Dừng sử dụng mã bị NSA tác động trong các sản phẩm của bạn, RSA nói cho các khách hàng
- Thứ năm - 26/09/2013 05:07
- In ra
- Đóng cửa sổ này
Stop using NSA-influenced code in our products, RSA tells customers
“Các khuyến cáo mạnh mẽ” khẳng định các khách hàng dừng sử dụng RNG được cho là có chứa cửa hậu của Cơ quan An ninh Quốc gia Mỹ (NSA).
Firm "strongly recommends" customers stop using RNG reported to contain NSA backdoor.
by Dan Goodin - Sept 20 2013, 6:43am ICT
Bài được đưa lên Internet ngày: 20/09/2013
Lời người dịch: Các trích đoạn: ““Các khuyến cáo mạnh mẽ” khẳng định các khách hàng dừng sử dụng RNG được cho là có chứa cửa hậu của Cơ quan An ninh Quốc gia Mỹ (NSA)”. “Các quan chức từ RSA Security đang tư vấn cho các khách hàng bộ công cụ BSAFE và trình Quản lý Bảo vệ Dữ liệu (Data Protection Manager) để dừng sử dụng một thành phần mật mã sống còn trong các sản phẩm mà gần đây đã được phát hiện có chứa một cửa hậu được Cơ quan An ninh Quốc gia - NSA thiết kế”. Đó chính là đặc tả của Dual EC_DRBG khi tạo các khóa mật mã. “Đặc tả đó, đã được phê chuẩn năm 2006 từ Viện Tiêu chuẩn và Công nghệ Quốc gia - NIST và sau đó là Tổ chức Tiêu chuẩn hóa Quốc tế – ISO, có chứa một cửa hậu mà đã bị NSA chèn vào, tờ New York Times nêu tuần trước”. “Sẽ mất thời gian cho mọi người để loại bỏ tất cả các sản phẩm sử dụng Dual_EC_DRBG, đặc biệt khi mà RNG là duy nhất và mặc định”. Không biết ở Việt Nam thì thế nào nhỉ? Xem thêm: 'Chương trình gián điệp PRISM trên không gian mạng'.
Các quan chức từ RSA Security đang tư vấn cho các khách hàng bộ công cụ BSAFE và trình Quản lý Bảo vệ Dữ liệu (Data Protection Manager) để dừng sử dụng một thành phần mật mã sống còn trong các sản phẩm mà gần đây đã được phát hiện có chứa một cửa hậu được Cơ quan An ninh Quốc gia - NSA thiết kế.
Một sự tư vấn được gửi đi để lựa chọn các khách hàng của RSA hôm thứ 5 khẳng định rằng các sản phẩm mặc định sử dụng thứ gì đó được biết tới như là Dual EC_DRBG khi tạo các khóa mật mã. Đặc tả đó, đã được phê chuẩn năm 2006 từ Viện Tiêu chuẩn và Công nghệ Quốc gia - NIST và sau đó là Tổ chức Tiêu chuẩn hóa Quốc tế – ISO, có chứa một cửa hậu mà đã bị NSA chèn vào, tờ New York Times nêu tuần trước. Tư vấn của RSA tới 24 giờ sau khi Ars đã yêu cầu công ty này liệu công ty có ý định cảnh báo cho các khách hàng BSAFE về sự đánh què cố tình bộ sinh số ngẫu nhiên giả tạo – PRNG, mà nó quá yếu và vì thế làm xói mòn an ninh của hầu hết hoặc tất cả các hệ thống mật mã sử dụng nó.
“Để đảm bảo mức độ cao bảo an trong ứng dụng của họ, RSA mạnh mẽ khuyến cáo rằng các khách hàng thôi sử dụng Dual EC DRBG và chuyển sang một PRNG khác”, tư vấn RSA nêu. “Chỉ dẫn kỹ thuật, bao gồm cách để thay đổi PRNG mặc định trong hầu hết các thư viện, là sẵn sàng trong hầu hết các tài liệu sản phẩm hiện hành” trên các website của RSA.
Thư viện BSAFE được sử dụng để triển khai các hàm mật mã trong các sản phẩm, bao gồm ít nhất vài phiên bản của Trung tâm Kiểm soát Chuyên nghiệp Tường lửa McAfee (McAfee Firewall Enterprise Control Center), theo các chứng nhận của NIST. Trình quản lý Bảo vệ Dữ liệu RSA – RDPM được sử dụng để quản lý các khóa mật mã. Sự khẳng định rằng cả 2 sử dụng RNG có cửa hậu có nghĩa lả một số lượng không được nêu các sản phẩm của các bên thứ 3 có thể bị bỏ qua không chỉ bởi các cơ quan tình báo tiên tiến, mà có khả năng bởi các kẻ địch khác mà có các tài nguyên để triển khai các cuộc tấn công mà sử dụng phần cứng được thiết kế đặc biệt để nhanh chóng xoay vòng dù các khóa có khả năng cho tới khi được sửa lỗi được đoán chừng.
Các đại diện của McAfee đã đưa ra một tuyên bố khẳng định Trung tâm Kiểm soát Chuyên nghiệp Tường lửa McAfee 5.3.1 đã hỗ trợ cho Dual_EC_DRBG, nhưng chỉ khi được triển khai trong chính phủ liên bang hoặc các môi trường khách hàng các nhà thầu chính phủ, nơi mà chứng thực FIPS này đã khuyến cáo nó. Sản phẩm sử dụng bộ sinh số ngẫu nhiên mới hơn SHA1 PRNG trong tất cả các thiết lập.
Trang chứng thực của NIST liệt kê hàng tá các sản phẩm cũng sử dụng RNG yếu. Hầu hết chúng dường như là các sản phẩm một lần. Quan trọng hơn là sự ôm lấy BSAFE như là RNG mặc định, vì công cụ đó có khả năng đẻ ra một số lượng lớn các hệ thống mật mã phái sinh mà dễ bị tổn thương cao đang bị gãy vỡ.
Bắt đầu …
Từ đầu, Dual EC_DRBG, nói tắt cho Dual Elliptic Curve Deterministic Random Bit Generator - đã đánh vào một số nhà mật mã học như một sự lựa chọn kỳ lạ cho 1 trong những RNG được NIST phê chuẩn. Theo nghĩa đen nó là hàng trăm lần chậm hơn so với các RNG điển hình và cơ sở của nó trong toán học “logarithm phân tán” từng không bình thường cao độ trong các môi trường sản xuất.
“Cá nhân tôi tin tưởng rằng nó từng là dự án yêu thích của vài nhà mật mã học lý thuyết”, một nhà mật mã học đã yêu cầu dấu tên đã nói cho Ars. “Tôi đã mường tượng một nhà toán học, bực mình vì thiếu nền tảng lý thuyết trong tạo số ngẫu nhiên, đuổi theo con đường của họ trong một tiêu chuẩn của NIST”.
Một năm sau khi NIST phê chuẩn RNG như là một tiêu chuẩn, 2 nhà nghiên cứu của Microsoft đã nghĩ ra một cuộc tấn công mà đã cho phép các kẻ địch đoán được bất kỳ khóa nào được tạo ra với RNG với khá ít công việc.
Giáo sư của đại học Johns Hopkins là Matt Green đã tính lại sự hỏng hóc đó và một loạt tính chất riêng biệt xung quanh sự ôm lấy Dual_EC_DRBG trong một phân tích kỹ thuật được xuất bản hôm thứ tư. Trong số chúng, khi Dual_EC_RNG được áp dụng, nó đã không có bằng chứng có an ninh.
“Trong quá trình đề xuất phức tạp này và làm chậm PRG mới nơi mà chỉ lý do bạn chưa từng bao giờ sử dụng thứ mà là cho sự giảm an ninh của nó, NIST đã quên cung cấp điều đó”, Green viết. “Điều này giống như việc bán cho ai đó một chiếc Mercedes và quên đưa vào sự trang hoàng mũ chùm đầu”.
Trong một thư điện tử, Lãnh đạo Công nghệ RSA Sam Curry đã bảo vệ qui trình ra quyết định mà đi tới việc làm cho RNG thành cách mặc định cho BSAFE và trình Quản lý Bảo vệ Dữ liệu để sinh các khóa.
“Độ dài thời gian mà Dual_EC_DRBG trải qua có thể thấy như là tốt: nó cũng làm chậm lại một kẻ tấn công cố đoán được lõi”, ông viết. Ông tiếp tục:
Nhiều hàm mật mã khác (PBKDF2, bcrypt, scrypt) sẽ nhắc đi nhắc lại hàm băm 1.000 lần đặc biệt để làm cho nó chậm hơn. Cùng lúc, các đường cong elip theo lệ thường và RNG dựa vào hàm băm đó đang bị soi xét kỹ. Hy vọng là các kỹ thuật đường cong elip - dựa vào khi chúng là về lý thuyết số - có thể không chịu nhiều điểm yếu y hệt như với các kỹ thuật khác (như bộ sinh FIPS 186 SHA-1) mà đã được thấy là tiêu cực, và Dual_EC_DRBG đòi hỏi các tính năng mới như kiểm thử tiếp tục đầu ra, bắt buộc tạo lại nhân, sức đề kháng đoán trước dược tùy ý và khả năng thiết lập cấu hình cho các sức mạnh khác.
Sẽ mất thời gian cho mọi người để loại bỏ tất cả các sản phẩm sử dụng Dual_EC_DRBG, đặc biệt khi mà RNG là duy nhất và mặc định. Các độc giả mà biết được những thứ khác được mời để lại thông tin trong bình luận cho bài viết này.
Officials f-rom RSA Security are advising customers of the company's BSAFE toolkit and Data Protection Manager to stop using a crucial cryptography component in the products that was recently revealed to contain a backdoor engineered by the National Security Agency.
An advisory sent to se-lect RSA customers on Thursday confirms that both products by default use something known as Dual EC_DRBG when creating cryptographic keys. The specification, which was approved in 2006 by the National Institute of Standards and Technology (NIST) and later by the International Organization for Standardization, contains a backdoor that was in-serted by the NSA, the New York Times reported last week. RSA's advisory came 24 hours after Ars asked the company if it intended to warn BSAFE customers about the deliberately crippled pseudo random number generator (PRNG), which is so weak that it undermines the security of most or all cryptography systems that use it.
"To ensure a high level of assurance in their application, RSA strongly recommends that customers discontinue use of Dual EC DRBG and move to a different PRNG," the RSA advisory stated. "Technical guidance, including how to change the default PRNG in most libraries, is available in the most current product documentation" on RSA's websites.
The BSAFE library is used to implement cryptographic functions into products, including at least some versions of the McAfee Firewall Enterprise Control Center, according to NIST certifications. The RSA Data Protection Manager is used to manage cryptographic keys. Confirmation that both use the backdoored RNG means that an untold number of third-party products may be bypassed not only by advanced intelligence agencies, but possibly by other adversaries who have the resources to carry out attacks that use specially designed hardware to quickly cycle though possible keys until the correct one is guessed.
McAfee representatives issued a statement that confirmed the McAfee Firewall Enterprise Control Center 5.3.1 supported the Dual_EC_DRBG, but only when deployed in federal government or government contractor customer environments, whe-re this FIPS certification has recommended it. The product uses the newer SHA1 PRNG random number generator in all other settings.
The NIST certification page lists dozens of other products that also use the weak RNG. Most of those appear to be one-off products. More significant is the embrace of BSAFE as the default RNG, because the tool has the ability to spawn a large number of derivative crypto systems that are highly susceptible to being broken.
In the beginning ...
F-rom the beginning, Dual EC_DRBG—short for Dual Elliptic Curve Deterministic Random Bit Generator—struck some cryptographers as an odd choice for one of NIST's officially sanctioned RNGs. It was literally hundreds of times slower than typical RNGs and its basis in "discrete logarithm" mathematics was highly unusual in production environments.
"I personally believed that it was some theoretical cryptographer's pet project," one cryptographer who asked not to be named told Ars. "I envisioned a mathematician, annoyed at the lack of theoretical foundation in random number generation, badgering their way into a NIST standard."
A year after NIST approved the RNG as a standard, two Microsoft researchers devised an attack that allowed adversaries to guess any key cre-ated with the RNG with relatively little work.
Johns Hopkins professor Matt Green recounts that failing and a wealth of other peculiarities surrounding the embrace of Dual_EC_DRBG in an exhaustive technical analysis published Wednesday. Among them, when Dual_EC_RNG was adopted, was that it had no security proof.
"In the course of proposing this complex and slow new PRG whe-re the only frigging reason you'd ever use the thing is for its security reduction, NIST forgot to provide one," Green wrote. "This is like selling someone a Mercedes and forgetting to include the hood ornament."
In an e-mail, RSA Chief Technology Sam Curry defended the decision-making process that went into making the RNG the default way for BSAFE and Data Protection Manager to generate keys.
"The length of time that Dual_EC_DRBG takes can be seen as a virtue: it also slows down an attacker trying to guess the seed," he wrote. He continued:
Plenty of other crypto functions (PBKDF2, bcrypt, scrypt) will iterate a hash 1000 times specifically to make it slower. At the time, elliptic curves were in vogue and hash-based RNG was under scrutiny. The hope was that elliptic curve techniques—based as they are on number theory—would not suffer many of the same weaknesses as other techniques (like the FIPS 186 SHA-1 generator) that were seen as negative, and Dual_EC_DRBG was an accepted and publicly scrutinized standard. SP800-90 (which defines Dual EC DRBG) requires new features like continuous testing of the output, mandatory re-seeding, optional prediction resistance and the ability to configure for different strengths.
It will take time for people to ferret out all the products that use Dual_EC_DRBG, particularly as the sole or default RNG. Readers who know of others are invited to leave that information in a comment to this post.
Dịch: Lê Trung Nghĩa