В программах RSA Security, обнаружен очередной бэкдор АНБ
По данным агенства Рейтер, АНБ оставило свои закладки не в одном, как было известно ранее, а сразу в двух программах, принадлежащих пионеру в области безопасности — компании RSA Security.
В декабре прошлого года уже появлялись доказательства того, что АНБ заплатило компании около 10 миллионов долларов за возможность поучаствовать в разработке генератора случайных чисел, основанного на механизме двойных эллиптических кривых (Dual EC DRBG). Внесённые изменения позволяли любому, кто был осведомлен о них, без особых трудностей предсказывать поведение генератора, а «случайные» числа становились вовсе не «случайными». Проблема усугублялась тем, что этот метод шифрования был задействован по умолчанию в самом популярном продукте RSA — программном комплексе BSAFE.
Профессоры различных американских университетов выступили с заявлением о том, что им удалось найти еще один бэкдор в BSAFE. Он размещён в расширении Extended Random (применяемом для повышения безопасности веб-сайтов), которое изначально должно было увеличивать количество источников энтропии, увеличивая надежность шифрования. Однако, включение данного расширения не только не способствует усилению криптостойкости, но позволяет в сотни и тысячи раз ускорить дешифровку данных, зашифрованных с помощью пресловутых двойных эллиптических кривых путём облегчения предсказания следующих случайных чисел. Примечательно, что в 2008 году Пентагон рекомендовал использовать это расширение в качестве средства повышения энтропии.
RSA Security отрицает, что данный код был добавлен по просьбе АНБ, но в качестве оправдания упирает лишь на то, что это расширение не обрело популярность, а его разработка и поддержка были прекращены полгода назад. «Нам стоило более скептически отнестись к намерениям АНБ,» — сказал главный инженер RSA Сэм Кэрри. «Мы доверяли им, лишь потому, что они обеспечивают безопасность правительства США и критической инфраструктуры США.»
По словам Томаса Райсенпарта из университета Висконсина, исследовавшего код, Extended Random не даёт вообще никаких преимуществ в плане безопасности.
Мэтью Грин, профессор университета Джонса Хопкинса, высказался более образно. Учитывая тот факт, что указанное расширение появилось аккурат после принятия двойных эллиптических кривых в качестве стандарта, объяснения RSA выглядят крайне неубедительно. «Использовать Dual EC DRBG — все равно, что играть со спичками. Но включение Extended Random можно сравнить разве что с добровольным обливанием себя бензином», — говорит Грин.
Роль АНБ в происхождении Dual EC DRBG довольно значительна. Авторами документа, описывавшего эту технологию, являются Маргарет Солтер, технический директор подразделения АНБ, ответственного за обеспечение безопасности, и сторонний эксперт Эрик Рескорла, выступавший за шифрования всего веб-трафика в Интернете. В настоящее время, он работает в Mozilla Foundation и отказывается от комментариев по вопросу об эллиптических кривых. Ответа от Маргарет Солтер получено не было. Агентство Национальной Безопасности США также отказалось комментировать ситуацию.
Несколько лет назад Инженерный совет Интернета (IETF) рассматривал вопрос о принятии Extended Random в качестве отраслевого стандарта. К счастью, этот протокол тогда принят не был.
Исследователям понадобился всего лишь час времени, чтобы вскрыть шифрование BSAFE, а стоимость задействованного для этого оборудования не превышает 40 тысяч долларов. Задействование Extended Random ускоряет этот процесс в 65 000 раз, сводя время атаки к нескольким секундам. Эта простота позволяет легко применять такую атаку при массовом наблюдении за трафиком.
extended random, rsa, анб