- PVSM.RU - https://www.pvsm.ru -
На Хабре уже писали [1] как RSA Security заявила о наличии АНБ-бэкдора в своих продуктах, теперь же, появилась [2] информация, что на использование в качестве генератора псевдослучайных чисел именно Dual_EC_DRBG [3] (Dual Elliptic Curve Deterministic Random Bit Generation) подвигло не что иное, как взятка со стороны Агенства национальной безопасности США.
Согласно источникам Reuters, АНБ выплатило компании RSA Security $10 млн. в обмен на гарантии использования по умолчанию в своих криптографических продуктах заведомо ненадежного алгоритма генерации псевдослучайных чисел. Такая сумма может показаться ничтожной, но на самом деле, она составляла более трети доходов соответствующего подразделения компании на тот момент. В 2005 году продажи библиотек BSAFE принесли компании всего $27,5 млн. из $310 млн. дохода всей RSA Security. А в 2006 году компания была приобретена технологическим гигантом EMC за $2,1 млрд.
Уже 2007 году исследователи из Microsoft (Dan Shumow и Niels Ferguson) заметили [4], что генератор содержит в себе недостатки, которые могут быть применены как «идеальный черный ход » в любом алгоритме шифрования, использующем Dual_EC_DRBG.
Все подозрения оставались уделом узкого круга экспертов по криптографии, пока в сентябре 2013 года в прессу не просочились секретные документы от Сноудена и сам производитель рекомендовал [5] прекратить использование продуктов, имеющих в своем составе генератор Dual_EC_DRBG.
Данный случай подтверждает информацию из документов Эдварда Сноудена, в которых упоминалась такого рода подрывная деятельность АНБ, направленная на ослабление широко используемых алгоритмов и стандартов шифрования.
Автор: Akr0n
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/news/51287
Ссылки в тексте:
[1] писали: http://habrahabr.ru/post/200686/
[2] появилась: http://www.reuters.com/article/2013/12/20/us-usa-security-rsa-idUSBRE9BJ1C220131220
[3] Dual_EC_DRBG: https://ru.wikipedia.org/wiki/Dual_EC_DRBG
[4] заметили: http://rump2007.cr.yp.to/15-shumow.pdf
[5] рекомендовал: http://www.theregister.co.uk/2013/09/23/rsa_crypto_warning/
[6] Источник: http://habrahabr.ru/post/200266/
Нажмите здесь для печати.