Cum ar fi putut introduce NSA un backdoor în sistemul criptografic de la RSA?

0

În ultima perioadă au fost scoase la suprafață numeroase din procedurile și infiltrările pe care le are NSA, precum și influența de care abuzeaza asupra producătorilor de servicii și echipamente hardware. Una dintre veștile cele mai îngrijorătoare este că NSA a jucat un rol important în crearea și aprobarea unui algoritm criptografic vulnerabil, plătind RSA cu 10 milioane de dolari pentru a accepta un algoritm ce generează biți pseudo-random, Dual_EC_DRBG, implementat de NIST (Institutul Național de Standarde și Tehnologie) ca mecanism standard de generare a numerelor random, algoritm ce se speculează ca având un backdoor.

How-to-Remove-Backdoor.Bosonha

Care sunt riscurile numerelor aleatorii implementate greșit?

Majoritatea aplicațiilor și algoritmilor criptografici se bazează foarte mult pe numere aleatorii pentru a crea chei secrete sau temporare, folosite în procesul de criptare, diminuând astfel riscurile ca cineva să poată reproduce procesul. Spre exemplu, Truecrypt, una dintre cele mai cunoscute aplicații de criptare a datelor folosește numere random pentru a genera chei secrete. Dacă un atacator ar prezice aceste numere, s-ar putea abuza ajungându-se la exfiltrari de date în mod neautorizat.

Exemple de sisteme de securitate ce au fost compromise prin intermediul unor erori (uneori intenționate) în generatoarele de numere random

• O scăpare în generatorul de numere random a permis oamenilor să facă hijack la conturile de pe Hacker News;
• Un algoritm de randomizare a numerelor pe Android a permis unor atacatori să compromită conturi de bitcoin cu monede virtuale echivalentul a zeci de mii de dolari;
• Versiunea de OpenSSL de pe Debian a avut o problemă în generatorul de numere random ce ar fi permis atacatorilor să ghicească cheile private de pe acele sisteme;

Cu alte cuvinte, dacă cineva construiește un algoritm cu ajutorul căruia sunt generate numere random ce ajunge să fie folosit de clienți, acei clienți sunt posibile victime ale dezvoltatorului din start. Nick Sullivan, ex-Apple și actual system engineer la CloudFlare a scris un material în care explică întregul proces.

Etichete:

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.