A hír még tavalyi, megfeledkeztem róla kicsit, de a kettővel ezelőtti poszt kommentjei kapcsán szerencsére újra eszembe jutott:
Az Egyesült Államok kormánya új hivatalos szabványt tett közzé a véletlenszám generátorokra vonatkozóan. A dokumentum négy eljárást definiál, melyek különböző kriptográfiai eljárásokon alapulnak. Az egyik algoritmus - az elliptikus görbéken alapuló Dual_EC_DRBG - azonban kilóg a sorból: három nagyságrenddel lassabb a többinél, ráadásul egy 2006-os tanulmány szerint egy kis elfogultságot is mutat (az egyik fajta bitből átlagosan többet készít mint a másikból). Valószínűleg nem is kerülhetett volna be a szabványba, ha az amerikai nemzetbiztonsági hivatal, az NSA nem lobbizik mellette.
A történet itt még azonban nem ért véget. A Crypto 2007 konferencián Dan Shumow és Niels Ferguson előadásukban rámutattak a Dual_EC_DRBG egy igen félelmetes hiányosságára:
Az algoritmus egy sor, előre specifikált konstanst használ, amelyekről nem tudni, hogy honnan származnak, Fergusonék eredményei szerint viszont aki ezeket a számokat generálta, annak a birtokában lehet egy másik számsorozat, ami egyfajta univerzális kulcsként működik. Így pl. egy igen rövid TLS kommunikáció lehallgatása után elvileg az egész titkosított folyam megtörhető.
Az algoritmust a szabvány részeként a Windows Vista-ba is, ahol API függvényként implementálva elérhető (nem ez az alapértelmezett véletlenszám generátor), de erősen javasolt, hogy - a hangzatos név ellenére - soha senki ne használja ezt az eljárást!
Bruce Schneier cikkét az algoritmus körüli hercehurcáról itt olvashatjátok.
A történet itt még azonban nem ért véget. A Crypto 2007 konferencián Dan Shumow és Niels Ferguson előadásukban rámutattak a Dual_EC_DRBG egy igen félelmetes hiányosságára:
Az algoritmus egy sor, előre specifikált konstanst használ, amelyekről nem tudni, hogy honnan származnak, Fergusonék eredményei szerint viszont aki ezeket a számokat generálta, annak a birtokában lehet egy másik számsorozat, ami egyfajta univerzális kulcsként működik. Így pl. egy igen rövid TLS kommunikáció lehallgatása után elvileg az egész titkosított folyam megtörhető.
Az algoritmust a szabvány részeként a Windows Vista-ba is, ahol API függvényként implementálva elérhető (nem ez az alapértelmezett véletlenszám generátor), de erősen javasolt, hogy - a hangzatos név ellenére - soha senki ne használja ezt az eljárást!
Bruce Schneier cikkét az algoritmus körüli hercehurcáról itt olvashatjátok.
CR · http://www.ericsson.com 2008.01.21. 17:43:42
viszont az otlet nem rossz, hiszen ezzel olyan crypto algoritmusokat is kompromittalhatnak amibe nincs beleszolasuk. csak a kivitelezes volt bena.
aki valoban eros titkositast akar az ugyis hw random generatort hasznal...
EQ · http://rycon.hu 2008.01.21. 20:26:18
Lord_Cica (törölt) 2008.01.21. 22:38:07
Egyébként azt hallottam hogy van olyan valós véletlenszámgenerátor, ami elektronokat lődöz valami lemezre, és a véletlenszerű becsapodásokat használja fel.
Mér nem lehet ilyeneket alaplapra integrálni?