Comments 12
Компания RSA поставляла программные продукты на базе "BSafe Toolkit", где по умолчанию использовали сомнительный генератор случайных чисел Dual_EC_DRBG (если правильно сгенерировать параметры P и Q алгоритма, то выход генератора неотличим от случайного, но внутреннее состояние восстанавливается автором при получении около 30 байтов "случайного потока", например из инициализации SSL/TLS — “Client Random” nonce)
https://www.wired.com/2013/09/nsa-backdoor/ "On Thursday, corporate giant RSA Security publicly renounced Dual_EC_DRBG, while also conceding that its commercial suite of cryptographic libraries had been using the bad algorithm as its default algorithm for years."
https://www.wired.com/2013/09/rsa-advisory-nsa-algorithm/
RSA said that all versions of RSA BSAFE Toolkits, including all versions of Crypto-C ME, Micro Edition Suite, Crypto-J, Cert-J, SSL-J, Crypto-C, Cert-C, SSL-C were affected.…
BSafe has six random number generators in it, some are hash-based and several that are elliptic-curve based, like the algorithm in question. Curry says they chose Dual EC DRBG as the default “on the basis of providing the best security for our customers.”
Сообщали также про некий платеж размером в 10 млн USD в сторону RSA — но RSA категорически отрицает безосновательные предположения о связи платежа и выбора алгоритма в BSafe — http://www.bbc.co.uk/news/technology-25492461
Выбор алгоритма по умолчанию произошел в 2004 (еще до завершения стандартизации в NIST), в 2005 распродали софта на базе bsafe уже на 27 млн usd, в 2007 появились первые предположения про константы но RSA доверилась NIST, 9 сентября 2013 NIST отозвал алгоритм из стандарта.
История: https://en.wikipedia.org/wiki/Dual_EC_DRBG#Timeline_of_the_Dual_EC_DRBG_cryptotrojan
Программа: en.wikipedia.org/wiki/Bullrun_(decryption_program)
Сообщения СМИ про утечки 5-6 сентября 2013 года с упоминанием некоего стандарта 2006 года: https://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security https://www.nytimes.com/2013/09/06/us/nsa-foils-much-internet-encryption.html?hp&_r=0
"For the past decade, NSA has lead [sic] an aggressive, multi-pronged effort to break widely used internet encryption technologies," stated a 2010 GCHQ document. "Vast amounts of encrypted internet data which have up till now been discarded are now exploitable."
The breakthrough, which was not described in detail in the documents, meant the intelligence agencies were able to monitor "large amounts" of data flowing through the world's fibre-optic cables and break its encryption, despite assurances from internet company executives that this data was beyond the reach of government.
The key component of the NSA's battle against encryption, its collaboration with technology companies, is detailed in the US intelligence community's top-secret 2013 budget request under the heading "Sigint [signals intelligence] enabling".
… The program "actively engages US and foreign IT industries to covertly influence and/or overtly leverage their commercial products' designs", the document states. None of the companies involved in such partnerships are named; these details are guarded by still higher levels of classification.
Among other things, the program is designed to "insert vulnerabilities into commercial encryption systems".
“Eventually, N.S.A. became the sole editor,” the memo says.
PS: OpenSSL имел реализацию Dual EC с константами из стандарта, но из-за опечатки она не работала — http://openssl.6102.n7.nabble.com/Flaw-in-Dual-EC-DRBG-no-not-that-one-td47744.html "Flaw in Dual EC DRBG (no, not that one)"
Интересный сайт — https://projectbullrun.org/dual-ec/index.html
Патенты 2005 (Certicom/Blackberry) — https://projectbullrun.org/dual-ec/patent.html
В 2007 году даже исправляли баг в бекдоре (изменили стандарт), заявив о некоем “backtracking resistance” — https://projectbullrun.org/dual-ec/standard-change.html
В 2009 году пытались увеличить количество сырого random, передаваемого в TLS (“Cryptographic parity”) — https://projectbullrun.org/dual-ec/ext-rand.html (одна из 4 попыток — https://blog.cryptographyengineering.com/2017/12/19/the-strange-story-of-extended-random/ — https://sockpuppet.org/blog/2015/08/04/is-extended-random-malicious/; certain Canon printer… use the RSA BSAFE library… implements the extended_random)
Стоимость атаки https://projectbullrun.org/dual-ec/performance.html (сотни минут cpu времени)
Демонстрация (с другими, специально изготовленными константами) — https://blog.0xbadc0de.be/archives/155
Статья "Dual EC: A Standardized Back Door" (2015), The New Codebreakers. Springer, Berlin, Heidelberg, 2016. 256-281. — https://projectbullrun.org/dual-ec/documents/dual-ec-20150731.pdf — где, в частности, рассказано как установили авторов Dual EC в Агентстве, “generated (P, Q) in a secure, classified way”, "TLS transmits enough random data in plain text during the TLS handshake" (дает 28 байт из 30 необходимых), "OpenSSL-FIPS turned out to have a severe Dual EC bug, despite FIPS validation"
Несколько лет назад "появились" примеры, например FISA Court — verizon warrant (все в рамках федеральных законов)
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
In June 2013, a copy of a top-secret warrant, issued by the court on April 25, 2013, was leaked to London's The Guardian newspaper by NSA contractor Edward Snowden.[47][48][49][50][51] That warrant orders Verizon Business Network Services to provide a daily feed to the NSA containing "telephony metadata" – comprehensive call detail records, including location data[52]
https://www.theguardian.com/world/interactive/2013/jun/06/verizon-telephone-data-court-order = https://assets.documentcloud.org/documents/709012/verizon.pdf (br1380? https://www.eff.org/docket/br-13-80)
declassify on: 12 april 2038
судья https://en.wikipedia.org/wiki/Roger_Vinson, один из 7 или 11 https://fas.org/irp/agency/doj/fisa/court2013.html
Статистика работы суда — 26 тыс запросов в эпоху клинтон-буш-обама, 11 отказов https://www.washingtonpost.com/politics/the-foreign-intelligence-surveillance-court/2013/06/07/4700b382-cfec-11e2-8845-d970ccb04497_graphic.html?noredirect=on
Рядом есть рассекреченные файлы — https://www.washingtonpost.com/world/national-security/governments-secret-order-to-verizon-to-be-unveiled-at-senate-hearing/2013/07/31/233fdd3a-f9cf-11e2-a369-d1954abcb7e3_story.html?noredirect=on https://www.nytimes.com/2013/08/01/us/nsa-surveillance.html?pagewanted=all&_r=0
в том числе primary order из docket br 1380 http://apps.washingtonpost.com/g/page/politics/government-documents-related-to-nsa-collection-of-telephone-metadata-records/351/?hpid=z1 http://www.scribd.com/doc/157208902/Order-for-Business-Records-Collection-Under-the-USA-PATRIOT-Act
(сайт суда — http://www.fisc.uscourts.gov/, публичные дела — http://www.fisc.uscourts.gov/public-filings)
Доступ к секретному приказу только для лиц, имеющих соответствующий допуск (и дополнительно для тех, кто должен его исполнять), при условии "Need to know". Запрос на рассекречивание можно подать по FOIA после истечения срока секретности, с точным указанием на документ. ACLU пытается что-от подавать — https://www.aclu.org/cases/aclu-motions-requesting-public-access-fisa-court-rulings-government-surveillance, eff что-то по теме пишет https://www.eff.org/cases/fisc-orders-illegal-government-surveillance
Secure Data Act 2018 – в США планируют запретить бэкдоры в устройствах [опять]