PS:翻訳は目新しさで輝きませんが、おそらく聴衆の一部にとって何か新しいことを学ぶのに役立つでしょう。
NSAは、多くの場合、アルゴリズムおよび暗号化システムのバックドアの開発が疑われています。 最も深刻な主張は、ランダムシーケンスジェネレーターの公式NIST標準のリリース後、2007年11月にNSAによって提示されました。
ほとんどすべての暗号化アルゴリズムは、乱数を使用して暗号化されたメッセージを生成することに基づいています。 最新の暗号化では、暗号化キーの初期化から始めて、多くの目的で乱数を使用します。 したがって、生成されるランダムシーケンスの品質は非常に重要です。 攻撃者がメッセージのエンコードに使用された乱数ジェネレーターを危険にさらす(ランダムシーケンスを予測する)ことができる場合、攻撃者は暗号化されたメッセージをデコードできます。
ランダムシーケンスジェネレーターの開発は非常に難しいタスクです。 暗号に対する多くの攻撃は、本質的にこれらのジェネレータに対する攻撃です。 NISTは、NIST Special Publication 800-90標準を開発しました。この標準では、さまざまな活動分野での使用が推奨される暗号耐性のあるランダムシーケンスを取得するためのさまざまな手法について説明しています。 ソフトウェアおよびハードウェアの多くの開発者は、この標準を暗号化アルゴリズムの実装の基礎として採用しています( 翻訳者のメモ:この標準はハブでもカバーされていました )。
この規格は、さまざまな暗号プリミティブに基づいて、「真にランダムなビットジェネレーター」(確定的ランダムビットジェネレーター-DRBG)に4つの異なる手法を提供します。
- ハッシュ関数に基づく;
- ハッシュメッセージ認証コード(HMAC)に基づく;
- ブロック暗号に基づく;
- 楕円曲線に基づいています。
この標準の疑問は、楕円曲線に基づく乱数ジェネレーターDUAL_EC_DRBGが原因でした。 最初の問題は、Daniel BrownとKristian GjosteenがDUAL_EC_DRBGが小さなオフセットで乱数を生成することを示した2006年に発見されました。 2007年、CRYPTOカンファレンスで、Dan ShumowとNiels Fergusonは、このジェネレーターの脆弱性を示しました。これらは意図的に放棄されたバックドアと見なされました。 彼らは、このジェネレーターで使用される定数がいくつかの秘密の数字セットと相互接続されており、その結果、このセットの所有者がジェネレーターの発行を予測し、それを使用して暗号化されたメッセージのコンテンツにアクセスできることを実証しました。
そして、NSAはどうですか? NSAは、暗号化分野の国家的専門家としてNISTと協力しています。 DUAL_EC_DRBGは、ランダムシーケンスを取得するための提案された方法の中で最も低速です。 多くの人は、なぜこのジェネレーターが標準に含まれているのかという質問に興味がありました。 Bruce Schneierは、NSAがこのジェネレーターを標準に含めるためのイニシエーターであり、主要なロビイストであると説明しました。 シュナイアーは結論を出しませんでしたが、NSAが暗号化されたメッセージの内容を受信できるようにしたいと示唆しました。口実のないDual_EC_DRBG NIST SP 800-90に従う場合は、CTR_DRBGまたはHash_DRBGを使用してください。