
Реализован в Windows, начиная с Vista SP1, что делает его самым популярным в мире. Так же, реализация есть в OpenSSL и вообще он похоже пролоббирован в куче продуктов (McAfee, например, но те использовали его только для программ гос сектора). Так что, вычищать от него код придется еще долгое время.
Подробности устройства бэкдора, практически на пальцах.
Источник: http://habrahabr.ru/post/200686/
Интересно, как много людей при упоминании «RSA Security» думают «компания, созданная и управляемая Райвистом, Шамиром и Адельманом»? Кто-то ведь поди ещё задаёт им вопросы «ребята, создатели RSA, как же так получилось, что ваша компания — эээ...?». Я вот, например, эти вопросы тоже не знал и, когда стало интересно, лазил в вики проверить, есть ли реально какая-то связь.
По ссылке про историю «RSA Security» написаны похожие вещи: компания не раз перепродавалась, криптографический бизнес сокращался, толковые инженеры и менеджеры из неё уходили, но какая-то остаточная репутация из-за того, что они очень давно на рынке, ещё была. И когда компания ослабла совсем, налетели птицы-падальщики (герб их помните?) и склевали полудохлый труп.
Что-то такое было, как вы писали, с алгебраическим криптоанализом, но, правда, вы позже писали и другое (цитату не нашёл) — что-то наподобие «прогресс в криптоанализе внутри АНБ может опережать на несколько лет то, что известно в открытом сообществе, но, как показывают примеры, даже то интересное, что недавно было обнаружено,* по факту позже оказалось лишь ещё одной теоретической игрушкой, хотя когда-то на него возлагали надежды уровня "сейчас все шифры им переломаем"». Т.е. есть скептицизм по поводу того, что можно сильно оторваться от того, что уже известно в открытой науке.
История на многих примерах** учит тому же: как правило, одно и то же приходит в голову не одному, а нескольким людям и почти одновременно, разница — пара лет, 5 лет, но не больше даже несмотря на то, что люди не знают друг друга и не читают работы коллег. Просто есть какой-то «общий фон совокупного понимания науки человечеством», и если прогресс превышает какой-то порог, достаточный для возникновения новых знаний, это увидит не один, а многие, кто внимательно к этому приглядывается. Уж, по крайней мере, в масштабах всего мира очень трудно найти что-то такое, что считалось бы трудным для всех, но лёгким для тех, кто «знает, как».
*Тот же алгебраический криптоанализ, возможно, давно известный АНБ и лишь недавно ставший известным в открытом сообществе.
**В том числе — история зарождения криптографии с открытым ключом.
комментариев: 11558 документов: 1036 редакций: 4118
А о разборках RSA Security с Циммерманом и о том, что в немалой мере благодаря их стараниям он попал под следствие?
комментариев: 9796 документов: 488 редакций: 5664
Там всё ещё смешнее.
Сам бэкдор и защита от него были запатентованы ещё в 2005 году. Типа, хотите использовать депонирование секрета для дешифровки трафика — вот вам способ навязать константы. Хотите избежать использование констант — вот как сделать чистый вариант без бэкдора.
Подробнее об устройстве бэкдора.
Во вторых, НИСТ как бы умывает руки, это не его стандарт, а публикация-рекомендация, на основе стандарта ANSI и пр., куда он был внедрён ранее, а авторами алгоритма было АНБ. Причём АНБ не изобрело бэкдор, оно взяло готовый патент от гражданских криптографов и опубликовало от имени своих разработчиков. Хотя, не совсем ясно, про даты с патентом и начало продвижения этого стандарта от АНБ ещё в начале 2000-х.
RSA Security была в комитете по стандартизации ANSI и вроде как была в курсе и этого патента, и того, что в стандарт можно встроить бэкдор и после его принятия включила в свою программную библиотеку.
Наконец, ANSI и ISO, стандартизировали аналогичный алгоритм Микалли-Шнора. В нём, как в чисто ассиметричном, самом по себе нет ничего плохого, но в стандарт внесены необъяснимые константы, которые также могут содержать бэкдор, основанный на знании факторизации. Пока даже теоретически неясно как это может в точности работать, но злонамеренный выбор констант с большой вероятностью может давать такую возможность. Правда, этот стандарт нигде не применяется.
Но с 3DES там посложнее будет (см. ту же ссылку).
Спасибо. Интересный разбор. Тут ещё в тему из википедии:
Не буду показывать пальцемБоюсь спросить, родственники читателей pgpru.com случаем криптографией не подрабатывают? :)Его описания даже в вики нет (но есть упоминания), хотя в интернете есть много страниц по теме.
комментариев: 9796 документов: 488 редакций: 5664
Это вы про открытие Коблица-Миллера? :)
Тут кто-то недавно активно ругался на соцсети... Хотя если кому-то «ничто человеческое не чуждо», то чего
боятьсяудивляться?Такой молодой, а уже эпоним!
Бывает и такое, но чаще СВЧ излучение используют для борьбы с муз.центрами соседей. Должно быть несколько сложней чем просто открытая дверца микроволновки, но так же беспощадно. Впрочем, никаких инопланетян.
© Oded Goldreich, «Computational complexity, а conceptual perspective». Cambridge University Press, 2008. Введение и часть цитат доступы здесь. Замечательные эпиграфы из той же книги:
Ещё там на глаза попались интересные теоремы (наверное, для специалистов они очевидны) о глубоких связях одних вещей с другими. Кажется (боюсь переврать), (a) существование односторонних (one-way) функций, (b) существование подписей, устойчивых к атакам с подобранным текстом, и (c) существование стойкой аутентификации(?) — эквивалентные друг другу утверждения.
Превосходная книжка, рекомендую. Годрайх как всегда на высоте. Очень интересно, глубоко, концептуально и доступно описано. Видно, что это «труд жизни» на сотни страниц, где выстрадано каждое слово. Тот случай, когда пишут так, чтобы потом можно было взять любую цитату из книги и сразу отлить её в граните.
Помимо Годрайха я посмотрел, что ещё сейчас хранят на своих полках большие люди, которые слишком много знают1. Обнаружилось:
Сразу оговариваюсь, что я не проверял наличие этих книг хотя бы каком-то виде в сети. Помимо книги Голдрайха стоит отметить восьмую ссылку. Пожалуй, это самая современная книжка по теме. Её черновые версии доступны. Обратите внимание на подбор тем и топиков: они существенно отличаются от тех, что описаны в стандартных книжках. В частности, некоторые главы по ссылке:
Chapter 10: Quantum computation
Chapter 13: Communication complexity
Chapter 21: Pseudorandom constructions: expanders and extractors3
Помимо вышупомянутых были обнаружены следующие две чисто классических (не содержащих информацию про квантовые вычисления) книжки:
- Christos H. Papadimitriou. «Computational complexity». Addison-Wesley, 1994.
- Michael Sipser. «Introduction to the theory of Computation». Cengage Learning, 2013.
Последняя содержит какие-то параграфы по (классической) криптографии.P.S. Это так, в качестве грубого ориентира на предмет того, что стоило бы в наше время читать.
Термины time/space complexity из теории сложности соответствуют расходам на брутфорс по памяти и по количеству операций в современной криптографии?
1Тут ранее кто-то уже интересовался ссылками на литературу.
2Цитата из книжки:3Эпиграф к главе: