The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В продукте RSA BSAFE выявлена вторая проблема, связанная с кодом от АНБ

31.03.2014 21:53

Исследователи безопасности выявили вторую проблему с генераторами случайных чисел из состава пакета BSAFE, выпускаемого компанией RSA. Вторая проблема выявлена в расширении Extended Random, которое, как и в случае проблемного генератора Dual EC DRBG, было разработан при участии Агентства национальной безопасности США. Применение расширения Extended Random, которое нацелено на добавление дополнительных источников энтропии, на деле позволяет в десятки тысяч раз ускорить взлом системы с генератором случайных чисел Dual EC DRBG.

Разбирая особенности реализации расширения Extended Random, исследователи разработали технику, позволяющую на оборудовании стоимостью примерно 40 тысяч долларов примерно за час подобрать параметры предсказуемой последовательности генератора псевдослучайных чисел Dual EC DRBG при использовании бесплатной версии BSAFE для Java. В случае использования Extended Random или при использовании базового алгоритма Dual EC DRBG версии BSAFE для языка Си время успешного проведения атаки удалось сократить до считанных секунд. Компания RSA отреагировала на исследование заявлением, что расширение Extended Random не получило распространение на практике и скоро будет удалено из состава BSAFE.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
  3. OpenNews: Техника определения RSA-ключей через анализ изменения шума от компьютера
  4. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/39446-rsa
Ключевые слова: rsa, random
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (66) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 22:03, 31/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ох уж эти АНБ. Везде свой нос суют. Интересно, насколько наши их догоняют...
     
     
  • 2.2, anonymous (??), 22:17, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    они их давно уже догнали и перегнали
     
     
  • 3.3, ананим (?), 22:23, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В массовости реализаций?
    Как там их госсекретарь сказал, регионального масштаба. И то, куча проблем как видим.
     
  • 3.4, Аноним (-), 22:24, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да ну? И собираются квантовые компьютеры закупать для расшифровки всего и вся? Сомневаюсь. Но Сноуден наверняка много поведал бэкдоров и уязвимостей, которые теперь будут использовать и наши.
     
     
  • 4.8, ананим (?), 22:48, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Их все слили ещё до того, как он что-то вякнул.
    А за обычными пользователями... да они сами всё в одновконтакбуке выложили.
     
  • 4.38, Аноним (-), 12:16, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем квановые? Вон обычный комп стоимостью с хорошую иномарку подбирает за час. Более чем достаточно.
     
  • 3.5, rshadow (ok), 22:24, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Всех прослушивают инопланетяне. Очевидно же. Только шапочки из фольги, только хардкор.
     
     
  • 4.6, Аноним (-), 22:38, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Шапочки из фольги от бэкдоров в телефонах, которые передают аудио и видео куда надо? Скорее дом из фольги нужен тогда уже.
     
     
  • 5.22, VldK (ok), 08:47, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Британские ученые доказали, что шапочки из фольги не глушат сигнал, а усиливают, поскольку фактически являются антеннами.
    http://www.rosbalt.ru/style/2010/02/21/714685.html
     
     
  • 6.35, Аноним (-), 10:37, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    пля... оглядывая гардероб шапочек
     
  • 6.46, еще один аноним (?), 14:08, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а если заземлить? :)
     
     
  • 7.48, Аноним (-), 16:16, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а если заземлить? :)

    Лучше в клетку Фарадея. Их или себя - это уже пусть каждый для себя сам решает ;)

     
  • 3.15, BratSinot (ok), 00:29, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А нафига ФСБ делать дырки в ГОСТ'овых алгоритмах шифрования? Там где эти алгоритмы требуются (для личных данных и т.д.), ФСБ и без взлома может получить все что душе угодно.
     
     
  • 4.17, Аноним (-), 02:39, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы читать шифрованные сообщения. А вы что подумали? И если все так просто - где стандартные S-box, почему их надо получать где-то сбоку? Какие критерии проверки их содержимого на надежность? Все это выглядит так как будто они хотят подпихивать специально ослабленные значения.
     
     
  • 5.18, linux must _RIP__ (?), 07:32, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    народ - я уже не раз писал. Требования к S-box одинковые что у DES что у ГОСТ. Как они вырабатываются - тоже известно в нужных кругах. Кончай истерить.

    Тебе вот не страшно использовать в AES сертифицированый АНБ в своем wifi ?

     
     
  • 6.31, NikolayV81 (ok), 09:39, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Свой WiFi вообще страшно, он помимо прочего ещё и облучает зараза ;)
     
     
  • 7.45, Аноним (-), 13:04, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Свой WiFi вообще страшно, он помимо прочего ещё и облучает зараза ;)

    У да, целые 100 милливаттов. То-ли дело 20 ваттов с сотовой вышки, или киловатты в эфир от телерадиопередатчиков.

     
     
  • 8.60, Sarmat (?), 12:01, 03/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да но до ближайшей соты у меня 2км а wifi например 2м то есть расстояние в 1000 ... текст свёрнут, показать
     
     
  • 9.61, NikolayV81 (ok), 13:04, 03/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Возможно он не знает что такое 3 И на что влияет облучения на какие клетки б... текст свёрнут, показать
     
     
  • 10.62, Sarmat (?), 17:50, 03/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    может и не знает, а на какие клетки и как я думаю точно ещё ни кто не знает Буд... текст свёрнут, показать
     
     
  • 11.63, NikolayV81 (ok), 18:31, 03/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да в общем на те-же при делении, т е в первую очередь желудок, репродуктивные о... текст свёрнут, показать
     
     
  • 12.64, Sarmat (?), 21:52, 03/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    а есть данные насчёт воздействия именно wifi ... текст свёрнут, показать
     
     
  • 13.68, Аноним (-), 07:39, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    О чем и речь в мире продано миллионы юнитов устройств с wi-fi И где всплеск вс... текст свёрнут, показать
     
     
  • 14.72, NikolayV81 (ok), 09:10, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это было на вопрос про то на что влияет в первую очередь излучение, а не про то ... текст свёрнут, показать
     
  • 14.76, Sarmat (?), 11:47, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В мире было много продано ренгеновских устройств для примерки обуви лет через 30... текст свёрнут, показать
     
  • 13.73, NikolayV81 (ok), 09:25, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    wifi признаётся безопасным при нормальном использовании p s каждый может прове... текст свёрнут, показать
     
  • 12.67, Аноним (-), 07:37, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну значит вам бояться нечего - у вас он судя по вашим постам уже давно закостене... текст свёрнут, показать
     
     
  • 13.71, NikolayV81 (ok), 09:09, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это было на вопрос про то на что влияет в первую очередь излучение, а не про то ... текст свёрнут, показать
     
  • 10.69, Аноним (-), 07:56, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас нам профи тут курс физики дадут, хренли Правда, профи не знают что сотов... текст свёрнут, показать
     
     
  • 11.74, NikolayV81 (ok), 09:36, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    м а как это киловатт я думал энергия в других еденицах измеряется p s Сн... текст свёрнут, показать
     
  • 9.66, Аноним (-), 07:35, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Само название сотовая сеть говорит что там отнюдь не сфера, а всего лишь секто... текст свёрнут, показать
     
     
  • 10.75, Sarmat (?), 09:53, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    сектор у вас на плоскости или всё таки волна 3-х мерная я не знал что это ост... текст свёрнут, показать
     
  • 6.43, Аноним (-), 12:44, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Требования к S-box одинковые что у DES что у ГОСТ.

    DES нынче на GPU полным перебором ломается за вполне обозримое время, так что оптимизациями атак даже никто и не заморачивался.

    > Как они вырабатываются - тоже известно в нужных кругах.

    Нужные круги - это прекрасно. А теперь вопрос: сколько реализаторов алгоритма будут из числа таковых? Навскидку, всякие компетентные господа типа шнайеров и берштейнов от госта кипятком не писают что-то. У Берштейна вообще есть свой выводок Salsa/ChaCha.

    > Тебе вот не страшно использовать в AES сертифицированый АНБ в своем wifi?

    А кто сказал что я на него эксклюзивно полагаюсь для передачи ценных данных?

     
     
  • 7.55, Аноним (-), 07:51, 02/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > всякие компетентные господа типа шнайеров и берштейнов от госта кипятком не писают что-то

    Да, собственно, причин радоваться ГОСТовскому алгоритму шифрования и нет — он уже сейчас ломается проще, чем AES-256 с уменьшенным почти вдвое количеством раундов (8 вместо положенных стандартом 14).

    Время: AES — 2^196, ГОСТ — 2^179. Память: AES — 2^129 *блоков*, ГОСТ — 2^70 *байт*. Для практического применения, конечно, пока многовато, но всё же.

    Источники: AES — http://www.ma.huji.ac.il/~nkeller/Crypt-conf1.pdf , ГОСТ — http://eprint.iacr.org/2012/138.pdf .

     
     
  • 8.56, Аноним (-), 08:57, 02/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я пока не увидел ни 1 реального повода фанатеть от госта, кроме рассказов фан... текст свёрнут, показать
     
     
  • 9.57, Аноним (-), 09:20, 02/04/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не спорю Но для AES-то надо ещё больше Используемый Центробанком s-box можн... текст свёрнут, показать
     
     
  • 10.59, Аноним (-), 23:25, 02/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну т к 2 179 в обозримом будущем не взломают - это как раз не выглядит проблемо... большой текст свёрнут, показать
     
     
  • 11.70, Аноним (-), 08:20, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Те же самые значения указаны в приложении А к ГОСТ Р 34 11-94 Куда уж официальн... текст свёрнут, показать
     
  • 5.30, nmorozov (ok), 09:36, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > И если все так просто - где стандартные S-box, почему их надо получать где-то сбоку?

    Не люблю анонимам отвечать, но почему S-box должен быть получен сбоку, предоставь свой s-box, ноу проблем. При сертификации тебе только придется "доказательную базу" увеличить на предмет того что он не слабый (требования стандартные) - вперед.

    PS. это я не просто так выдумал, сертификация со своим s-box прокатывает. Просто любая "самопалщина" увеличивает работы по сертификации

     
     
  • 6.44, Аноним (-), 13:01, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А я не люблю наглых типов с большим ЧСВ но маленькой аргументацией, независимо о... большой текст свёрнут, показать
     
     
  • 7.47, Anonym2 (?), 14:59, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> предоставь свой s-box, ноу проблем.
    > А почему я вообще должен доделывать за кем-то алгоритмы шифрования? И ничего
    > что для этого требуется совсем иная квалификация, нежели для просто использования
    > алгоритма? И риск факапов намного выше.

    :-) Не должны. Просто показалось (что вы желаете) :-)

    > А оно мне надо? В мире навалом алгоритмов где данной проблемы нет
    > как класса. А сертификат вы можете применить по назначению, меня интересует
    > защита данных, а не туалетная бумага, если что.

    Ну, в общем ОНИ грозят что могут не признать ваш алгоритм... :-)
    (к примеру вы вероятно не сможете доказать что не разгласили секретные данные клиента, если отправили ему эти данные зашифровав своим алгоритмом, а клиент имеет претензии по части разглашения... Или если клиент пользуясь вашим алгоритмом прислал вам некие соображения об ожидаемых услугах, а потом выясняется, что это был кто-то другой, а услуги где-то дорогие...) М...


     
     
  • 8.53, Аноним (-), 03:07, 02/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вас глючило Я не считаю свою квалификацию достаточной для конструирования алгор... большой текст свёрнут, показать
     
     
  • 9.77, Anonym2 (?), 18:14, 07/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В продукте RSA BSAFE выявлена вторая проблема, связанная с к...... текст свёрнут, показать
     
  • 4.32, FreeDDoS (?), 09:43, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Толсто же
     

  • 1.7, Аноним (-), 22:40, 31/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересно что же тогда в selinux-е...
     
     
  • 2.9, ананим (?), 22:51, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Селинух — пассивная защита.
    И ни какого шифрования.

    Вы не в теме.

     
     
  • 3.26, Аноним (-), 09:28, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    причём тут шифрование?
    есть некий код, который написан АНБ, и который вкомпилен в ядро.
    какая разница что он "якобы должен делать"? важно что он "делает на самом деле". прочитайте новость ещё раз и что называется "почувствуйте разницу".

    p.s. "никакого" пишется слитно.

     
     
  • 4.41, ананим (?), 12:26, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > причём тут шифрование?

    Не поверишь, при всём.
    Речь как раз о криптостойкости алгоритмов.

    Зыж
    > есть некий код, который написан АНБ, и который вкомпилен в ядро.

    Не вкомпилен, а выложен в исходниках. (Это о студентах-партнёрах)
    Если ты думаешь (вернее хочешь убедить кого-то), что за 15 лет этот код никто не проверил и не поднял бучу до сих пор, то ты глубоко заблуждаешься(нагло врёшь). И я даже лично знаю кто.

    Ззыж
    > прочитайте новость ещё раз и что называется "почувствуйте разницу".

    Либо ты редкосный идиот (не оскорбление. Просто как факт), либо офтопишь в лучших традициях (оплачиваемых) "хейтеров".

     
  • 3.27, Аноним (-), 09:30, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    причём тут шифрование?
    есть некий код, который написан АНБ, и который вкомпилен в ядро.
    какая разница что он "якобы должен делать"? важно что он "делает на самом деле". прочитайте новость ещё раз и что называется "почувствуйте разницу".

    p.s. "никакого" пишется слитно.

     
  • 2.10, Аноним (-), 22:59, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это они делали для собственной безопасности, вообщем-то. И да, пассивная защита. Она опасна только в плане предотвращения повышения уровня привелегий. Но при подмене траффика это не имеет особого смысла. Зато помогает обезопасить от всяких троянов внутри обычного софта.
     
     
  • 3.29, Аноним (-), 09:33, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это они тебе сказали зачем они это делали? и ты поверил?
     
     
  • 4.51, Аноним (-), 22:06, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это я сделал логические выводы. Попробуйте как-нибудь постоянно вносить одни и те же патчи во всё новые версии программы. Всякий раз ломая голову, что же сломалось.
     
  • 2.11, Аноним (-), 23:18, 31/03/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Его код опубликовали, что бы не запиливать от версии к версии.
    Уверен, что там уже давно всё чисто.
     
     
  • 3.13, Аноним (-), 00:27, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Его код опубликовали, что бы не запиливать от версии к версии.
    > Уверен, что там уже давно всё чисто.

    И так был уверен каждый использующий. За себя и за того парня :)))))))))))

     
     
  • 4.39, ананим (?), 12:17, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    "Те парни" тебе сабж выкатили, т.о. дали тебе возможность самовыразиться.
     

  • 1.12, ASIC (ok), 23:29, 31/03/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Компания RSA отреагировала на исследование заявлением, что расширение Extended Random не получило распространение на практике и скоро будет удалено из состава BSAFE.

    Компания RSA скоро будет удалена с списков ее клиентов, да, да

     
     
  • 2.14, Аноним (-), 00:28, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >>>Компания RSA отреагировала на исследование заявлением, что расширение Extended Random не получило распространение на практике и скоро будет удалено из состава BSAFE.
    > Компания RSA скоро будет удалена с списков ее клиентов, да, да

    Два Розенталя этому господину :)))))))

     

  • 1.16, Аноним (-), 02:22, 01/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > примерно за час подобрать <..> при использовании бесплатной версии BSAFE для Java.
    > В случае использования Extended Random или при использовании базового алгоритма Dual EC DRBG версии BSAFE для языка Си время успешного проведения атаки удалось сократить до считанных секунд.

    :-D "не тормозит", ага

     
     
  • 2.37, анононо (?), 12:04, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Источник не читай, переводчикам доверяй ;)
     

  • 1.34, Аноним (-), 10:19, 01/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Терморектальный криптоанализатор Последний аргумент криптоанализа 8212 приб... большой текст свёрнут, показать
     
     
  • 2.65, Anonym2 (?), 04:09, 04/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Терморектальный криптоанализатор (Последний аргумент криптоанализа) - прибор
    > для проведения терморектального криптоанализа - экспресс-дешифрования информации
    > любой сложности шифровки в присутствии носителя этой информации.
    > Считается, что вероятность успешного дешифрования близка к 99,9%, что делает данное нехитрое
    > устройство предпочтительным в борьбе против детской порнографии и хэккеров.

    Непосредственно расшифровать этим методом файл содержащий детскую порнографию довольно затруднительно особенно при наличии отсутствия ключа. Полученная информация может в основном свестись к порнографическому изображению хэккера к которому применяется терморектаьный криптоанализатор. И которая сама по себе будет крайне нуждаться в мерах по защите её конфиденциальности, в виду крайне орицательного воздействия на нежные нервные системы некоторых неокрепших борцов с нравственностью, что наказуемо и карается не хуже прочей детской порнографии...  >:-)

     

  • 1.36, анононо (?), 12:03, 01/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    The researchers said it took them about an hour to crack a free version of BSAFE for Java using about $40,000 worth of computer gear, Reuters reported. Cracking was 65,000 times faster when BSAFE used Extended Random, an improvement that reduced attacks to seconds

    Может переводчики всё-таки правильно переведут?

     
     
  • 2.42, ананим (?), 12:31, 01/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тут по-мимо перевода ешё и предметную область надо понимать — BSAFE used Extended Random написан на сях, а BSAFE for Java на пуре жабе.
     

  • 1.52, XoRe (ok), 00:39, 02/04/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Компания RSA отреагировала на исследование заявлением, что расширение Extended Random не получило распространение на практике и скоро будет удалено из состава BSAFE.

    Офигительный ответ на 0-day.
    "Не волнуйтесь, скоро удалим из новых продуктов"

     
     
  • 2.54, Аноним (-), 06:16, 02/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Офигительный ответ на 0-day.

    Это не 0day. Это бэкдор. Не путайте.

     
     
  • 3.58, XoRe (ok), 13:51, 02/04/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Офигительный ответ на 0-day.
    > Это не 0day. Это бэкдор. Не путайте.

    Теперь это 0day :)

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру