Национальный институт стандартов и технологий (NIST) объявил о повторном общественном обсуждении стандартов Special Publication 800-90A, 800-90B и 800-90C, которые содержат описание нескольких алгоритмов генерации псевдослучайных чисел. Мнения экспертов принимаются до 6 ноября 2013 года.
Одновременно NIST настоятельно рекомендует воздержаться от использования Dual_EC_DRBG — алгоритма генерации псевдослучайных битов, основанном на использовании эллиптических кривых и описанного в стандарте Special Publication 800-90A.
«Мы хотим заверить сообщество ИБ, что у нас все еще есть прозрачный общественный процесс обсуждения стандартов», — сказано в официальном пояснении комитета по криптографическим стандартам NIST.
Повторная проверка означает, что генераторы псевдослучайных чисел пройдут через повторную проверку со стороны криптографического сообщества. И на этот раз проверка наверняка будет более тщательной, чем во время первоначального принятия вышеупомянутых стандартов в 2006 году.
Алгоритм Dual_EC_DRBG сразу вызывал подозрение у экспертов. Причин тому было две. Во-первых, стандарт разработан Агентством по национальной безопасности США. Во-вторых, 130-страничный документ с описанием стандарта исключительно сложен и запутан: настолько сложен, что практически никто не мог в нем разобраться. Вдобавок, алгоритм Dual_EC_DRBG еще и работал на три порядка медленнее, чем другие ГСЧ. Появились предположения, что он был изначально спроектирован таким образом, чтобы умышленно оставленную уязвимость было труднее обнаружить. Независимые исследователи обнаружили бэкдор внутри Dual_EC_DRBG в 2007 году, соответствующая научная работа была опубликована на научной конференции Crypto 2007, но только сейчас этот факт косвенно признал Национальный институт стандартов и технологий, который некоторые считают пособником АНБ.
Генераторы случайных чисел имеют особое значение в криптографических системах. Это ключевой элемент систем безопасности, а малейшая уязвимость в ГСЧ подрывает стойкость практически всех современных криптосхем с открытым ключом. Признания АНБ в том, что им практически удалось взломать популярные криптографические приложения, наводит на мысль о наличии бэкдоров и в других криптографических алгоритмах.
Опубликованные Сноуденом презентации АНБ рассказывают «историю успеха», как разведка сумела протолкнуть свою версию криптографического алгоритма в качестве международного стандарта (очевидно, речь идет о Dual_EC_DRBG). Это было сделано в том числе при помощи администрации NIST.