Stop
using NSA-influenced code in our products, RSA tells customers
“Các
khuyến cáo mạnh mẽ” khẳng định các khách hàng dừng
sử dụng RNG được cho là có chứa cửa hậu của Cơ
quan An ninh Quốc gia Mỹ (NSA).
Firm
"strongly recommends" customers stop using RNG reported to
contain NSA backdoor.
by Dan Goodin - Sept 20
2013, 6:43am ICT
Bài được đưa lên
Internet ngày: 20/09/2013
Lời
người dịch: Các trích đoạn: ““Các
khuyến cáo mạnh mẽ” khẳng định các khách hàng dừng
sử dụng RNG được cho là có chứa cửa hậu của Cơ
quan An ninh Quốc gia Mỹ (NSA)”.
“Các quan chức từ RSA Security
đang tư vấn cho các khách hàng bộ công cụ BSAFE và trình
Quản lý Bảo vệ Dữ liệu (Data Protection Manager) để
dừng sử dụng một thành phần mật mã sống còn trong
các sản phẩm mà gần đây đã được phát hiện có chứa
một cửa hậu được Cơ quan An ninh Quốc gia - NSA
thiết kế”.
Đó chính là đặc tả của Dual EC_DRBG khi tạo các khóa
mật mã. “Đặc tả đó, đã được phê chuẩn năm 2006
từ Viện Tiêu chuẩn và Công nghệ Quốc gia - NIST và sau
đó là Tổ chức Tiêu chuẩn hóa Quốc tế – ISO, có
chứa một cửa hậu mà đã bị NSA
chèn
vào, tờ New York Times nêu tuần
trước”. “Sẽ mất thời
gian cho mọi người để loại bỏ tất cả các sản phẩm
sử dụng Dual_EC_DRBG, đặc biệt khi mà RNG là duy nhất và
mặc định”. Không biết ở
Việt Nam thì thế nào nhỉ? Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Các quan chức từ RSA
Security đang tư vấn cho các khách hàng bộ công cụ BSAFE
và trình Quản lý Bảo vệ Dữ liệu (Data Protection
Manager) để dừng sử dụng một thành phần mật mã sống
còn trong các sản phẩm mà gần đây đã được phát hiện
có chứa một cửa hậu được Cơ quan An ninh Quốc gia -
NSA thiết
kế.
Một sự tư vấn được
gửi đi để lựa chọn các khách hàng của RSA hôm thứ 5
khẳng định rằng các sản phẩm mặc định sử dụng
thứ gì đó được biết tới như là Dual EC_DRBG khi tạo
các khóa mật mã. Đặc tả đó, đã được phê chuẩn
năm 2006 từ Viện Tiêu chuẩn và Công nghệ Quốc gia -
NIST và sau đó là Tổ chức Tiêu chuẩn hóa Quốc tế –
ISO, có
chứa một cửa hậu mà đã bị NSA
chèn
vào, tờ New York Times nêu tuần trước. Tư vấn của
RSA tới 24 giờ sau khi Ars đã yêu cầu công ty này liệu
công ty có ý định cảnh báo cho các khách hàng BSAFE về
sự đánh què cố tình bộ sinh số ngẫu nhiên giả tạo
– PRNG, mà nó quá yếu và vì thế làm xói mòn an ninh của
hầu hết hoặc tất cả các hệ thống mật mã sử dụng
nó.
“Để
đảm bảo mức độ cao bảo an trong ứng dụng của họ,
RSA mạnh mẽ khuyến cáo rằng các khách hàng thôi sử
dụng Dual EC DRBG và chuyển sang một PRNG khác”, tư vấn
RSA nêu. “Chỉ dẫn kỹ thuật, bao gồm cách để thay đổi
PRNG mặc định trong hầu hết các thư viện, là sẵn sàng
trong hầu hết các tài liệu sản phẩm hiện hành” trên
các website của RSA.
Thư
viện BSAFE được sử dụng để triển khai các hàm mật
mã trong các sản phẩm, bao gồm ít nhất vài phiên bản
của Trung tâm Kiểm soát Chuyên nghiệp Tường lửa McAfee
(McAfee Firewall Enterprise Control Center), theo các
chứng nhận của NIST. Trình
quản lý Bảo vệ Dữ liệu RSA – RDPM được sử dụng
để quản lý các khóa mật mã. Sự khẳng định rằng cả
2 sử dụng RNG có cửa hậu có nghĩa lả một số lượng
không được nêu các sản phẩm của các bên thứ 3 có
thể bị bỏ qua không chỉ bởi các cơ quan tình báo tiên
tiến, mà có khả năng bởi các kẻ địch khác mà có các
tài nguyên để triển khai các cuộc tấn công mà sử dụng
phần cứng được thiết kế đặc biệt để nhanh chóng
xoay vòng dù các khóa có khả năng cho tới khi được sửa
lỗi được đoán chừng.
Các
đại diện của McAfee đã đưa ra một tuyên bố khẳng
định Trung tâm Kiểm soát Chuyên nghiệp Tường lửa
McAfee 5.3.1 đã hỗ trợ cho Dual_EC_DRBG, nhưng chỉ khi được
triển khai trong chính phủ liên bang hoặc các môi trường
khách hàng các nhà thầu chính phủ, nơi mà chứng
thực FIPS này đã khuyến cáo
nó. Sản phẩm sử dụng bộ sinh số ngẫu nhiên mới hơn
SHA1 PRNG trong tất cả các thiết lập.
Trang chứng thực của
NIST liệt kê hàng tá các sản phẩm cũng sử dụng RNG
yếu. Hầu hết chúng dường như là các sản phẩm một
lần. Quan trọng hơn là sự ôm lấy BSAFE như là RNG mặc
định, vì công cụ đó có khả năng đẻ ra một số
lượng lớn các hệ thống mật mã phái sinh mà dễ bị
tổn thương cao đang bị gãy vỡ.
Bắt đầu …
Từ đầu, Dual
EC_DRBG, nói tắt cho Dual Elliptic Curve Deterministic Random Bit
Generator - đã đánh vào một số nhà mật mã học như một
sự lựa chọn kỳ lạ cho 1 trong những RNG được NIST phê
chuẩn. Theo nghĩa đen nó là hàng trăm lần chậm hơn so
với các RNG điển hình và cơ sở của nó trong toán học
“logarithm phân tán” từng không bình thường cao độ
trong các môi trường sản xuất.
“Cá nhân tôi tin
tưởng rằng nó từng là dự án yêu thích của vài nhà
mật mã học lý thuyết”, một nhà mật mã học đã yêu
cầu dấu tên đã nói cho Ars. “Tôi đã mường tượng
một nhà toán học, bực mình vì thiếu nền tảng lý
thuyết trong tạo số ngẫu nhiên, đuổi theo con đường
của họ trong một tiêu chuẩn của NIST”.
Một năm sau khi NIST
phê chuẩn RNG như là một tiêu chuẩn, 2 nhà nghiên cứu
của Microsoft đã nghĩ ra một cuộc tấn công mà đã cho
phép các kẻ địch đoán
được bất kỳ khóa nào được tạo ra với RNG với
khá ít công việc.
Giáo
sư của đại học Johns Hopkins là Matt Green đã tính lại
sự hỏng hóc đó và một loạt tính chất riêng biệt
xung quanh sự ôm lấy Dual_EC_DRBG trong một phân
tích kỹ thuật được xuất bản hôm thứ tư.
Trong số chúng, khi Dual_EC_RNG được áp dụng, nó đã
không có bằng chứng có an ninh.
“Trong
quá trình đề xuất phức tạp này và làm chậm PRG mới
nơi mà chỉ lý do bạn chưa từng bao giờ sử dụng thứ
mà là cho sự giảm an ninh của nó, NIST đã quên cung cấp
điều đó”, Green viết. “Điều này giống như việc
bán cho ai đó một chiếc Mercedes và quên đưa vào sự
trang hoàng mũ chùm đầu”.
Trong một thư điện
tử, Lãnh đạo Công nghệ RSA Sam Curry đã bảo vệ qui
trình ra quyết định mà đi tới việc làm cho RNG thành
cách mặc định cho BSAFE và trình Quản lý Bảo vệ Dữ
liệu để sinh các khóa.
“Độ dài thời gian
mà Dual_EC_DRBG trải qua có thể thấy như là tốt: nó cũng
làm chậm lại một kẻ tấn công cố đoán được lõi”,
ông viết. Ông tiếp tục:
Nhiều hàm mật mã
khác (PBKDF2, bcrypt, scrypt) sẽ nhắc đi nhắc lại hàm băm
1.000 lần đặc biệt để làm cho nó chậm hơn. Cùng lúc,
các đường cong elip theo lệ thường và RNG dựa vào hàm
băm đó đang bị soi xét kỹ. Hy vọng là các kỹ thuật
đường cong elip - dựa vào khi chúng là về lý thuyết số
- có thể không chịu nhiều điểm yếu y hệt như với
các kỹ thuật khác (như bộ sinh FIPS 186 SHA-1) mà đã được
thấy là tiêu cực, và Dual_EC_DRBG đòi hỏi các tính năng
mới như kiểm thử tiếp tục đầu ra, bắt buộc tạo
lại nhân, sức đề kháng đoán trước dược tùy ý và
khả năng thiết lập cấu hình cho các sức mạnh khác.
Sẽ
mất thời gian cho mọi người để loại bỏ tất cả các
sản phẩm sử dụng Dual_EC_DRBG, đặc biệt khi mà RNG là
duy nhất và mặc định. Các độc giả mà biết
được những thứ khác được mời để lại thông tin
trong bình luận cho bài viết này.
Officials
from RSA Security are advising customers of the company's BSAFE
toolkit and Data Protection Manager to stop using a crucial
cryptography component in the products that was recently revealed to
contain a backdoor engineered by the National Security Agency.
An
advisory sent to select RSA customers on Thursday confirms that both
products by default use something known as Dual EC_DRBG when creating
cryptographic keys. The specification, which was approved in 2006 by
the National Institute of Standards and Technology (NIST) and later
by the International Organization for Standardization, contains
a backdoor that was inserted by the NSA, the
New York Times reported
last week. RSA's advisory came 24 hours after Ars asked the company
if it intended to warn BSAFE customers about the deliberately
crippled pseudo random number generator (PRNG), which is so weak that
it undermines the security of most or all cryptography systems that
use it.
"To
ensure a high level of assurance in their application, RSA strongly
recommends that customers discontinue use of Dual EC DRBG and move to
a different PRNG," the RSA advisory stated. "Technical
guidance, including how to change the default PRNG in most libraries,
is available in the most current product documentation" on RSA's
websites.
The
BSAFE library is used to implement cryptographic functions into
products, including at least some versions of the McAfee Firewall
Enterprise Control Center, according to NIST
certifications. The RSA Data Protection Manager is used to manage
cryptographic keys. Confirmation that both use the backdoored RNG
means that an untold number of third-party products may be bypassed
not only by advanced intelligence agencies, but possibly by other
adversaries who have the resources to carry out attacks that use
specially designed hardware to quickly cycle though possible keys
until the correct one is guessed.
McAfee
representatives issued a statement that confirmed the McAfee Firewall
Enterprise Control Center 5.3.1 supported the Dual_EC_DRBG, but only
when deployed in federal government or government contractor customer
environments, where this
FIPS certification has recommended it. The product uses the newer
SHA1 PRNG random number generator in all other settings.
The
NIST certification page lists dozens of other products that also use
the weak RNG. Most of those appear to be one-off products. More
significant is the embrace of BSAFE as the default RNG, because the
tool has the ability to spawn a large number of derivative crypto
systems that are highly susceptible to being broken.
In
the beginning ...
From
the beginning, Dual EC_DRBG—short for Dual Elliptic Curve
Deterministic Random Bit Generator—struck some cryptographers as an
odd choice for one of NIST's officially sanctioned RNGs. It was
literally hundreds of times slower than typical RNGs and its basis in
"discrete logarithm" mathematics was highly unusual in
production environments.
"I
personally believed that it was some theoretical cryptographer's pet
project," one cryptographer who asked not to be named told Ars.
"I envisioned a mathematician, annoyed at the lack of
theoretical foundation in random number generation, badgering their
way into a NIST standard."
A
year after NIST approved the RNG as a standard, two Microsoft
researchers devised an attack that allowed adversaries to guess
any key created with the RNG with relatively little work.
Johns
Hopkins professor Matt Green recounts that failing and a wealth of
other peculiarities surrounding the embrace of Dual_EC_DRBG in an
exhaustive
technical analysis published Wednesday. Among them, when
Dual_EC_RNG was adopted, was that it had no security proof.
"In
the course of proposing this complex and slow new PRG where the only
frigging reason you'd ever use the thing is for its security
reduction, NIST forgot
to provide one," Green wrote. "This is like selling someone
a Mercedes and forgetting to include the hood ornament."
In
an e-mail, RSA Chief Technology Sam Curry defended the
decision-making process that went into making the RNG the default way
for BSAFE and Data Protection Manager to generate keys.
"The
length of time that Dual_EC_DRBG takes can be seen as a virtue: it
also slows down an attacker trying to guess the seed," he wrote.
He continued:
Plenty
of other crypto functions (PBKDF2, bcrypt, scrypt) will iterate a
hash 1000 times specifically to make it slower. At the time, elliptic
curves were in vogue and hash-based RNG was under scrutiny. The hope
was that elliptic curve techniques—based as they are on number
theory—would not suffer many of the same weaknesses as other
techniques (like the FIPS 186 SHA-1 generator) that were seen as
negative, and Dual_EC_DRBG was an accepted and publicly scrutinized
standard. SP800-90 (which defines Dual EC DRBG) requires new features
like continuous testing of the output, mandatory re-seeding, optional
prediction resistance and the ability to configure for different
strengths.
It
will take time for people to ferret out all the products that use
Dual_EC_DRBG, particularly as the sole or default RNG. Readers who
know of others are invited to leave that information in a comment to
this post.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.