НИСТ СП 800-90А - NIST SP 800-90A - Wikipedia

НИСТ СП 800-90А («SP» означает «специальное издание") является публикацией Национальный институт стандартов и технологий с названием Рекомендация по генерации случайных чисел с использованием детерминированных генераторов случайных битов. В публикации содержится спецификация на три якобы криптографически безопасные генераторы псевдослучайных чисел для использования в криптография: Hash_DRBG (на основе хэш-функции ), HMAC_DRBG (на основе HMAC ), и CTR_DRBG (на основе блочные шифры в режим счетчика ).

С 24 июня 2015 года текущая версия публикации - Revision 1. Более ранние версии включали четвертый генератор, Dual_EC_DRBG (на основе криптография на основе эллиптических кривых ). Позднее сообщалось, что Dual_EC_DRBG, вероятно, содержит клептографический задняя дверь вставлено Соединенными Штатами Национальное Агенство Безопасности (NSA), в то время как другие три генератора случайных чисел считаются бесспорными и безопасными несколькими криптографами.[1][2]

Как работа федерального правительства США, NIST SP 800-90A находится в всеобщее достояние и в свободном доступе.

Бэкдор в Dual_EC_DRBG

В рамках Буллран Программа АНБ вставляет бэкдоры в криптографические системы. В 2013 году одной из таких целей было предложено использовать Dual_EC_DRBG.[3] АНБ добилось этого, работая в процессе стандартизации, чтобы в конечном итоге стать единственным редактором стандарта.[4] При принятии Dual_EC_DRBG в NIST SP 800-90A АНБ сослалось на известную охранную фирму. RSA Безопасность использование Dual_EC_DRBG в своих продуктах. Однако NSA заплатило RSA Security 10 миллионов долларов за использование Dual_EC_DRBG по умолчанию в сделке, которая Рейтер описывается как «управляемый руководителями бизнеса, а не чистыми технологами». Поскольку контракт на 10 миллионов долларов на использование RSA Security Dual_EC_DRBG был описан Reuters как секретный, люди, участвовавшие в процессе принятия Dual_EC_DRBG в NIST SP 800-90A, по-видимому, не знали об этом очевидном конфликте интересов.[5] Это может помочь объяснить, как генератор случайных чисел, который, как позже выяснилось, уступает альтернативным (помимо черного хода), стал стандартом NIST SP 800-90A.

Возможность бэкдора в Dual_EC_DRBG уже была задокументирована Дэн Шумов и Нильс Фергюсон в 2007,[6] но продолжал использоваться на практике такими компаниями, как RSA Security, до открытия 2013 года.[1] Учитывая известные недостатки Dual_EC_DRBG, впоследствии были обвинения в том, что RSA Security сознательно вставила бэкдор АНБ в свои продукты. RSA отрицает намеренное использование бэкдора в своих продуктах.[7]

После разоблачения бэкдора NSA NIST возобновил процесс общественной проверки на соответствие стандарту NIST SP 800-90A.[3][8] Пересмотренная версия NIST SP 800-90A, которая удаляет Dual_EC_DRBG, была опубликована в июне 2015 года.[9]

Анализ безопасности

Попытка доказательства безопасности для Dual_EC_DRBG утверждает, что для обеспечения безопасности Dual_EC_DRBG требуется три задачи, которые должны быть математически сложными: решающая проблема Диффи-Хеллмана, проблема x-логарифма и проблема усеченной точки.[10] Решающая проблема Диффи-Хеллмана широко признана сложной.[10] Проблема x-логарифма не получила широкого признания, но есть некоторые свидетельства того, что эта проблема сложна, но не доказывает, что проблема сложна.[10] Следовательно, доказательство безопасности сомнительно и будет признано недействительным, если будет показано, что проблема x-логарифма решаема, а не трудна. Проблема усеченной точки требует, чтобы достаточное количество битов было усечено от точки, выбранной Dual_EC_DRBG, чтобы сделать ее неотличимой от действительно случайного числа.[10] Однако было показано, что усечение 16 бит, значение по умолчанию, заданное стандартом Dual_EC_DRBG, недостаточно, чтобы сделать вывод неотличимым от истинного генератора случайных чисел.[11] и поэтому делает недействительным доказательство безопасности Dual_EC_DRBG при использовании значения усечения по умолчанию.

Hash_DRBG и HMAC_DRBG имеют доказательства безопасности для одного вызова для генерации псевдослучайных чисел.[12] В документе, подтверждающем безопасность Hash_DRBG и HMAC_DRBG, действительно цитируется попытка доказательства безопасности для Dual_EC_DRBG, использованная в предыдущем абзаце, в качестве доказательства безопасности, чтобы сказать, что не следует использовать CTR_DRBG, потому что это единственный DRBG в NIST SP 800-90A, который не имеет безопасности. доказательство.[12]

HMAC_DRBG также имеет подтвержденное машиной доказательство безопасности.[13] Тезис, содержащий подтвержденное машиной доказательство безопасности, также доказывает, что компрометация правильно реализованного экземпляра HMAC_DRBG не ставит под угрозу безопасность чисел, сгенерированных до компрометации.[13]

CTR_DRBG

Было показано, что CTR_DRBG имеет проблемы с безопасностью при использовании с определенными параметрами, поскольку криптографы не учли размер блока шифра при разработке этого генератора псевдослучайных чисел.[14] CTR_DRBG кажется безопасным и неотличимым от истинного случайного источника, когда AES используется в качестве базового блочного шифра и 112 битов берутся из этого генератора псевдослучайных чисел.[14] Когда AES используется в качестве базового блочного шифра и 128 бит берутся из каждого экземпляра, требуемый уровень безопасности предоставляется с оговоркой, что выход 128-битного шифра в режиме счетчика можно отличить от истинного генератора случайных чисел.[14] Когда AES используется в качестве базового блочного шифра и из этого генератора псевдослучайных чисел берется более 128 битов, то результирующий уровень безопасности ограничивается размером блока, а не размером ключа, и поэтому фактический уровень безопасности намного меньше, чем безопасность уровень подразумевается размером ключа.[14] Также показано, что CTR_DRBG не может обеспечить ожидаемый уровень безопасности всякий раз, когда Тройной DES используется потому, что размер его 64-битного блока намного меньше 112-битного размера ключа, используемого для Triple DES.[14]

История версий NIST SP 800-90A

Смотрите также

Рекомендации

  1. ^ а б Грин, Мэтью (2013-09-20). «RSA предупреждает разработчиков не использовать продукты RSA». Получено 2014-08-23.
  2. ^ Шнайер, Брюс (15 ноября 2007 г.). "Странная история Dual_EC_DRBG". Получено 25 ноября, 2016.
  3. ^ а б Перлрот, Николь (10.09.2013). «Правительство объявляет о шагах по восстановлению доверия к стандартам шифрования». Нью-Йорк Таймс. Получено 2014-08-23.
  4. ^ Болл, Джеймс; Боргер, Джулиан; Гринвальд, Гленн (05.09.2013). «Выявлено: как шпионские агентства США и Великобритании побеждают конфиденциальность и безопасность в Интернете». Хранитель. Получено 2014-08-23.
  5. ^ Менн, Джозеф (20 декабря 2013 г.). «Эксклюзив: секретный контракт, связанный с АНБ и пионером индустрии безопасности». Рейтер. Получено 2014-08-23.
  6. ^ Брюс Шнайер (2007-11-15). «Разве АНБ заложило секретный бэкдор в новый стандарт шифрования?». Проводные новости. Архивировано из оригинал на 2015-11-23. Получено 2014-08-23. Альтернативный URL
  7. ^ Гудин, Дэн (2013-09-20). «Мы не используем бэкдоры в наших криптопродуктах, - сообщает RSA клиентам». Ars Technica. Получено 2014-08-23.
  8. ^ «NIST предлагает комментарии к проекту SP 800-90A, редакция 1». Национальный институт стандартов и технологий. 2014-04-21. Архивировано из оригинал в 2014-07-23. Получено 2014-08-23.
  9. ^ Баркер, Элейн; Келси, Джон (июнь 2015 г.). «Специальная публикация NIST (SP) 800-90A, редакция 1: Рекомендация по генерации случайных чисел с использованием детерминированных генераторов случайных битов» (PDF). Национальный институт стандартов и технологий. Дои:10.6028 / NIST.SP.800-90Ar1. Получено 19 ноября, 2016. Цитировать журнал требует | журнал = (помощь)
  10. ^ а б c d Brown, Daniel R. L .; Гьёстин, Кристиан (15 февраля 2007 г.). «Анализ безопасности генератора случайных чисел с эллиптическими кривыми NIST SP 800-90» (PDF). Получено 19 ноября, 2016.
  11. ^ Schoenmakers, Берри; Сидоренко, Андрей (29 мая 2006 г.). «Криптоанализ генератора псевдослучайных двойных эллиптических кривых» (PDF). Получено 20 ноября, 2016.
  12. ^ а б Кан, Уилсон (4 сентября 2007 г.). «Анализ базовых допущений в NIST DRBG» (PDF). Получено 19 ноября, 2016.
  13. ^ а б Е, Кэтрин Цинру (апрель 2016 г.). "The Notorious PRG: Формальная проверка генератора псевдослучайных чисел HMAC-DRBG" (PDF). Получено 19 ноября, 2016.
  14. ^ а б c d е Кампанья, Мэтью Дж. (1 ноября 2006 г.). «Границы безопасности для детерминированного генератора случайных битов на основе кодовой книги NIST» (PDF). Получено 19 ноября, 2016.

внешняя ссылка