Websecurity - Веб безпека

Алгоритм генерації випадкових чисел, офіційно рекомендований у якості стандартного Національним інститутом стандартів і технологій США (NIST), може містити “чорний хід”, навмисно залишений розробниками стандарту для американських спецслужб, зокрема - Агентства Національної Безпеки США (NSA).

Про “чорний хід” наприкінці минулого тижня заявив фахівець із криптографії Брюс Шнейер у своєму блозі. Він послався на дослідження своїх колег, що працюють у Microsoft - Нільса Фергюсона і Дена Шумова, представлене в серпні на конференції CRYPTO 2007.

Алгоритм із використанням методу еліптичних кривих, Dual_EC_DRBG, опублікований NIST у документі 800-90 про детерміністичні генератори випадкових чисел, містить потенційну уразливість - набір фіксованих початкових чисел, що визначають еліптичну криву, використовувану в алгоритмі. Дослідники з’ясували, що ці числа можуть бути математично зв’язані з іншим, секретним набором чисел, що може бути використаний в якості універсального ключа-відмички будь-якого шифру.

Шнейер не стверджує, що NSA володіє цими ключами. “Ми не знаємо, чи є вони в NSA, а також у NIST чи ANSI”, - пише він. Однак теоретично такі ключі можуть існувати, і хто-небудь рано чи пізно їх довідається.

По матеріалам http://www.secblog.info.

This entry was posted on 19:49 30.11.2007 and is filed under Новини. You can follow any responses to this entry through the RSS 2.0 feed.