Cơ quan tiêu chuẩn của chính phủ gợi ý “mạnh mẽ” loại bỏ tiêu chuẩn mã hóa của chính mình

Government Standards Agency “Strongly” Suggests Dropping its Own Encryption Standard

by Jeff Larson and Justin Elliott

ProPublica, Sep. 13, 2013, 2:07 p.m.

Theo: http://www.propublica.org/article/standards-agency-strongly-suggests-dropping-its-own-encryption-standard

Bài được đưa lên Internet ngày: 13/09/2013

Lời người dịch: Các cơ quan có liên quan tới mật mã, mã hóa, chứng thực số, chữ ký số, CA, an ninh thông tin và các hệ thống thông tin của Việt Nam rất nên đọc kỹ bài viết này và xem xét tất cả các tài liệu được liên kết trong bài viết này vì nó có liên quan tới tiêu chuẩn mật mã và mã hóa, được sử dụng trong tất cả các phiên bản của Microsoft Windows và trong nhiều sản phẩm khác, cả phần cứng - phần mềm - phần dẻo, vì tiêu chuẩn đó đã có sự can thiệp của Cơ quan An ninh Quốc gia Mỹ (NSA), và nó là một cửa hậu. Bản thân Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) bây giờ thừa nhận cửa hậu đó và gợi ý mạnh mẽ loại bỏ tiêu chuẩn mà chính NIST phê chuẩn đó. Dù vậy, sẽ không có gì chắc chắn là những người sử dụng Việt Nam từ bỏ sử dụng các phiên bản Windows hiện đang có cửa hậu đó. Một vài trích dẫn từ bài viết: “Các phiên bản khác nhau của Microsoft Windows, bao gồm cả các phiên bản được sử dụng trong các máy tính bảng và các điện thoại thông minh, có những triển khai tiêu chuẩn đó, dù phần gây ảnh hưởng của NSA không được xúc tác một cách mặc định. Các lập trình viên đang tạo ra các ứng dụng cho nền tảng đó phải chọn để xúc tác cho nó”. “Tiêu chuẩn của NIST mô tả những gì được biết như là một “bộ sinh bit ngẫu nhiên tất định dựa vào đường cong elip”. Bit này của mã máy tính là một cách để tạo ra các số ngẫu nhiên mà là nền tảng cho công nghệ mã hóa được sử dụng trên Internet. Nếu các số được sinh ra không ngẫu nhiên mà trong thực tế được báo trước, thì mã hóa có thể dễ dàng bị phá hơn”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Theo các tiết lộ về tác động giấu giếm lên các tiêu chuẩn an ninh máy tính, viện Tiêu chuẩn và Công nghệ Quốc gia, hay NIST, đã công bố đầu tuần này nó đang rà soát lại một số tiêu chuẩn mã hóa của mình.

Nhưng trong lời chú nhở ở cuối trang, NIST đi một bước xa hơn, nói nó đang khuyến cáo “mạnh mẽ” thậm chí chống lại việc sử dụng một trong các tiêu chuẩn đó. Viện thiết lập các tiêu chuẩn cho mọi diều từ thời gian để cân nhắc cho an ninh máy tính mà được chính phủ sử dụng và giới công nghiệp tùy biến thích nghi một cách rộng rãi.

Như các tờ ProPublica, New York Times và Guardian đã nêu tuần trước, các tài liệu được Edward Snowden cung cấp gợi ý rằng NSA đã gây ảnh hưởng lớn tới tiêu chuẩn đó, nó đã từng được sử dụng khắp thế giới.

Trong tuyên bố của mình hôm thứ ba, NIST đã thừa nhận rằng NSA tham gia vào việc tạo các tiêu chuẩn mật mã “vì sự tinh thông được thừa nhận của nó” và vì NIST được pháp luật yêu cầu tư vấn với cơ quan gián điệp đó.

“Chúng tôi không cố tình, có hiểu biết, khi làm việc để làm xói mòn hoặc làm suy yếu mã hóa”, lãnh đạo của NIST Patrick Gallagher nói tại một hội nghị công khai hôm thứ ba.

Các phiên bản khác nhau của Microsoft Windows, bao gồm cả các phiên bản được sử dụng trong các máy tính bảng và các điện thoại thông minh, có những triển khai tiêu chuẩn đó, dù phần gây ảnh hưởng của NSA không được xúc tác một cách mặc định.

Các lập trình viên đang tạo ra các ứng dụng cho nền tảng đó phải chọn để xúc tác cho nó.

Tờ New York Times đã lưu ý đầu tuần này rằng các tài liệu do Snowden cung cấp chỉ ra cơ quan gián điệp đã đóng một vai trò sống còn trong việc viết tiêu chuẩn đó mà NIST bây giờ cảnh báo trước chống lại việc sử dụng, lần đầu tiên nó được xuất bản vào năm 2006.

Tiêu chuẩn của NIST mô tả những gì được biết như là một “bộ sinh bit ngẫu nhiên tất định dựa vào đường cong elip”. Bit này của mã máy tính là một cách để tạo ra các số ngẫu nhiên mà là nền tảng cho công nghệ mã hóa được sử dụng trên Internet. Nếu các số được sinh ra không ngẫu nhiên mà trong thực tế được báo trước, thì mã hóa có thể dễ dàng bị phá hơn.

Tờ Times đã nêu rằng các tài liệu của Snowden gợi ý NSA đã có liên quan trong việc tạo ra bộ sinh số đó.

Các nhà nghiên cứu nói bằng chứng tác động của NSA làm nảy sinh các câu hỏi về việc liệu bất kỳ tiêu chuẩn được NIST phát triển có còn tin được nữa hay không.

“Các quyết định của NIST được sử dụng để làm mù mờ và gây nản lòng”, Matthew Green, một giáo sư ở Đại học Johns Hopkins nói: “Bây giờ chúng là mù mờ và độc hại tiềm tàng. Điều đó là quá tồi vì NIST thể hiện một dịch vụ hữu dụng như vậy”.

Các nhà mật mã học từ lâu đã nghi ngờ tiêu chuẩn đó theo yêu cầu từng là sai. 7 năm trước, 2 nhà nghiên cứu ở Hà Lan đồng tác giả một tài liệu đã nói bộ sinh số ngẫu nhiên từng không an ninh và rừng các cuộc tấn công chống lại nó có thể “được chạy trên một máy tính cá nhân thông thường”. Một năm sau đó, vào năm 2007, 2 kỹ sư của Microsoft đã lưu ý tiêu chuẩn đó như là tiềm tàng chứa một cửa hậu.

Sau chỉ trích đó, tiêu chuẩn đã được rà soát lại vào năm 2007 để đưa vào một khắc phục tùy chọn.

NSA từ lâu đã có liên quan trong các vấn đề mã hóa ở viện tiêu chuẩn.

“NIST tuân theo sự dẫn dắt của NSA trong việc phát triển các tiêu chuẩn mật mã nhất định”, một báo cáo của Văn phòng Kiểm toán Chính phủ năm 1993 đã lưu ý.

Một luật năm 2002 bắt buộc rằng NIST thiết lập các tiêu chuẩn an ninh thông tin và liệt kê NSA chỉ như một trong vài cơ quan khác phải được tư vấn.

Được hỏi các tiêu chuẩn thường xuyên được mở lại như thế nào, người phát ngôn của NIST Gail Porter nói: “Không thường xuyên, nhưng có”. Bà đã bổ sung thêm rằng nó có thể là “khó khăn để trao cho bạn một số lần chính xác”.

Được hỏi liệu Microsoft có tiếp tục sử dụng tiêu chuẩn mã hóa đó trong một số phần mềm của hãng hay không, một người phát ngôn nói hãng “đang đánh giá những khuyến cáo gần đây của NIST và như thường lệ, sẽ tiến hành hành động phù hợp để bảo vệ những khách hàng của chúng tôi”.

NSA đã từ chối bình luận.

Following revelations about the NSA’s covert influence on computer security standards, the National Institute of Standards and Technology, or NIST, announced earlier this week it is revisiting some of its encryption standards.

But in a little-noticed footnote, NIST went a step further, saying it is “strongly” recommending against even using one of the standards. The institute sets standards for everything from the time to weights to computer security that are used by the government and widely adopted by industry.

As ProPublica, the New York Times, and the Guardian reported last week, documents provided by Edward Snowden suggest that the NSA has heavily influenced the standard, which has been used around the world.

In its statement Tuesday, NIST acknowledged that the NSA participates in creating cryptography standards “because of its recognized expertise” and because NIST is required by law to consult with the spy agency.

“We are not deliberately, knowingly, working to undermine or weaken encryption,” NIST chief Patrick Gallagher said at a public conference Tuesday.

Various versions of Microsoft Windows, including those used in tablets and smartphones, contain implementations of the standard, though the NSA-influenced portion isn’t enabled by default. Developers creating applications for the platform must choose to enable it.

The New York Times noted earlier this week that documents provided by Snowden show the spy agency played a crucial role in writing the standard that NIST is now cautioning against using, which was first published in 2006.

The NIST standard describes what is known as an “elliptic curve-based deterministic random bit generator.” This bit of computer code is one way to produce random numbers that are the cornerstone of encryption technology used on the Internet. If the numbers generated are not random but in fact predictable, the encryption can be more easily cracked.

The Times reported that the Snowden documents suggest the NSA was involved in creating the number generator.

Researchers say the evidence of NSA influence raises questions about whether any of the standards developed by NIST can be trusted.

“NIST's decisions used to be opaque and frustrating,” said Matthew Green, a professor at Johns Hopkins University. “Now they're opaque and potentially malicious. Which is too bad because NIST performs such a useful service.”

Cryptographers have long suspected the standard in question was faulty. Seven years ago, a pair of researchers in the Netherlands authored a paper that said the random number generator was insecure and that attacks against it could “be run on an ordinary PC.” A year after that, in 2007, two Microsoft engineers flagged the standard as potentially containing a backdoor.

Following the criticism, the standard was revised in 2007 to include an optional workaround.

The NSA has long been involved in encryption matters at the standards institute.

"NIST follows NSA's lead in developing certain cryptographic standards," a 1993 Government Accountability Office report noted.

A 2002 law mandates that NIST set information security standards and lists the NSA merely as one of several other agencies that must be consulted.

Asked how often standards are reopened, NIST spokesperson Gail Porter, said, “It’s not frequent, but it does happen.” She added that it would be “difficult to give you an exact number of times.”

Asked whether Microsoft would continue to use the encryption standard in some of its software, a spokesperson said the company "is evaluating NIST’s recent recommendations and as always, will take the appropriate action to protect our customers."

The NSA declined to comment.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com