В Vista SP 1 найдена уязвимость в системе аутентификации

С Service Pack 1 для Windows Vista, Microsoft добавила генератор случайных чисел Dual_EC_DRBG. В стандарте «Special Publication 800-90», опубликованном Национальным институтом стандартов и технологий (National Institute for Standards und Technology, NIST), рассматривается вопрос обхода системы аутентификации. Программисты могут получить доступ к новому генератору случайных чисел посредством программного интерфейса. Эксперт ИБ Брюс Шнайер (Bruce Schneier) высказывается резко против использования Dual_EC_DRBG и подозревает, что алгоритм может иметь «лазейку» для обхода системы аутентификации.

Эксперты Нильс Фергюсон (Nils Ferguson) и Дэн Шумоу (Dan Shumow) на конференции Crypto 2007 рассказывали об уязвимости применяемого Microsoft алгоритма, пишет Heise Security. Он основан на эллиптических кривых, описывающихся при помощи набора констант. Не совсем ясен способ получения констант. Аналитики показали, что они должны быть связаны с неизвестным «вторичным» набором цифр. Этот «вторичный» ряд может служить своего рода ключом для взлома генератора случайных чисел.

©  CNews