Doble_EC_DRBG

Polémico generador de números pseudoaleatorios

Dual_EC_DRBG ( Generador de bits aleatorios determinista de curva elíptica dual ) ^[1] es un algoritmo que se presentó como un generador de números pseudoaleatorios criptográficamente seguro (CSPRNG) que utiliza métodos de criptografía de curva elíptica . A pesar de las amplias críticas públicas, incluida la identificación pública de la posibilidad de que la Agencia de Seguridad Nacional pusiera una puerta trasera en una implementación recomendada, durante siete años fue uno de los cuatro CSPRNG estandarizados en NIST SP 800-90A como se publicó originalmente alrededor de junio de 2006, hasta que fue retirado en 2014.

Debilidad: una posible puerta trasera

Las debilidades en la seguridad criptográfica del algoritmo eran conocidas y criticadas públicamente mucho antes de que el algoritmo se convirtiera en parte de un estándar formal respaldado por ANSI , ISO y anteriormente por el Instituto Nacional de Estándares y Tecnología (NIST). Una de las debilidades identificadas públicamente fue el potencial del algoritmo para albergar una puerta trasera criptográfica ventajosa para quienes lo conocen (la Agencia de Seguridad Nacional (NSA) del gobierno de los Estados Unidos) y para nadie más . En 2013, The New York Times informó que los documentos en su poder pero que nunca se hicieron públicos "parecen confirmar" que la puerta trasera era real y que la NSA la había insertado deliberadamente como parte de su programa de descifrado Bullrun . En diciembre de 2013, un artículo de noticias de Reuters alegaba que en 2004, antes de que el NIST estandarizara Dual_EC_DRBG, la NSA pagó a RSA Security 10 millones de dólares en un acuerdo secreto para utilizar Dual_EC_DRBG como valor predeterminado en la biblioteca de criptografía RSA BSAFE , lo que resultó en que RSA Security se convirtiera en la biblioteca de criptografía más importante. distribuidor del algoritmo inseguro. ^[2] RSA respondió que "niegan categóricamente" que alguna vez hubieran coludido conscientemente con la NSA para adoptar un algoritmo que se sabía que era defectuoso, pero también afirmó que "nunca hemos mantenido [nuestra] relación [con la NSA] en secreto". ". ^[3]

En algún momento antes de su primera publicación conocida en 2004, se descubrió una posible puerta trasera cleptográfica con el diseño de Dual_EC_DRBG, y el diseño de Dual_EC_DRBG tenía la propiedad inusual de que era teóricamente imposible para nadie excepto los diseñadores de Dual_EC_DRBG (NSA) confirmar la existencia de la puerta trasera. Bruce Schneier concluyó poco después de la estandarización que la puerta trasera "bastante obvia" (junto con otras deficiencias) significaría que nadie usaría Dual_EC_DRBG. ^[4] La puerta trasera permitiría a la NSA descifrar, por ejemplo, el cifrado SSL/TLS que utiliza Dual_EC_DRBG como CSPRNG. ^[5]

Los miembros del grupo de estándares ANSI al que se envió Dual_EC_DRBG por primera vez conocían el mecanismo exacto de la posible puerta trasera y cómo desactivarla, ^[6] pero no optaron por desactivarla ni publicarla. Inicialmente, la comunidad criptográfica general no estaba al tanto de la posible puerta trasera, hasta la publicación de Dan Shumow y Niels Ferguson , o de la solicitud de patente de 2005 de Daniel RL Brown y Scott Vanstone de Certicom que describe el mecanismo de puerta trasera.

En septiembre de 2013, The New York Times informó que memorandos internos de la NSA filtrados por Edward Snowden indicaban que la NSA había trabajado durante el proceso de estandarización para eventualmente convertirse en el único editor del estándar Dual_EC_DRBG, ^[7] y concluyó que el estándar Dual_EC_DRBG efectivamente contenía una puerta trasera para la NSA. ^[8] En respuesta, el NIST declaró que "el NIST no debilitaría deliberadamente un estándar criptográfico", ^[9] pero según el artículo del New York Times , la NSA había estado gastando 250 millones de dólares al año para insertar puertas traseras en software y hardware como parte del programa Bullrun . ^[10] Un comité asesor presidencial creado posteriormente para examinar la conducta de la NSA recomendó, entre otras cosas, que el gobierno de EE.UU. "apoye plenamente y no socave los esfuerzos para crear estándares de cifrado". ^[11]

El 21 de abril de 2014, NIST retiró Dual_EC_DRBG de su borrador de guía sobre generadores de números aleatorios recomendando que "los usuarios actuales de Dual_EC_DRBG hagan la transición a uno de los tres algoritmos aprobados restantes lo más rápido posible". ^[12]

Cronología de Dual_EC_DRBG

Descripción

Descripción general

El algoritmo utiliza un único número entero s como estado. Cada vez que se solicita un nuevo número aleatorio, este número entero se actualiza. El k -ésimo estado está dado por

${\displaystyle s_{k}=g_{P}(s_{k-1})}$

El entero aleatorio devuelto r es una función del estado. El k -ésimo número aleatorio es

${\displaystyle r_{k}=g_{Q}(s_{k})}$

La función depende del punto fijo de la curva elíptica P. es similar excepto que usa el punto Q. Los puntos P y Q permanecen constantes para una implementación particular del algoritmo. ${\displaystyle g_{P}(x)}$ ${\displaystyle g_{Q}(x)}$

Detalles

El algoritmo permite diferentes constantes, longitud de salida variable y otras personalizaciones. Para simplificar, el que se describe aquí utilizará las constantes de la curva P-256 (uno de los 3 conjuntos de constantes disponibles) y tendrá una longitud de salida fija. El algoritmo opera exclusivamente sobre un campo finito primo ( ) donde p es primo. El estado, la semilla y los números aleatorios son todos elementos de este campo. El tamaño del campo es ${\displaystyle F_{p}}$ ${\displaystyle \mathbb {Z} /p\mathbb {Z} }$

${\displaystyle p={\mathtt {ffffffff00000000ffffffffffffffffbce6faada7179e84f3b9cac2fc632551}}_{16}}$

Se da una curva elíptica ${\displaystyle F_{p}}$

${\displaystyle y^{2}=x^{3}-3x+b}$

donde la constante b es

${\displaystyle b={\mathtt {5ac635d8aa3a93e7b3ebbd55769886bc651d06b0cc53b0f63bce3c3e27d2604b}}_{16}}$

Los puntos de la curva son . Dos de estos puntos se dan como puntos fijos P y Q. ${\displaystyle E({\displaystyle F_{p}})}$

${\displaystyle P,Q\in E(F_{p})}$

Sus coordenadas son

${\displaystyle {\begin{aligned}P_{x}&={\mathtt {6b17d1f2\ e12c4247\ f8bce6e5\ 63a440f2\ 77037d81\ 2deb33a0\ f4a13945\ d898c296}}_{~16}\\P_{y}&={\mathtt {4fe342e2\ fe1a7f9b\ 8ee7eb4a\ 7c0f9e16\ 2bce3357\ 6b315ece\ cbb64068\ 37bf51f5}}_{~16}\\Q_{x}&={\mathtt {c97445f4\ 5cdef9f0\ d3e05e1e\ 585fc297\ 235b82b5\ be8ff3ef\ ca67c598\ 52018192}}_{~16}\\Q_{y}&={\mathtt {b28ef557\ ba31dfcb\ dd21ac46\ e2a91e3c\ 304f44cb\ 87058ada\ 2cb81515\ 1e610046}}_{~16}\end{aligned}}}$

Se utiliza una función para extraer la coordenada x. "Convierte" puntos de curva elíptica en elementos del campo.

${\displaystyle X(x,y)=x}$

Los números enteros de salida se truncan antes de salir

${\displaystyle t(x)=x\ {\text{mod}}\ {\frac {p}{2^{16}}}}$

Las funciones y . Estas funciones elevan los puntos fijos a una potencia. "Elevar a una potencia" en este contexto significa utilizar la operación especial definida para puntos en curvas elípticas . ${\displaystyle g_{P}}$ ${\displaystyle g_{Q}}$

${\displaystyle g_{P}(x)=X(P^{x})}$

${\displaystyle g_{Q}(x)=t(X(Q^{x}))}$

El generador está sembrado con un elemento de ${\displaystyle F_{p}}$

${\displaystyle s_{1}=g_{P}(seed)}$

El k -ésimo estado y el número aleatorio

${\displaystyle s_{k}=g_{P}(s_{k-1})}$

${\displaystyle r_{k}=g_{Q}(s_{k})}$

los números aleatorios

${\displaystyle r_{1},r_{2},\ldots }$

Seguridad

El propósito declarado de incluir Dual_EC_DRBG en NIST SP 800-90A es que su seguridad se base en supuestos de dureza computacional de la teoría de números. Una prueba matemática de reducción de seguridad puede demostrar que mientras los problemas teóricos de números sean difíciles, el generador de números aleatorios en sí es seguro. Sin embargo, los creadores de Dual_EC_DRBG no publicaron una reducción de seguridad para Dual_EC_DRBG, y poco después de que se publicara el borrador del NIST se demostró que Dual_EC_DRBG de hecho no era seguro porque generaba demasiados bits por ronda. ^{[22] [35] [36]} La salida de demasiados bits (junto con los puntos P y Q de la curva elíptica cuidadosamente seleccionados ) es lo que hace posible la puerta trasera de la NSA, porque permite al atacante revertir el truncamiento mediante adivinanzas de fuerza bruta. La salida de demasiados bits no se corrigió en el estándar final publicado, lo que dejó a Dual_EC_DRBG inseguro y con puerta trasera. ^[5]

En muchos otros estándares, las constantes que deben ser arbitrarias se eligen según el principio numérico de nada bajo la manga , donde se derivan de pi o constantes matemáticas similares de una manera que deja poco espacio para el ajuste. Sin embargo, Dual_EC_DRBG no especificó cómo se eligieron las constantes P y Q predeterminadas , posiblemente porque fueron construidas por la NSA para tener una puerta trasera. Debido a que el comité de estándares era consciente del potencial de una puerta trasera, se incluyó una forma para que un implementador eligiera sus propias P y Q seguras. ^{[6] [15]} Pero la formulación exacta en el estándar fue escrita de tal manera que el uso de las supuestas P y Q con puerta trasera era requerido para la validación FIPS 140-2 , por lo que el proyecto OpenSSL optó por implementar las P y Q con puerta trasera , a pesar de que estaban conscientes de la posible puerta trasera y hubieran preferido generar sus propios P ​​y Q seguros . ^[37] El New York Times escribiría más tarde que la NSA había trabajado durante el proceso de estandarización para eventualmente convertirse en el único editor de la norma. ^[7]

Posteriormente, Daniel RL Brown y Kristian Gjøsteen publicaron una prueba de seguridad para Dual_EC_DRBG, que muestra que los puntos de la curva elíptica generados serían indistinguibles de los puntos de la curva elíptica uniformemente aleatoria, y que si se generaran menos bits en el truncamiento de salida final, y si los dos Los puntos P y Q de la curva elíptica eran independientes, entonces Dual_EC_DRBG es seguro. La prueba se basó en el supuesto de que tres problemas eran difíciles: el supuesto decisional de Diffie-Hellman (que generalmente se acepta como difícil) y dos problemas más nuevos, menos conocidos y que generalmente no se aceptan como difíciles: el problema del punto truncado , y el problema del logaritmo x . ^{[35] [36]} Dual_EC_DRBG era bastante lento en comparación con muchos CSPRNG alternativos (que no tienen reducciones de seguridad ^[38] ), pero Daniel RL Brown sostiene que la reducción de seguridad hace que el lento Dual_EC_DRBG sea una alternativa válida (suponiendo que los implementadores deshabiliten lo obvio). Puerta trasera). ^[38] Tenga en cuenta que Daniel RL Brown trabaja para Certicom, el principal propietario de patentes de criptografía de curva elíptica, por lo que puede haber un conflicto de intereses en la promoción de un CSPRNG de la CE.

La supuesta puerta trasera de la NSA permitiría al atacante determinar el estado interno del generador de números aleatorios observando la salida de una sola ronda (32 bytes); toda la salida futura del generador de números aleatorios se puede calcular fácilmente, hasta que el CSPRNG se vuelva a sembrar con una fuente externa de aleatoriedad. Esto hace, por ejemplo, que SSL/TLS sea vulnerable, ya que la configuración de una conexión TLS incluye el envío de un nonce criptográfico generado aleatoriamente en claro. ^[5] La supuesta puerta trasera de la NSA dependería de su conocimiento de la única e tal que . Este es un problema difícil si P y Q se configuran con anticipación, pero es más fácil si se eligen P y Q. ^[24] e es una clave secreta presumiblemente conocida sólo por la NSA, y la supuesta puerta trasera es una puerta trasera oculta asimétrica y cleptográfica . ^[39] La publicación del blog de Matthew Green The Many Flaws of Dual_EC_DRBG ^{[40] tiene una explicación simplificada de cómo funciona la supuesta puerta trasera de la NSA mediante el empleo del} cleptograma de registro discreto introducido en Crypto 1997. ^[14] ${\displaystyle eQ=P}$

Estandarización e implementaciones

La NSA introdujo por primera vez Dual_EC_DRBG en ANSI X9.82 DRBG a principios de la década de 2000, incluidos los mismos parámetros que crearon la supuesta puerta trasera, y Dual_EC_DRBG se publicó en un borrador de estándar ANSI. Dual_EC_DRBG también existe en el estándar ISO 18031. ^[6]

Según John Kelsey (quien junto con Elaine Barker figuraba como autor de NIST SP 800-90A), la posibilidad de una puerta trasera mediante P y Q cuidadosamente seleccionados se planteó en una reunión del Grupo de pautas y estándares de herramientas ANSI X9F1. ^[6] Cuando Kelsey preguntó a Don Johnson de Cygnacom sobre el origen de Q , Johnson respondió en un correo electrónico del 27 de octubre de 2004 a Kelsey que la NSA había prohibido la discusión pública sobre la generación de una Q alternativa a la suministrada por la NSA. ^[41]

Al menos dos miembros del Grupo de Directrices y Estándares de Herramientas ANSI X9F1 que escribieron ANSI X9.82, Daniel RL Brown y Scott Vanstone de Certicom , ^[6] estaban conscientes de las circunstancias y el mecanismo exactos en los que podría ocurrir una puerta trasera. desde que presentaron una solicitud de patente ^[18] en enero de 2005 sobre exactamente cómo insertar o evitar la puerta trasera en DUAL_EC_DRBG. El funcionamiento de la "trampilla" mencionada en la patente es idéntico al que se confirmó posteriormente en Dual_EC_DRBG. Al escribir sobre la patente en 2014, el comentarista Matthew Green describe la patente como una forma " pasiva-agresiva " de fastidiar a la NSA publicitando la puerta trasera, al mismo tiempo que critica a todos los miembros del comité por no desactivar la puerta trasera que obviamente conocían. ^[41] La patente de Brown y Vanstone enumera dos condiciones necesarias para que exista la puerta trasera:

1) Q elegido

Un generador de números aleatorios de curva elíptica evita las claves de depósito en garantía al elegir un punto Q en la curva elíptica como verificablemente aleatorio. El uso intencional de claves de depósito en garantía puede proporcionar una funcionalidad de respaldo. La relación entre P y Q se utiliza como clave de custodia y se almacena en un dominio de seguridad. El administrador registra la salida del generador para reconstruir el número aleatorio con la clave de depósito en garantía.

2) Pequeño truncamiento de salida

[0041] Otro método alternativo para prevenir un ataque de custodia de claves en la salida de un ECRNG, mostrado en las Figuras 3 y 4, es agregar una función de truncamiento a ECRNG para truncar la salida de ECRNG a aproximadamente la mitad de la longitud de un punto de curva elíptica comprimido. Preferiblemente, esta operación se realiza además del método preferido de las Figuras 1 y 2; sin embargo, se apreciará que puede realizarse como medida principal para prevenir un ataque de custodia de claves. El beneficio del truncamiento es que normalmente no es factible buscar la lista de valores R asociados con una única salida r de ECRNG. Por ejemplo, para un grupo de curvas elípticas de 160 bits, el número de puntos potenciales R en la lista es aproximadamente 2 ⁸⁰ , y buscar en la lista sería tan difícil como resolver el problema del logaritmo discreto. El costo de este método es que el ECRNG se vuelve la mitad de eficiente, porque la longitud de salida se reduce efectivamente a la mitad.

Según John Kelsey, la opción en el estándar para elegir una Q verificablemente aleatoria se agregó como una opción en respuesta a la puerta trasera sospechosa, ^[15] aunque de tal manera que la validación FIPS 140-2 solo podría lograrse mediante el uso de la posible puerta trasera. Q con puerta trasera . ^[37] Steve Marquess (quien ayudó a implementar NIST SP 800-90A para OpenSSL) especuló que este requisito de utilizar puntos potencialmente con puerta trasera podría ser evidencia de complicidad del NIST. ^[42] No está claro por qué el estándar no especificó la Q predeterminada en el estándar como un número verificable que no genera nada bajo la manga , o por qué el estándar no usó un mayor truncamiento, que según la patente de Brown podría usarse como el "principal medida para prevenir un ataque de custodia de claves". El pequeño truncamiento era inusual en comparación con los PRG EC anteriores, que según Matthew Green sólo habían emitido entre 1/2 y 2/3 de los bits en la función de salida. ^[5] Gjøsteen demostró en 2006 que el truncamiento bajo hacía que el RNG fuera predecible y, por lo tanto, inutilizable como CSPRNG, incluso si Q no hubiera sido elegido para contener una puerta trasera. ^[20] El estándar dice que las implementaciones "deberían" utilizar el pequeño max_outlen proporcionado, pero ofrece la opción de generar un múltiplo de 8 bits menos. El Apéndice C del estándar ofrece un argumento vago de que generar menos bits hará que la salida se distribuya de manera menos uniforme. La prueba de seguridad de Brown de 2006 se basa en que outlen es mucho menor que el valor max_outlen predeterminado en el estándar.

El Grupo de Directrices y Estándares de Herramientas ANSI X9F1 que discutió la puerta trasera también incluyó a tres empleados de la destacada empresa de seguridad RSA Security. ^[6] En 2004, RSA Security realizó una implementación de Dual_EC_DRBG que contenía la puerta trasera de la NSA, el CSPRNG predeterminado en su RSA BSAFE como resultado de un acuerdo secreto de 10 millones de dólares con la NSA. En 2013, después de que el New York Times informara que Dual_EC_DRBG contenía una puerta trasera de la NSA, RSA Security dijo que no tenían conocimiento de ninguna puerta trasera cuando hicieron el trato con la NSA y dijeron a sus clientes que cambiaran CSPRNG. En el discurso de apertura de la Conferencia RSA de 2014, el presidente ejecutivo de seguridad de RSA, Art Coviello, explicó que RSA había experimentado una disminución en los ingresos provenientes del cifrado y había decidido dejar de ser "impulsores" de la investigación independiente sobre cifrado, y en su lugar "poner su confianza detrás" de los estándares y orientación de organizaciones de estándares como NIST. ^[32]

En diciembre de 2005 se publicó un borrador de NIST SP 800-90A, incluido Dual_EC_DRBG. El NIST SP 800-90A final, incluido Dual_EC_DRBG, se publicó en junio de 2006. Se ha interpretado que los documentos filtrados por Snowden sugieren que la NSA hizo una puerta trasera a Dual_EC_DRBG, y que quienes fabricaban la acusación cita el trabajo de la NSA durante el proceso de estandarización para eventualmente convertirse en el único editor de la norma. ^[7] El uso temprano de Dual_EC_DRBG por parte de RSA Security (por el cual se informó más tarde que la NSA había pagado en secreto $10 millones) fue citado por la NSA como un argumento para la aceptación de Dual_EC_DRBG en el estándar NIST SP 800-90A . ^[2] Posteriormente, RSA Security citó la aceptación de Dual_EC_DRBG en el estándar NIST como una de las razones por las que utilizaron Dual_EC_DRBG. ^[43]

El artículo de Daniel RL Brown de marzo de 2006 sobre la reducción de seguridad de Dual_EC_DRBG menciona la necesidad de un mayor truncamiento de salida y una Q elegida al azar , pero principalmente de pasada, y no menciona sus conclusiones de su patente de que estos dos defectos en Dual_EC_DRBG juntos pueden usarse como una puerta trasera. Brown escribe en la conclusión: "Por lo tanto, el ECRNG debería ser una consideración seria y su alta eficiencia lo hace adecuado incluso para entornos restringidos". Tenga en cuenta que otros han criticado a Dual_EC_DRBG por ser extremadamente lento, con Bruce Schneier concluyendo "Es demasiado lento para que cualquiera pueda usarlo voluntariamente", ^[4] y Matthew Green diciendo que Dual_EC_DRBG es "Hasta mil veces más lento" que las alternativas. ^[5] La posibilidad de una puerta trasera en Dual_EC_DRBG no fue ampliamente publicitada fuera de las reuniones internas del grupo estándar. Sólo después de la presentación de Dan Shumow y Niels Ferguson en 2007 se conoció ampliamente el potencial de una puerta trasera. A Shumow y Ferguson se les había encomendado la tarea de implementar Dual_EC_DRBG para Microsoft, y al menos Furguson había discutido la posible puerta trasera en una reunión de X9 en 2005. ^[15] Bruce Schneier escribió en un artículo de Wired de 2007 que los defectos del Dual_EC_DRBG eran tan obvios que nadie usaría el Dual_EC_DRBG: "No tiene sentido como trampilla: es público y bastante obvio. No tiene sentido desde una perspectiva de ingeniería. : Es demasiado lento para que alguien pueda usarlo voluntariamente." ^[4] Schneier aparentemente no sabía que RSA Security había utilizado Dual_EC_DRBG como valor predeterminado en BSAFE desde 2004.

OpenSSL implementó todo NIST SP 800-90A, incluido Dual_EC_DRBG, a solicitud de un cliente. Los desarrolladores de OpenSSL estaban conscientes de la posible puerta trasera debido a la presentación de Shumow y Ferguson, y querían usar el método incluido en el estándar para elegir una P y Q garantizada sin puerta trasera , pero se les dijo que para obtener la validación FIPS 140-2 tendrían que hacerlo. Tienes que usar los valores P y Q predeterminados . OpenSSL optó por implementar Dual_EC_DRBG a pesar de su dudosa reputación de integridad, y señaló que OpenSSL intentó ser completo e implementa muchos otros algoritmos inseguros. OpenSSL no usó Dual_EC_DRBG como CSPRNG predeterminado, y en 2013 se descubrió que un error hacía que la implementación OpenSSL de Dual_EC_DRBG no funcionara, lo que significa que nadie podría haberla usado. ^[37]

Bruce Schneier informó en diciembre de 2007 que Microsoft agregó soporte Dual_EC_DRBG a Windows Vista, aunque no está habilitado de manera predeterminada, y Schneier advirtió contra la posible puerta trasera conocida. ^[44] Windows 10 y versiones posteriores reemplazarán silenciosamente las llamadas a Dual_EC_DRBG con llamadas a CTR_DRBG basadas en AES. ^[45]

El 9 de septiembre de 2013, tras la filtración de Snowden y el informe del New York Times sobre la puerta trasera en Dual_EC_DRBG, el Instituto Nacional de Estándares y Tecnología (NIST) ITL anunció que, a la luz de las preocupaciones de seguridad de la comunidad, estaba reeditando SP 800-90A. como borrador de estándar y reabrir SP800-90B/C para comentarios públicos. NIST ahora "recomienda encarecidamente" no utilizar Dual_EC_DRBG, como se especifica en la versión de enero de 2012 de SP 800-90A. ^{[46] [47]} El descubrimiento de una puerta trasera en un estándar del NIST ha sido una gran vergüenza para el NIST . ^[48]

RSA Security había mantenido Dual_EC_DRBG como el CSPRNG predeterminado en BSAFE incluso después de que la comunidad criptográfica más amplia se diera cuenta de la posible puerta trasera en 2007, pero no parece haber habido una conciencia general sobre el uso de Dual_EC_DRBG por parte de BSAFE como una opción de usuario en la comunidad. Sólo después de una preocupación generalizada por la puerta trasera se hizo un esfuerzo por encontrar software que utilizara Dual_EC_DRBG, de los cuales BSAFE fue, con diferencia, el más destacado encontrado. Después de las revelaciones de 2013, el jefe de tecnología de seguridad de RSA, Sam Curry, proporcionó a Ars Technica una justificación para elegir originalmente el defectuoso estándar Dual EC DRBG como predeterminado en lugar de los generadores de números aleatorios alternativos. ^[49] La precisión técnica de la declaración fue ampliamente criticada por criptógrafos, incluidos Matthew Green y Matt Blaze . ^[28] El 20 de diciembre de 2013, Reuters informó que RSA había aceptado un pago secreto de 10 millones de dólares de la NSA para establecer el generador de números aleatorios Dual_EC_DRBG como predeterminado en dos de sus productos de cifrado. ^{[2] [50]} El 22 de diciembre de 2013, RSA publicó una declaración en su blog corporativo negando "categóricamente" un acuerdo secreto con la NSA para insertar un "generador de números aleatorios defectuoso conocido" en su kit de herramientas BSAFE ^[3]

Después de la historia del New York Times que afirmaba que Dual_EC_DRBG contenía una puerta trasera, Brown (que había solicitado la patente de la puerta trasera y publicado la reducción de seguridad) escribió un correo electrónico a una lista de correo del IETF defendiendo el proceso estándar Dual_EC_DRBG: ^[38]

1. Dual_EC_DRBG, como se especifica en NIST SP 800-90A y ANSI X9.82-3, permite una elección alternativa de constantes P y Q. Hasta donde yo sé, las alternativas no admiten una puerta trasera factible conocida. En mi opinión, es incorrecto dar a entender que Dual_EC_DRBG siempre tiene una puerta trasera, aunque admito que una redacción para calificar los casos afectados puede resultar incómoda.

2. Muchas cosas resultan obvias en retrospectiva. No estoy seguro de si esto era obvio. [...]

8. Considerándolo todo, no veo cómo los estándares ANSI y NIST para Dual_EC_DRBG pueden verse como un estándar subvertido, per se. Pero tal vez sea sólo porque soy parcial o ingenuo.

—Daniel  Brown, ^[38]

Software y hardware que contenía la posible puerta trasera

Las implementaciones que usaban Dual_EC_DRBG normalmente lo habrían obtenido a través de una biblioteca. Al menos RSA Security (biblioteca BSAFE), OpenSSL , Microsoft y Cisco ^[51] tienen bibliotecas que incluyen Dual_EC_DRBG, pero solo BSAFE la usa de forma predeterminada. Según el artículo de Reuters que reveló el acuerdo secreto de 10 millones de dólares entre RSA Security y la NSA, BSAFE de RSA Security era el distribuidor más importante del algoritmo. ^[2] Hubo una falla en la implementación de Dual_EC_DRBG de OpenSSL que hizo que no funcionara fuera del modo de prueba, de lo cual Steve Marquess de OpenSSL concluye que nadie usó la implementación Dual_EC_DRBG de OpenSSL. ^[37]

En el NIST se encuentra disponible una lista de productos cuya implementación FIPS 140-2 de CSPRNG ha sido validada. ^[52] Los CSPRNG validados se enumeran en el campo Descripción/Notas. Tenga en cuenta que incluso si Dual_EC_DRBG aparece como validado, es posible que no se haya habilitado de forma predeterminada. Muchas implementaciones provienen de una copia renombrada de una implementación de biblioteca. ^[53]

El software BlackBerry es un ejemplo de uso no predeterminado. Incluye soporte para Dual_EC_DRBG, pero no de forma predeterminada. Sin embargo, BlackBerry Ltd no ha emitido un aviso a ninguno de sus clientes que puedan haberlo utilizado, porque no consideran que la probable puerta trasera sea una vulnerabilidad. ^[54] Jeffrey Carr cita una carta de Blackberry: ^[54]

El algoritmo Dual EC DRBG solo está disponible para desarrolladores externos a través de las API criptográficas en la plataforma [Blackberry]. En el caso de la API criptográfica, está disponible si un desarrollador externo desea utilizar la funcionalidad y diseña y desarrolla explícitamente un sistema que solicita el uso de la API.

Bruce Schneier ha señalado que incluso si no está habilitado de forma predeterminada, tener un CSPRNG con puerta trasera implementado como opción puede hacer que sea más fácil para la NSA espiar objetivos que tienen un interruptor de línea de comando controlado por software para seleccionar el algoritmo de cifrado, o un " sistema de registro ", como la mayoría de los productos de Microsoft , como Windows Vista :

Un troyano es realmente grande. No se puede decir que fue un error. Es una enorme pieza de código que recopila pulsaciones de teclas. Pero cambiar un bit uno a un bit dos [en el registro para cambiar el generador de números aleatorios predeterminado en la máquina] probablemente no será detectado. Es una forma poco conspirativa y muy negable de conseguir una puerta trasera. Por lo tanto, es beneficioso incorporarlo a la biblioteca y al producto.

—Bruce  Schneier, ^[51]

En diciembre de 2013, se publicó una prueba de concepto de puerta trasera ^{[39] que utiliza el estado interno filtrado para predecir números aleatorios posteriores, un ataque viable hasta la próxima resemilla.}

En diciembre de 2015, Juniper Networks anunció ^[55] que algunas revisiones de su firmware ScreenOS usaban Dual_EC_DRBG con los puntos P y Q sospechosos , creando una puerta trasera en su firewall. Originalmente se suponía que debía usar un punto Q elegido por Juniper que puede o no haber sido generado de manera demostrablemente segura. Luego se usó Dual_EC_DRBG para inicializar ANSI X9.17 PRNG. Esto habría ofuscado la salida Dual_EC_DRBG, matando así la puerta trasera. Sin embargo, un "error" en el código expuso la salida sin procesar de Dual_EC_DRBG, comprometiendo así la seguridad del sistema. Luego, esta puerta trasera fue bloqueada por una parte desconocida que cambió el punto Q y algunos vectores de prueba. ^{[56] [57] [58]} Der Spiegel ya había publicado en 2013 acusaciones de que la NSA tenía acceso persistente por puerta trasera a través de firewalls Juniper . ^[59] La puerta trasera cleptográfica es un ejemplo de la política NOBUS de la NSA , de tener agujeros de seguridad que sólo ellos pueden explotar.

Ver también

• Ataque de generador de números aleatorios
• Crypto AG : una empresa suiza especializada en seguridad de la información y las comunicaciones , que se cree ampliamente que permitió a las agencias de seguridad occidentales (incluida la NSA) insertar puertas traseras en sus máquinas de criptografía ^[60]

Referencias

1. Ladrador, EB; Kelsey, JM (enero de 2012). "Recomendaciones para la generación de números aleatorios mediante generadores deterministas de bits aleatorios (revisados)" (PDF) . Instituto Nacional de Estándares y Tecnología . doi : 10.6028/NIST.SP.800-90A . NIST SP 800-90. {{cite journal}}: Citar diario requiere |journal=( ayuda )
2. Menn, Joseph (20 de diciembre de 2013). "Exclusivo: contrato secreto vinculado a la NSA y al pionero de la industria de la seguridad". Reuters . San Francisco . Consultado el 20 de diciembre de 2013 .
3. La División de Seguridad de EMC, RSA. "Respuesta de RSA a las afirmaciones de los medios sobre la relación con la NSA". RSA. Archivado desde el original el 23 de diciembre de 2013 . Consultado el 22 de diciembre de 2013 .
4. Bruce Schneier (15 de noviembre de 2007). "¿La NSA puso una puerta trasera secreta en el nuevo estándar de cifrado?". Noticias por cable . Archivado desde el original el 21 de junio de 2014.
5. Green, Matthew (18 de septiembre de 2013). "Los muchos defectos de Dual_EC_DRBG".
6. Green, Matthew (28 de diciembre de 2013). "Algunas reflexiones sobre ingeniería criptográfica: algunas notas más sobre los generadores de números aleatorios de la NSA". Blog.cryptographyengineering.com . Consultado el 23 de diciembre de 2015 .
7. bola, James; Borger, Julián; Greenwald, Glenn (6 de septiembre de 2013). "Revelado: cómo las agencias de espionaje de Estados Unidos y el Reino Unido derrotan la privacidad y la seguridad de Internet". El guardián .
8. Perlroth, Nicole (10 de septiembre de 2013). "El gobierno anuncia medidas para restablecer la confianza en los estándares de cifrado". Los New York Times . Consultado el 11 de septiembre de 2013 .
9. Swenson, Gayle (10 de septiembre de 2013). "Declaración de estándares criptográficos". NIST . Consultado el 15 de febrero de 2018 .
10. "Documentos secretos revelan la campaña de la NSA contra el cifrado". Los New York Times . 5 de septiembre de 2013.
11. "La NSA debería dejar de socavar los estándares de cifrado, dice el panel de Obama". Ars Técnica . 2013-12-18.
12. "NIST elimina el algoritmo de criptografía de las recomendaciones del generador de números aleatorios". Instituto Nacional de Estándares y Tecnología . 21 de abril de 2014.
13. Joven, Adán; Yung, Moti (11 de mayo de 1997). "Kleptografía: uso de criptografía contra criptografía". Avances en criptología - EUROCRYPT '97. Apuntes de conferencias sobre informática. vol. 1233. Springer, Berlín, Heidelberg. págs. 62–74. doi :10.1007/3-540-69053-0_6. ISBN 978-3-540-69053-5– vía ResearchGate .
14. Joven, Adán; Yung, Moti (17 de agosto de 1997). "La prevalencia de ataques cleptográficos en criptosistemas basados ​​en registros discretos". Avances en criptología - CRYPTO '97. Apuntes de conferencias sobre informática. vol. 1294. Springer, Berlín, Heidelberg. págs. 264-276. doi :10.1007/bfb0052241. ISBN 978-3-540-63384-6– vía ResearchGate .
15. http://csrc.nist.gov/groups/ST/crypto-review/documents/dualec_in_X982_and_sp800-90.pdf ^{[ URL básica PDF ]}
16. "'Defecto en Dual EC DRBG (no, ese no) '- MARC ". Marc.info. 2013-12-19 . Consultado el 23 de diciembre de 2015 .
17. Dios mío, EJ; Boneh, D.; Pinkás, B.; Golle, P. (2003). El diseño e implementación de recuperación de claves ocultas basada en protocolos . ISC.
18. US 2007189527, Brown, Daniel RL & Vanstone, Scott A., "Generación de números aleatorios de curva elíptica", asignado a Certicom Corp. 
19. "ISO/IEC 18031:2005 - Tecnología de la información - Técnicas de seguridad - Generación de bits aleatorios". Iso.org . Consultado el 23 de diciembre de 2015 .
20. "Copia archivada" (PDF) . Archivado desde el original (PDF) el 25 de mayo de 2011 . Consultado el 16 de noviembre de 2007 .{{cite web}}: Mantenimiento CS1: copia archivada como título ( enlace )
21. Daniel RL Marrón (2006). "Seguridad conjeturada de la curva elíptica RNG de ANSI-NIST". Archivo ePrint de criptología .
22. Schoenmakers, Berry; Sidorenko, Andrey (29 de mayo de 2006). "Criptoanálisis del generador pseudoaleatorio de curva elíptica dual". Archivo ePrint de criptología .
23. Adam L. Young, Moti Yung (2007). "Kleptografía espacialmente eficiente sin oráculos aleatorios ". Ocultación de información.
24. Shumow, Dan; Ferguson, Niels. "Sobre la posibilidad de una puerta trasera en el NIST SP800-90 Dual Ec PRNG" (PDF) . Microsoft.
25. Perlroth, Nicole (10 de septiembre de 2013). "El gobierno anuncia medidas para restablecer la confianza en los estándares de cifrado". Los New York Times .
26. "Declaración de estándares criptográficos". NIST . Nist.gov. 2013-09-10 . Consultado el 23 de diciembre de 2015 .
27. NIST, Instituto Nacional de Estándares y Tecnología. «BOLETÍN ITL COMPLEMENTARIO DE SEPTIEMBRE 2013» (PDF) . NIST.gov . Consultado el 12 de septiembre de 2013 .
28. Matthew Green (20 de septiembre de 2013). "RSA advierte a los desarrolladores que no utilicen productos RSA". Algunas reflexiones sobre la ingeniería criptográfica . Consultado el 28 de septiembre de 2013 .
29. "RSA niega vínculo con la agencia de espionaje estadounidense". Noticias de la BBC . 23 de diciembre de 2013.
30. "La 'negación' de RSA con respecto a $ 10 millones de la NSA para promover criptomonedas rotas no es realmente una negación en absoluto". Techdirt. 23 de diciembre de 2013 . Consultado el 23 de diciembre de 2015 .
31. Goodin, Dan (23 de diciembre de 2013). "RSA emite una negación innegable del acuerdo con la NSA para favorecer el código criptográfico defectuoso". Ars Técnica . Consultado el 23 de diciembre de 2015 .
32. Jeffrey Carr (26 de febrero de 2014). "Seis criptógrafos cuyo trabajo en DRBG EC dual fueron considerados sin mérito por el jefe de RSA, Art Coviello". Dao digital.
33. S. Checkoway; M. Fredrikson; R. Niederhagen; A. Everspaugh; M. Verde; T. Lange ; T. Ristenpart; DJ Bernstein; J. Maskiewicz; H. Shacham (2014). "Sobre la explotabilidad práctica de EC dual en implementaciones TLS ". Simposio de seguridad USENIX.
34. https://www.ams.org/journals/notices/201502/rnoti-p165.pdf ^{[ URL básica PDF ]}
35. Kristian Gjøsteen. Comentarios sobre Dual-EC-DRBG/NIST SP 800-90 Archivado el 25 de mayo de 2011 en Wayback Machine.
36. Brown, Daniel RL; Gjøsteen, Kristian (19 de agosto de 2007). "Un análisis de seguridad del generador de números aleatorios de curva elíptica NIST SP 800-90". Avances en criptología - CRYPTO 2007. Apuntes de conferencias sobre informática. vol. 4622. Springer, Berlín, Heidelberg. págs. 466–481. doi :10.1007/978-3-540-74143-5_26. ISBN 978-3-540-74142-8– a través de Cryptology ePrint Archive .
37. Steve Marquess. "Defecto en Dual EC DRBG (no, ese no)". Proyecto OpenSSL.
38. "[Cfrg] Dual_EC_DRBG ... [era RE: Solicitar la destitución del copresidente de CFRG]". Ietf.org. 27 de diciembre de 2013 . Consultado el 23 de diciembre de 2015 .
39. Aris ADAMANTIADIS: "Puerta trasera Dual_Ec_Drbg: una prueba de concepto" 31 de diciembre de 2013
40. Los muchos defectos de Dual_EC_DRBG
41. Green, Matthew (14 de enero de 2015). "Algunas reflexiones sobre la ingeniería criptográfica: espero que sea la última publicación que escriba sobre Dual EC DRBG". Blog.cryptographyengineering.com . Consultado el 23 de diciembre de 2015 .
42. Steve Marqués. "Seguro o compatible, elija uno". Archivado desde el original el 27 de diciembre de 2013.
43. "No permitimos puertas traseras en nuestros productos criptográficos, informa RSA a los clientes". Ars Técnica . 2013-09-20.
44. "Dual_EC_DRBG agregado a Windows Vista: Schneier sobre seguridad". Schneier.com. 2007-12-17 . Consultado el 23 de diciembre de 2015 .
45. "Identificadores de algoritmos de GNC". Red de desarrolladores de Microsoft . Consultado el 19 de noviembre de 2016 .
46. http://csrc.nist.gov/publications/nistbul/itlbul2013_09_supplemental.pdf ^{[ URL básica PDF ]}
47. Perlroth, Nicole (10 de septiembre de 2013). "El gobierno anuncia medidas para restablecer la confianza en los estándares de cifrado". New York Times .
48. Heno, Lily (9 de octubre de 2013). "¿Puede confiar en NIST? - IEEE Spectrum". Espectro.ieee.org . Consultado el 23 de diciembre de 2015 .
49. "Dejemos de utilizar código influenciado por la NSA en nuestros productos, les dice RSA a los clientes". Ars Técnica . 2013-09-19.
50. "El contrato de la NSA por 10 millones de dólares con la empresa de seguridad RSA condujo a una 'puerta trasera' de cifrado". Guardián . 20 de diciembre de 2013.
51. wired.com: "Cómo una 'puerta trasera' criptográfica enfrentó al mundo tecnológico con la NSA" (Zetter) 24 de septiembre de 2013
52. NIST: "Lista de validación DRBG"
53. "Velocidades y transmisiones ›Seguro o compatible, elija uno". Veridicalsystems.com. Archivado desde el original el 27 de diciembre de 2013 . Consultado el 23 de diciembre de 2015 .
54. Digital Dao: "Evolución de las hostilidades en los cibercomunes globales" 24 de enero de 2014
55. Derrick Scholl (17 de diciembre de 2015). "Anuncio importante sobre ScreenOS". Redes de enebro . Consultado el 22 de diciembre de 2015 .
56. Verde, Matthew (22 de diciembre de 2015). "En la puerta trasera de Juniper". Algunas reflexiones sobre la ingeniería criptográfica . Consultado el 23 de diciembre de 2015 .
57. Weinmann, Ralf-Philipp. "Algunos análisis de la puerta trasera con puerta trasera". RPW .
58. "Los investigadores resuelven el misterio de la puerta trasera de Juniper; las señales apuntan a la NSA". Cableado . 22 de diciembre de 2015 . Consultado el 22 de diciembre de 2015 .
59. Dan Goodin - (18 de diciembre de 2015). ""El código no autorizado "en los firewalls de Juniper descifra el tráfico VPN cifrado". Ars Técnica . Consultado el 22 de diciembre de 2015 .
60. "Aguijón de espía: pocos en la fábrica suiza sabían que los misteriosos visitantes estaban dando un sorprendente golpe de inteligencia, quizás el más audaz en la larga guerra de la Agencia de Seguridad Nacional contra los códigos extranjeros, tribunedigital-baltimoresun". Artículos.baltimoresun.com. 10 de diciembre de 1995. Archivado desde el original el 27 de agosto de 2011 . Consultado el 23 de diciembre de 2015 .

enlaces externos

• NIST SP 800-90A: recomendación para la generación de números aleatorios utilizando generadores deterministas de bits aleatorios
• Dual EC DRBG: recopilación de información Dual_EC_DRBG, por Daniel J. Bernstein , Tanja Lange y Ruben Niederhagen.
• Sobre la explotabilidad práctica de la EC dual en implementaciones de TLS: artículo de investigación clave de Stephen Checkoway et al.
• La prevalencia de ataques cleptográficos en criptosistemas basados ​​en registros discretos - Adam L. Young, Moti Yung (1997)
• Publicación de solicitud de patente de Estados Unidos US 2007189527, Brown, Daniel RL & Vanstone, Scott A., "Generación de números aleatorios de curva elíptica", asignada a Certicom Corp. en la puerta trasera Dual_EC_DRBG y formas de negar la puerta trasera. 
• Comentarios sobre Dual-EC-DRBG/NIST SP 800-90, borrador de diciembre de 2005. El artículo de Kristian Gjøsteen de marzo de 2006 concluye que Dual_EC_DRBG es predecible y, por lo tanto, inseguro.
• Un análisis de seguridad del generador de números aleatorios de curva elíptica NIST SP 800-90 Análisis de seguridad de 2007 de Daniel RL Brown y Kristian Gjøsteen de Dual_EC_DRBG. Aunque al menos Brown estaba al tanto de la puerta trasera (por su patente de 2005), la puerta trasera no se menciona explícitamente. Se supone el uso de constantes sin puerta trasera y un truncamiento de bits de salida mayor que el que especifica Dual_EC_DRBG.
• Sobre la posibilidad de una puerta trasera en el NIST SP800-90 Dual Ec Prng Presentación de Dan Shumow y Niels Ferguson, que dio a conocer ampliamente la posible puerta trasera.
• Los muchos defectos de Dual_EC_DRBG: explicación simplificada de Matthew Green sobre cómo y por qué funciona la puerta trasera.
• Algunas notas más sobre los generadores de números aleatorios de la NSA – Matthew Green
• Lo siento, RSA, pero no me lo creo. Resumen y cronograma de Dual_EC_DRBG y conocimiento público.
• [Cfrg] Dual_EC_DRBG... [era RE: Solicitar la destitución del copresidente de CFRG] Un correo electrónico de diciembre de 2013 de Daniel RL Brown defendiendo Dual_EC_DRBG y el proceso estándar.
• DUELO SOBRE DUAL_EC_DRBG: LAS CONSECUENCIAS DE CORRUMPIR UN PROCESO DE ESTANDARIZACIÓN CRIPTOGRÁFICA Artículo de Kostsyuk y Landau sobre la confianza en gran medida continua de la comunidad criptográfica internacional en el NIST a pesar del Dual EC DRBG.