Government
Standards Agency “Strongly” Suggests Dropping its Own Encryption
Standard
by Jeff Larson and Justin
Elliott
ProPublica, Sep. 13,
2013, 2:07 p.m.
Bài được đưa lên
Internet ngày: 13/09/2013
Lời
người dịch: Các cơ quan có
liên quan tới mật mã, mã hóa, chứng thực số, chữ ký
số, CA, an ninh thông tin và các hệ thống thông tin của
Việt Nam rất nên đọc kỹ bài viết này và xem xét tất
cả các tài liệu được liên kết trong bài viết này vì
nó có liên quan tới tiêu chuẩn mật mã và mã hóa, được
sử dụng trong tất cả các phiên bản của Microsoft
Windows và trong nhiều sản phẩm khác, cả phần cứng -
phần mềm - phần dẻo, vì tiêu chuẩn đó đã có sự can
thiệp của Cơ quan An ninh Quốc gia Mỹ (NSA), và nó là một
cửa hậu. Bản thân Viện Tiêu chuẩn và Công nghệ Quốc
gia Mỹ (NIST) bây giờ thừa nhận cửa hậu đó và gợi ý
mạnh mẽ loại bỏ tiêu chuẩn mà chính NIST phê chuẩn
đó. Dù vậy, sẽ không có gì chắc chắn là những người
sử dụng Việt Nam từ bỏ sử dụng các phiên bản
Windows hiện đang có cửa hậu đó.
Một vài trích dẫn từ bài viết: “Các
phiên bản khác nhau của
Microsoft Windows, bao gồm cả các phiên bản được sử
dụng trong các máy tính bảng và các điện thoại thông
minh, có những triển khai tiêu chuẩn đó, dù phần gây
ảnh hưởng của NSA không được xúc tác một cách mặc
định. Các lập trình viên đang tạo ra các ứng dụng cho
nền tảng đó phải chọn để xúc
tác cho nó”. “Tiêu chuẩn
của NIST mô tả những gì được biết như là một “bộ
sinh bit ngẫu nhiên tất định dựa vào đường cong elip”.
Bit này của mã máy tính là một cách để tạo ra các số
ngẫu nhiên mà là nền tảng cho công nghệ mã hóa được
sử dụng trên Internet. Nếu các số được sinh ra không
ngẫu nhiên mà trong thực tế được báo trước, thì mã
hóa có thể dễ dàng bị phá hơn”. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Theo các tiết lộ về
tác động giấu giếm lên các tiêu chuẩn an ninh máy tính,
viện Tiêu chuẩn và Công nghệ Quốc gia, hay NIST, đã
công bố đầu tuần này nó đang rà soát lại một số
tiêu chuẩn mã hóa của mình.
Nhưng trong lời
chú nhở ở cuối trang, NIST đi một bước xa hơn, nói
nó đang khuyến cáo “mạnh mẽ” thậm chí chống lại
việc sử dụng một trong các tiêu chuẩn đó. Viện thiết
lập các tiêu chuẩn cho mọi diều từ thời
gian để cân
nhắc cho an ninh máy tính mà được chính phủ sử dụng
và giới công nghiệp tùy biến thích nghi một cách rộng
rãi.
Như các tờ
ProPublica, New York Times và Guardian đã
nêu tuần trước, các tài liệu được Edward Snowden
cung cấp gợi ý rằng NSA đã gây ảnh hưởng lớn tới
tiêu chuẩn đó, nó đã từng được sử dụng khắp thế
giới.
Trong tuyên
bố của mình hôm thứ ba, NIST đã thừa nhận rằng
NSA tham gia vào việc tạo các tiêu chuẩn mật mã “vì sự
tinh thông được thừa nhận của nó” và vì NIST được
pháp luật yêu cầu tư vấn với cơ quan gián điệp đó.
“Chúng tôi không cố
tình, có hiểu biết, khi làm việc để làm xói mòn hoặc
làm suy yếu mã hóa”, lãnh đạo của NIST Patrick Gallagher
nói tại một hội nghị công khai hôm thứ ba.
Các
phiên bản khác nhau của
Microsoft Windows, bao gồm cả các phiên bản được sử
dụng trong các máy tính bảng và các điện thoại thông
minh, có những triển khai tiêu chuẩn đó, dù phần gây
ảnh hưởng của NSA không được xúc tác một cách mặc
định.
Tờ New York Times đã
lưu ý đầu tuần này rằng các tài liệu do Snowden
cung cấp chỉ ra cơ quan gián điệp đã đóng một vai trò
sống còn trong việc viết tiêu chuẩn đó mà NIST bây giờ
cảnh báo trước chống lại việc sử dụng, lần đầu
tiên nó được
xuất bản vào năm 2006.
Tiêu
chuẩn của NIST mô tả những gì được biết như là một
“bộ sinh bit ngẫu nhiên tất định dựa vào đường
cong elip”. Bit này của mã máy tính là một cách để tạo
ra các số ngẫu nhiên mà là nền tảng cho công nghệ mã
hóa được sử dụng trên Internet. Nếu các số được
sinh ra không ngẫu nhiên mà trong thực tế được báo
trước, thì mã hóa có thể dễ dàng bị phá hơn.
Tờ Times đã nêu rằng
các tài liệu của Snowden gợi ý NSA đã có liên quan trong
việc tạo ra bộ sinh số đó.
Các
nhà nghiên cứu nói bằng chứng tác động của NSA làm
nảy sinh các câu hỏi về việc liệu bất kỳ tiêu chuẩn
được NIST phát triển có còn tin được nữa hay không.
“Các quyết định
của NIST được sử dụng để làm mù mờ và gây nản
lòng”, Matthew Green, một giáo sư ở Đại học Johns
Hopkins nói: “Bây giờ chúng là mù mờ và độc hại tiềm
tàng. Điều đó là quá tồi vì NIST thể hiện một dịch
vụ hữu dụng như vậy”.
Các nhà mật mã học
từ lâu đã nghi ngờ tiêu chuẩn đó theo yêu cầu từng
là sai. 7 năm trước, 2 nhà nghiên cứu ở Hà Lan đồng
tác giả một tài
liệu đã nói bộ sinh số ngẫu nhiên từng không an
ninh và rừng các cuộc tấn công chống lại nó có thể
“được chạy trên một máy tính cá nhân thông thường”.
Một năm sau đó, vào năm 2007, 2 kỹ sư của Microsoft đã
lưu ý tiêu chuẩn đó như là tiềm tàng chứa một cửa
hậu.
Sau chỉ trích đó,
tiêu chuẩn đã được rà soát lại vào năm 2007 để đưa
vào một khắc phục tùy chọn.
NSA từ lâu đã có
liên quan trong các vấn đề mã hóa ở viện tiêu chuẩn.
“NIST tuân theo sự
dẫn dắt của NSA trong việc phát triển các tiêu chuẩn
mật mã nhất định”, một báo
cáo của Văn phòng Kiểm toán Chính phủ năm 1993 đã
lưu ý.
Một luật
năm 2002 bắt buộc rằng NIST thiết lập các tiêu chuẩn
an ninh thông tin và liệt kê NSA chỉ như một trong vài cơ
quan khác phải được tư vấn.
Được hỏi các tiêu
chuẩn thường xuyên được mở lại như thế nào, người
phát ngôn của NIST Gail Porter nói: “Không thường xuyên,
nhưng có”. Bà đã bổ sung thêm rằng nó có thể là “khó
khăn để trao cho bạn một số lần chính xác”.
Được
hỏi liệu Microsoft có tiếp tục sử dụng tiêu chuẩn mã
hóa đó trong một số phần mềm của hãng hay không, một
người phát ngôn nói hãng “đang đánh giá những khuyến
cáo gần đây của NIST và như thường lệ, sẽ tiến hành
hành động phù hợp để bảo vệ những khách hàng của
chúng tôi”.
NSA
đã từ chối bình luận.
Following
revelations about the NSA’s covert influence on computer security
standards, the National Institute of Standards and Technology, or
NIST, announced
earlier this week it is revisiting some of its encryption standards.
But
in a little-noticed
footnote, NIST went a step further, saying it is “strongly”
recommending against even using one of the standards. The institute
sets standards for everything from the time
to weights to
computer security that are used by the government and widely adopted
by industry.
As
ProPublica, the New York Times, and the Guardian reported
last week, documents provided by Edward Snowden suggest that the NSA
has heavily influenced the standard, which has been used around the
world.
In
its statement
Tuesday, NIST acknowledged that the NSA participates in creating
cryptography standards “because of its recognized expertise” and
because NIST is required by law to consult with the spy agency.
“We
are not deliberately, knowingly, working to undermine or weaken
encryption,” NIST chief Patrick Gallagher said at a public
conference Tuesday.
Various
versions
of Microsoft Windows, including those used in tablets and
smartphones, contain implementations of the standard, though the
NSA-influenced portion isn’t enabled by default. Developers
creating applications for the platform must choose to enable
it.
The
New York Times noted
earlier this week that documents provided by Snowden show the spy
agency played a crucial role in writing the standard that NIST is now
cautioning against using, which was first published
in 2006.
The
NIST standard describes what is known as an “elliptic curve-based
deterministic random bit generator.” This bit of computer code is
one way to produce random numbers that are the cornerstone of
encryption technology used on the Internet. If the numbers generated
are not random but in fact predictable, the encryption can be more
easily cracked.
The
Times reported that the Snowden documents suggest the NSA was
involved in creating the number generator.
Researchers
say the evidence of NSA influence raises questions about whether any
of the standards developed by NIST can be trusted.
“NIST's
decisions used to be opaque and frustrating,” said Matthew Green, a
professor at Johns Hopkins University. “Now they're opaque and
potentially malicious. Which is too bad because NIST performs such a
useful service.”
Cryptographers
have long suspected the standard in question was faulty. Seven years
ago, a pair of researchers in the Netherlands authored a paper
that said the random number generator was insecure and that attacks
against it could “be run on an ordinary PC.” A year after that,
in 2007, two Microsoft engineers flagged
the standard as potentially containing a backdoor.
Following
the criticism, the standard was revised in 2007 to include an
optional workaround.
The
NSA has long been involved in encryption matters at the standards
institute.
"NIST
follows NSA's lead in developing certain cryptographic standards,"
a 1993 Government Accountability Office report
noted.
A
2002 law
mandates that NIST set information security standards and lists the
NSA merely as one of several other agencies that must be consulted.
Asked
how often standards are reopened, NIST spokesperson Gail Porter,
said, “It’s not frequent, but it does happen.” She added that
it would be “difficult to give you an exact number of times.”
Asked
whether Microsoft would continue to use the encryption standard in
some of its software, a spokesperson said the company "is
evaluating NIST’s recent recommendations and as always, will take
the appropriate action to protect our customers."
The
NSA declined to comment.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.