Tờ New York Times cung cấp các chi tiết mới về cửa hậu trong đặc tả mật mã của NSA

New York Times provides new details about NSA backdoor in crypto spec

The paper points a finger definitively at the long-suspected Dual_EC_DRBG algorithm.

by Megan Geuss - Sept 11 2013, 10:00am ICT

Theo: http://arstechnica.com/security/2013/09/new-york-times-provides-new-details-about-nsa-backdoor-in-crypto-spec/

Bài được đưa lên Internet ngày: 11/09/2013

Lời người dịch: NSA đưa thuật toán mật mã có cửa hậu vào ISO rồi biến nó thành tiêu chuẩn để giới công nghiệp sử dụng trong các hệ thống của khách hàng. “Hôm nay, NYT nói rằng các ghi chép nội bộ do Edward Snowden rò rỉ khẳng định rằng NSA đã sinh ra thuật toán Dual_EC_DRBG. Tuy nhiên, một cách công khai, vai trò của cơ quan này trong sự phát triển còn chưa được lường tới đáng kể: “Trong việc xuất bản tiêu chuẩn đó. NIST đã thừa nhận 'những đóng góp' từ NSA, nhưng không phải là tác gỉa ban đầu”, NYT đã viết. Từ đó, NSA đã thúc đẩy Tổ chức Tiêu chuẩn Quốc tế (ISO) để phê chuẩn thuật toán đó, gọi nó là “một thách thức trong khéo léo” để thuyết phục lãnh đạo tổ chức đó”. Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.

Hôm nay, tờ New York Times (NYT) đã nêu rằng một thuật toán cho việc sinh các số ngẫu nhiên, từng được Viện Tiêu chuẩn và Công nghệ Quốc gia NIST (National Institute of Standards and Technology) áp dụng vào năm 2006, có chứa một cửa hậu cho NSA. Tin này đi theo một báo cáo của NYT từ tuần trước, nó đã chỉ ra rằng Cơ quan An ninh Quốc gia (NSA) đã phá vỡ các sơ đồ mã hóa được sử dụng rộng rãi (nhưng sau đó không được nêu tên) bằng việc đặt vào các cửa hậu trong các tiêu chuẩn mà được sử dụng để triển khai sự mã hóa.

Trong năm 2007, các nhà mật mã Niels Ferguson và Dan Shumow đã trình bày nghiên cứu gợi ý rằng có thể có một cửa hậu tiềm tàng trong thuật toán Dual_EC_DRBG, mà NIST đã đưa vào trong Xuất bản phẩm đặc biệt 800-90 (Special Publication 800-90). Nếu các tham số được sử dụng để xác định thuật toán đó được chọn theo một cách thức đặc biệt, chúng có thể cho phép NSA tiên đoán các số ngẫu nhiên được cho là được thuật toán đó tạo ra. Còn chưa rõ hoàn toàn khi đó rằng NSA đã lấy các tham số đó theo cách này; như Ars đã lưu ý tuần trước, tối ưu cho việc chọn các tham số Dual_EC_DRBG đặc biệt trong SP 800-90 từng chưa bao giờ thực sự được nêu.

Hôm nay, NYT nói rằng các ghi chép nội bộ do Edward Snowden rò rỉ khẳng định rằng NSA đã sinh ra thuật toán Dual_EC_DRBG. Tuy nhiên, một cách công khai, vai trò của cơ quan này trong sự phát triển còn chưa được lường tới đáng kể: “Trong việc xuất bản tiêu chuẩn đó. NIST đã thừa nhận 'những đóng góp' từ NSA, nhưng không phải là tác gỉa ban đầu”, NYT đã viết. Từ đó, NSA đã thúc đẩy Tổ chức Tiêu chuẩn Quốc tế (ISO) để phê chuẩn thuật toán đó, gọi nó là “một thách thức trong khéo léo” để thuyết phục lãnh đạo tổ chức đó.

“Cuối cùng, NSA đã trở thành người biên tập duy nhất” của tiêu chuẩn quốc tế đó, theo một ghi chép được NYT thấy.

Các chi tiết tới chỉ khi NIST đã đưa ra một lời hứa mở lại qui trình hiệu chỉnh công khai cho SP 800-90. “Chúng tôi muốn đảm bảo với cộng đồng an ninh không gian mạng CNTT rằng qui trình minh bạch, công khai được sử dụng để hiệu chỉnh khắt khe các tiêu chuẩn của chúng tôi vẫn diễn ra”, một ghi chép từ Viện nêu. “NIST có thể không cố ý làm yếu một tiêu chuẩn mật mã. Chúng tôi tiếp tục theo nhiệm vụ của chúng tôi để làm việc với cộng đồng mật mã để tạo ra các tiêu chuẩn mã hóa có khả năng mạnh nhất cho chính phủ Mỹ và giới công nghiệp rộng lớn”.

Hơn nữa, NIST đã khẳng định rằng mục đích của nó là để bảo vệ chính phủ liên bang trước tiên: “chỉ thị của NIST là để phát triển các tiêu chuẩn và chỉ dẫn để bảo vệ thông tin và các hệ thống thông tin của liên bang. Vì mức độ bí mật cao trong các tiêu chuẩn của NIST, nhiều nhóm công nghiệp tư nhân cũng tự nguyện áp dụng các tiêu chuẩn đó”.

Giai đoạn bình luận công khai về SP 800-90 kết thúc vào ngày 06/11/2013.

Today, the New York Times reported that an algorithm for generating random numbers, which was adopted in 2006 by the National Institute of Standards and Technology (NIST), contains a backdoor for the NSA. The news followed a NYT report from last week, which indicated that the National Security Agency (NSA) had circumvented widely used (but then-unnamed) encryption schemes by placing backdoors in the standards that are used to implement the encryption.

In 2007, cryptographers Niels Ferguson and Dan Shumow presented research suggesting that there could be a potential backdoor in the Dual_EC_DRBG algorithm, which NIST had included in Special Publication 800-90. If the parameters used to define the algorithm were chosen in a particular way, they would allow the NSA to predict the supposedly random numbers produced by the algorithm. It wasn't entirely clear at the time that the NSA had picked the parameters in this way; as Ars noted last week, the rationale for choosing the particular Dual_EC_DRBG parameters in SP 800-90 was never actually stated.

Today, the NYT says that internal memos leaked by Edward Snowden confirm that the NSA generated the Dual_EC_DRBG algorithm. Publicly, however, the agency's role in development was significantly underbilled: “In publishing the standard, NIST acknowledged 'contributions' from NSA, but not primary authorship,” wrote the NYT. From there, the NSA pushed the International Organization for Standardization to adopt the algorithm, calling it “a challenge in finesse” to convince the organization's leadership.

“Eventually, NSA became the sole editor” of the international standard, according to one classified memo seen by the NYT.

The details come just as NIST released a promise to reopen the public vetting process for SP 800-90. “We want to assure the IT cybersecurity community that the transparent, public process used to rigorously vet our standards is still in place,” a memo from the Institute read. “NIST would not deliberately weaken a cryptographic standard. We will continue in our mission to work with the cryptographic community to create the strongest possible encryption standards for the US government and industry at large.”

Still, NIST asserted that its purpose was to protect the federal government first: “NIST’s mandate is to develop standards and guidelines to protect federal information and information systems. Because of the high degree of confidence in NIST standards, many private industry groups also voluntarily adopt these standards.”

The public comment period on SP 800-90 ends November 6, 2013.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com