![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Ретроспектива Dual_EC_DRBG
2013-12-24 02:54 pmВ последние недели западное сообщество разработчиков гудит от недовольства по поводу очередного скандальчика: RSA Data Security Inc встроила в свою референсную крипто-библиотеку BSAFE бэкдор и получила за это от NSA $10 млн.
http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220
Бэкдор полностью стандартный: ослабленный ГПСЧ.
В принципе, бэкдорность алгоритма Dual_EC_DRBG — это секрет Полишинеля
https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html
однако всё равно же интересно, в исторической ретроспективе, кто кому когда и сколько занёс бабла за это безобразие.
Кто-то теперь упражняется в острословии ("Someone spent their weekend agonizing over every word of this to maximize its meaninglessness and they certainly succeeded." - просто прекрасно). Кто-то злобно хихикает по поводу того, что этот Dual_EC_DRBG у них никогда не работал из-за якобы незамеченной опечатки: http://marc.info/?l=openssl-announce&m=138747119822324&w=2 . Ну да, ну да. И грант получен, и опечатка "не замечена".
В NSA тем временем решили встраивать такие штуки прямо в железо, кое-кто даже неосмотрительно повёлся и подключил этот предполагаемый бэкдор напрямую к /dev/random. Правда, ненадолго. Хотя, ещё парочка бит энтропии для Yarrow не повредит. С паршивой овцы хоть шерсти клок.
Лет 10 назад, когда мне понадобилась криптобиблиотека с поддержкой RSA, я выбрал малоизвестную RSAEuro вместо BSAFE или OpenSSL. Это было вовсе не из-за стремления избежать бэкдора от NSA :), а по рекомендации из книги Дмитрия Склярова, где он советует в таких случаях выбирать малораспространённые реализации для лучшей защиты от реверс-инжинеринга (ниже шанс, что соответствующие FLIRT-сигнатуры будут в IDA; ниже шанс, что таблицы констант вашей криптобиблиотеки будут детектиться стандартными определителями криптобиблиотек для PE-файлов и т.д.). Оказывается, есть ещё один довод в пользу малораспространённых криптореализаций: NSA. Хотя это скорее довод в пользу неамериканских криптореализаций. Мило. Теперь всегда буду шифровать выход AES-а ГОСТом 28147-89 и запивать кока-колу кулебячим взваром.
Сейчас тоже есть много малоизвестных реализаций. К примеру, Botan: http://botan.randombit.net/
http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220
Бэкдор полностью стандартный: ослабленный ГПСЧ.
В принципе, бэкдорность алгоритма Dual_EC_DRBG — это секрет Полишинеля
https://www.schneier.com/blog/archives/2007/11/the_strange_sto.html
однако всё равно же интересно, в исторической ретроспективе, кто кому когда и сколько занёс бабла за это безобразие.
Кто-то теперь упражняется в острословии ("Someone spent their weekend agonizing over every word of this to maximize its meaninglessness and they certainly succeeded." - просто прекрасно). Кто-то злобно хихикает по поводу того, что этот Dual_EC_DRBG у них никогда не работал из-за якобы незамеченной опечатки: http://marc.info/?l=openssl-announce&m=138747119822324&w=2 . Ну да, ну да. И грант получен, и опечатка "не замечена".
В NSA тем временем решили встраивать такие штуки прямо в железо, кое-кто даже неосмотрительно повёлся и подключил этот предполагаемый бэкдор напрямую к /dev/random. Правда, ненадолго. Хотя, ещё парочка бит энтропии для Yarrow не повредит. С паршивой овцы хоть шерсти клок.
Лет 10 назад, когда мне понадобилась криптобиблиотека с поддержкой RSA, я выбрал малоизвестную RSAEuro вместо BSAFE или OpenSSL. Это было вовсе не из-за стремления избежать бэкдора от NSA :), а по рекомендации из книги Дмитрия Склярова, где он советует в таких случаях выбирать малораспространённые реализации для лучшей защиты от реверс-инжинеринга (ниже шанс, что соответствующие FLIRT-сигнатуры будут в IDA; ниже шанс, что таблицы констант вашей криптобиблиотеки будут детектиться стандартными определителями криптобиблиотек для PE-файлов и т.д.). Оказывается, есть ещё один довод в пользу малораспространённых криптореализаций: NSA. Хотя это скорее довод в пользу неамериканских криптореализаций. Мило. Теперь всегда буду шифровать выход AES-а ГОСТом 28147-89 и запивать кока-колу кулебячим взваром.
Сейчас тоже есть много малоизвестных реализаций. К примеру, Botan: http://botan.randombit.net/
