The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

01.01.2014 22:02  Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST

Aris Adamantiadis, исследователь безопасности из Бельгии, развивающий проект libssh, опубликовал рабочий прототип приложения, подтверждающего теорию о возможном наличии бэкдора в алгоритме генерации псевдослучайных чисел Dual EC DRBG, до недавних пор входящим в стандарт NIST SP 800-90 и использованном по умолчанию в продуктах Bsafe и RSA Data Protection Manager от компании RSA.

Алгоритм Dual EC DRBG, описывающий способ генерации псевдослучайных чисел на основе методов криптографии по эллиптическим кривым, был разработан и продвинут в состав стандарта Агентством национальной безопасности США (АНБ). Теоретические опасения о возможных проблемах в Dual_EC_DRBG были опубликованы ещё в 2007 году, но всерьёз они насторожили общественность лишь в сентябре 2013 года, после публикации Эдвардом Сноуденом материалов, свидетельствующих о работе АНБ по внедрению бэкдора, кардинально упрощающего предсказание генерируемых через Dual_EC_DRBG последовательностей.

После появления этих сведений компания RSA и Национальный институт стандартов и технологий США (NIST) выпустили рекомендации не использовать Dual_EC_DRBG. В декабре появились новые материалы, указывающие на заключение секретного контракта между АНБ и RSA, размером в 10 млн долларов, подразумевающего применение Dual_EC_DRBG в качестве алгоритма по умолчанию в Bsafe.

Суть проблемы в Dual_EC_DRBG связана с наличием в рекомендованной стандартом эталонной реализации алгоритма нескольких констант, которые потенциально могут быть связаны с наличием скрытого решения, известного только тем, кто знает параметры генерации данных констант. Подобное скрытое решение не исключает возможность определения состояния генератора случайных чисел, достаточного для предсказания выводимой случайной последовательности, при наличии данных об уже сгенерированных 32 случайных байтов.

Aris Adamantiadis сумел успешно продемонстрировать возможность предсказывать выдаваемые на выходе значения, используя лишь одну изменённую константу в Dual_EC_DRBG. Весь код и инструкции, позволяющие повторить эксперимент, опубликованы на GitHub. Параметры генерации констант, указанных в стандарте NIST, остаются известны только АНБ. При этом данные константы обязательны для использования в неизменном виде при прохождении сертификатции по FIPS 140-2.


   aris@kalix86:~/dualec$ ./dual_ec_drbg_poc
   s at start of generate:
   E9B8FBCFCDC7BCB091D14A41A95AD68966AC18879ECC27519403B34231916485
   [omitted: many output from openssl]
   y coordinate at end of mul:
   0663BC78276A258D2F422BE407F881AA51B8D2D82ECE31481DB69DFBC6C4D010
   r in generate is:
   96E8EBC0D507C39F3B5ED8C96E789CC3E6861E1DDFB9D4170D3D5FF68E242437
   Random bits written:
   000000000000000000000000000000000000000000000000000000000000
   y coordinate at end of mul:
   5F49D75753F59EA996774DD75E17D730051F93F6C4EB65951DED75A8FCD5D429
   s in generate:
   C64EAF10729061418EB280CCB288AD9D14707E005655FDD2277FC76EC173125E
   [omitted: many output from openssl]
   PRNG output:  ebc0d507c39f3b5ed8c96e789cc3e6861e1ddfb9d4170d3d5ff68e242437449e
   Found a match !
   A_x:  96e8ebc0d507c39f3b5ed8c96e789cc3e6861e1ddfb9d4170d3d5ff68e242437
   A_y: 0663bc78276a258d2f422be407f881aa51b8d2d82ece31481db69dfbc6c4d010
   prediction: a3cbc223507c197ec2598e6cff61cab0d63a89a68ccffcb7097c09d3
   Reviewed 65502 valid points (candidates for A)
   PRNG output: a3cbc223507c197ec2598e6cff61cab0d63a89a68ccffcb7097c09d3


  1. Главная ссылка к новости (http://blog.0xbadc0de.be/archi...)
  2. OpenNews: NIST и RSA отзывают ранее стандартизованный Dual EC DRBG из-за возможного бэкдора
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: dual_ec_drbg, random, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, pavlinux, 23:07, 01/01/2014 [ответить] [смотреть все]     [к модератору]
  • –4 +/
    У кого паранойя, в Linux подобные константы тоже могут поменять на свои, пусть ... весь текст скрыт [показать]
     
     
  • 2.11, Аноним, 03:29, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    В этой области итак осталось только полтора-два дедульки, которые реально чего-т... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.36, pavlinux, 04:41, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    http eprint iacr org 2012 251 pdf В параграфе 3 1 1 написано, что надо сделат... весь текст скрыт [показать]
     
     
  • 4.48, pavlinux, 21:31, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Гы-гы-гы https www kernel org diff diffview cgi file 2Fpub 2Flinux 2Fkernel ... весь текст скрыт [показать]
     
  • 2.12, cmp, 04:21, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    head -n 10 linux-3 12 drivers char random c random c -- A strong random ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, Sabakwaka, 05:39, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Проблема в том, что кривые используются в продуктах RSA У тех, кто не используе... весь текст скрыт [показать]
     
     
  • 4.21, Michael Shigorin, 11:25, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    А это кто на нынешний день ... весь текст скрыт [показать]
     
     
  • 5.25, Sabakwaka, 14:48, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Все, кто не платит за http www emc com security index htm ... весь текст скрыт [показать]
     
     
  • 6.35, Аноним, 04:40, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Что за бредовое квакание Те кто платит за мутную проприетарь всегда должны быть... весь текст скрыт [показать]
     
     ....нить скрыта, показать (8)

  • 1.2, Аноним, 23:59, 01/01/2014 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    И зачем алгоритму случайных чисел общепринятые константы Он должен быть с чем-т... весь текст скрыт [показать]
     
     
  • 2.3, pavlinux, 00:19, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +21 +/
    > Он должен быть с чем-то совместим что ли?

    Все ГПСЧ похожи на приготовление борща - если просто в кастрюлю с водой закинуть
    немытые свеклу, картошку, капусту, ...  и прокипятить, то свекла будет отдельно,
    картошка тоже, ... Если всё провернуть через мясорубку, тогда получишь однообразную кашу.
    А если  грамотно порезать молоденькую картошку брусочками, свёколку - руками, соломкой,
    капусту так же - не крупной соломкой, лучок обжарить до румяной корочки, а в бульон из
    телячей голяшки добавить ложечку вина белого, специй свежемолотых, чесночка ядрёного,...
    и скушать с пампушками...  Эх... О чём тут тема, чёй-то я забыл?!  

     
     
  • 3.5, hoopoe, 01:22, 02/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    эк тебя торкнуло. похоже новогодний праздник удался :)
     
     
  • 4.7, pavlinux, 01:36, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    эппи nЁw Йear ... весь текст скрыт [показать]
     
     
  • 5.24, VoDA, 13:25, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    u too Всех с Новым Годом ... весь текст скрыт [показать]
     
  • 2.10, Куяврег, 02:59, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    обязательны для использования в неизменном виде при прохождении сертификатции п... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, Sabakwaka, 05:42, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Да ... весь текст скрыт [показать] [показать ветку]
     
  • 2.18, www2, 09:35, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Насколько я понимаю, если говорить упрощённо, генератор псевдослучайных случайны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.28, pavlinux, 15:51, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это уже борщ с майонезом, берётся в Пятёрочке, вот где настоящий источник диареи... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 04:41, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Павлин только что придумал новый датчик случайных чисел ... весь текст скрыт [показать]
     
  • 2.23, Аноним, 11:59, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Это очень зависит от того, что это за константы Возьмем, например, самый просто... весь текст скрыт [показать] [показать ветку]
     
  • 2.29, Аноним, 16:03, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    а зачем алгоритмам шифрования общепринятые S-матрицы кстати, именно поэтому я п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Аноним, 04:42, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Вот это тоже вызывает вопросы - а какой, собственно, алгоритм генерации S-box ов... весь текст скрыт [показать]
     
  • 1.4, Нанобот, 01:14, 02/01/2014 [ответить] [смотреть все]    [к модератору]  
  • +/
    т.е. если заменить одну константу на другую, то Dual_EC_DRBG станет вполне безопасным
     
     
  • 2.6, pavlinux, 01:31, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +4 +/
    Неа, точнее только относительно существующих бэкдоров, на весь код нужно доказыв... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, Аноним, 02:08, 02/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +4 +/
    свекольник

    кипяченый винегрет называется свекольник

     
  • 2.17, ADMIN, 09:13, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Без констант безопаснее
     
  • 1.9, Аноним, 02:26, 02/01/2014 [ответить] [смотреть все]     [к модератору]  
  • +/
    Нашли применение Сноудену Стоит к проблеме приписать его фамилию как на проблем... весь текст скрыт [показать]
     
     
  • 2.13, pavlinux, 04:30, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    http www digital-scurf org software randomsound... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Аноним, 08:12, 02/01/2014 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Разработчики ГОСТ 28147-89 и его S-блоков кагбе взволнованы кражей идеи.
     
     
  • 2.19, ram_scan, 10:11, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    Наш большой брат мне как-то ближе и роднее.
     
     
  • 3.30, Аноним, 16:05, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    да-да, к вашим почкам он определённо ближе... весь текст скрыт [показать]
     
     
  • 4.33, Аноним, 01:55, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Вот скажи мне как на духу, твои почки правда пострадали от большого брата Вот м... весь текст скрыт [показать]
     
     
  • 5.51, Аноним, 23:22, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    gt оверквотинг удален Ты просто живешь за стеклом За стеклом монитора И с ре... весь текст скрыт [показать]
     
  • 5.56, Аноним, 22:18, 04/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Так это потому, что те кто о бесперебойной жизнедеятельности своих органов беспо... весь текст скрыт [показать]
     
  • 5.64, Аноним, 19:18, 06/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А ты-то где успел?

    Повезло работать в фирме, которую рейдили.

     
  • 2.20, linux must _RIP__, 10:29, 02/01/2014 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    Разработчики DES и Triple-DES волнуются что у них перехватят пальму первенства ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Michael Shigorin, 11:28, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Спасибо, не знал правда, и не интересовался активно ... весь текст скрыт [показать]
     
     
  • 4.40, Аноним, 04:47, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Да, они выдаются кем надо Что вызывает дополнительные вопросы, ибо те кто их ... весь текст скрыт [показать]
     
     
  • 5.41, linux must _RIP__, 10:22, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ты точно знаешь что нигде не описан а я вот помню много публикаций в ru crypt г... весь текст скрыт [показать]
     
  • 5.60, Michael Shigorin, 22:53, 04/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А что мешает одно в другое завернуть ... весь текст скрыт [показать]
     
  • 3.26, Crazy Alex, 14:56, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А толку - если идея в том, чтобы органы таки могли прочесть шифрованнуу переписк... весь текст скрыт [показать]
     
     
  • 4.42, linux must _RIP__, 10:23, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    почитай вначале тематическую область - а потом задумайся почему Шнайдер считает ... весь текст скрыт [показать]
     
  • 4.46, linux must _RIP__, 10:33, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    http pnzzi kpi ua 3 03_p150 pdf, http archive nbuv gov ua portal natural Rks... весь текст скрыт [показать]
     
  • 3.27, Andrey Mitrofanov, 15:07, 02/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Осталось к гадалке сходить - краты раскинуть на наличие уязвимостей и бэкдоров в... весь текст скрыт [показать]
     
     
  • 4.45, linux must _RIP__, 10:31, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    http pnzzi kpi ua 3 03_p150 pdf - раздел Литература Я думаю вы просто неком... весь текст скрыт [показать]
     
  • 4.50, linux must _RIP__, 23:19, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а-у митрофанушка ты прочитал статьи которые я дал все так же предпочитаешь ... весь текст скрыт [показать]
     
     
  • 5.52, Andrey Mitrofanov, 23:51, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    О, я вижу ты хочешь об этом поговорить Пока Сноуден не слил тебе, Великому Мате... весь текст скрыт [показать]
     
     
  • 6.53, linux must _RIP__, 13:05, 04/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а по теме сказать нету я вижу что ты не в состоянии пользоваться гуглом и прост... весь текст скрыт [показать]
     
     
  • 7.54, Andrey Mitrofanov, 15:06, 04/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Умыл, товарищ профессор Мои выступления Убил Ухожу в тину Последний вопрос... весь текст скрыт [показать]
     
     
  • 8.61, linux must _RIP__, 11:47, 06/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    мои публикации были в материалах конференции технической А сноуден в обычных СМ... весь текст скрыт [показать]
     
     
  • 9.62, Andrey Mitrofanov, 13:27, 06/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да, победил же, я сказал уже Я понял, что Сноуден засветил спецслужбы, а ты на ... весь текст скрыт [показать]
     
  • 5.58, Аноним, 22:31, 04/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Он-то её осмыслить не может, а ты, умник, не в состоянии осмыслить, что математи... весь текст скрыт [показать]
     
  • 3.34, Lumag, 02:03, 03/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Для реальных применений S-блоков вполне себе счетное количество. См. rfc4357.
     
     
  • 4.44, linux must _RIP__, 10:28, 03/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Для реальных применений S-блоков вполне себе счетное количество. См. rfc4357.

    см. ГОСТ 28147-89, страница 3 снизу. учитывая размер s-box - там очень много вариантов, от того что стандартизировали только счетное количество - не значит что использовать только их. Читаем ГОСТ - о том что s-box это долговременный ключевой элемент уникальный для каждой группы лиц.

     
  • 3.39, Аноним, 04:45, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Про DES еще на момент разработки было ясно что он ломаемый от и до - его ключ мо... весь текст скрыт [показать]
     
     
  • 4.43, linux must _RIP__, 10:26, 03/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    >> Разработчики DES и Triple-DES волнуются что у них перехватят пальму первенства.
    > Про DES еще на момент разработки было ясно что он ломаемый от
    > и до - его ключ можно брутфорсом перебрать и все кто
    > хоть немного в курсе закона Мура знал что скоро DES будут
    > ломать "на кухне". А triple DES просто крайне дурной алгоритм -
    > медленный, костыльный, не факт что надежный вообще.

    Но криптоаналитики считали его достаточно сложным :) И на момент 56го года - это был достаточный прорыв.
    Да и сейчас - достаточно чуть чуть поиграться с s-box, как результаты будут совсем другими :-)

     
     
  • 5.59, Аноним, 22:33, 04/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В 56 году никакого DESа небыло, умник.
     
  • 3.47, Аноним, 20:20, 03/01/2014 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    CryptoPro-A-ParamSet, который фактически везде и применяется, однозначно определ... весь текст скрыт [показать]
     
     
  • 4.49, linux must _RIP__, 23:12, 03/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    мы обсуждаем проблемы конкретной реализации или проблемы алгоритма вообще?
    если мы говорим о ГОСТ, то не понятно причем тут CryptoPro? или вы не можете представить что это их самодеятельность?
     
     
  • 5.55, Lumag, 15:26, 04/01/2014 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    OK, давай еще добавим s-boxы описанные (если я не путаю) в Украинских и Белорусских стандартах. Плюс добавим s-ки, на которых шифруется взаимодействие со странными токенами имени разных криптофирм. А потом еще тот s-box, который я выписал соседу Васе "чтобы никто не догадался". По сути ты прав. S-box может выбираться/назначаться в зависимости от различных условий. Дальше "клиент" может анализировать s-box по различным критериям, начиная тупо от наличия коротких циклов. Для tls/smime/pki выбор все равно будет идти из s-ок, которые можно пересчитать по пальцам.

    P.S. на тему "долгосрочной ключевой информации". Когда-то читал статью, про восстановление s-box, если мы позволяем шифровать что-угодно и как угодно за разумное время (оценок сейчас не помню). Так что это просто параметр схемы, а не ключевая информация (ИМХО).

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor