Avisene The Guardian og New York Times, samt nettstedet ProPublica beskrev i forrige uke, på grunnlag av dokumenter lekket av Edward Snowdon, hvordan NSA snoker i kryptert nettrafikk.
Dokumentene gjengir blant annet hvordan etterretningstjenesten NSA gikk fram i 2006 for å ta over skrivingen av krypteringsstandard kjent som Dual_EC_DRBG.
Standarden ble publisert av USAs standardiseringsmyndighet NIST, og siden erkjent av den internasjonale standardiseringsorganisasjonen ISO. I dokumentene skryter NSA-folkene av at de til slutt fikk full kontroll over standarden.
Dual_EC_DRBG er en generator av psevdotilfeldige tall. Den brukes til å generere primtall til bruk i kryptering.
Standarden inneholder en eller flere sårbarheter som har fungert som bakdør for NSA. Sårbarhetene gjør det mulig for etterretningstjenesten å dekryptere digitale dokumenter ved å regne seg fram til primtallene som ligger til grunn for krypteringen.
Siden Dual_EC_DRBG er en åpen standard sertifisert av NIST og ISO, brukes den i kommersielle produkter anvendt av personer, bedrifter og organisasjoner verden over for å verne følsom informasjon.
Dual_EC_DRBG er en av flere NIST-sertifiserte standarder for generatorer av psevdotilfeldige tall basert på algoritmen DRBG (Deterministic Random Bit Generator). NIST validerer implementasjoner av DRGB-algoritmen, og offentliggjør en liste over validerte implementasjoner: DRBG Validation List.
Av de 401 validerte implementasjonene på denne listen, dreier 66 seg om Dual_EC_DRBG. Disse er fordelt på 23 ulike selskaper og organisasjoner:
- ARX (Algorithmic Research)
- Blackberry (Research in Motion)
- Catbird Networks
- Certicom Corp
- Cisco
- CoCo Communications
- Cummings Engineering Consultants
- GE Healthcare
- Juniper
- Lancope, Inc
- McAfee
- Microsoft
- Mocana Corporation
- OpenPeak
- OpenSSL Software Foundation
- Panzura
- Riverbed Technology
- RSA Security
- SafeLogic
- SafeNet, Inc
- Samsung
- Symantec
- Thales e-Security
Med andre ord: Spesialister innen IT-sikkerhet som Blackberry, Cisco, Juniper, McAfee, Microsoft, RSA Security, Symantec og Thales, samt stiftelsen OpenSSL, tilbyr alle produkter med mulig bakdør plantet av amerikansk etterretning.
Dual_EC_DRBG ser ut til å være bærende i sikkerhetsløsninger i alle Microsofts Windows-varianter, samt i sikkerhetstilleggene «Cryptography Next Generation» på både server- og klientsiden.
OpenSSL er en svært utbredt implementasjon i åpen kildekode av sikkerhetsprokollene SSL og TLS.
I et blogginnlegg skriver IT-sikkerhetsekspert og professor ved Johns Hopkins University, Matthew Green, at muligheten for NSA-bakdører i Microsoft CrytoAPI og OpenSSL-biblioteket gir størst grunn til bekymring. Han er sjokkert over at NIST har latt seg manipulere og skriver at det vil bli svært vanskelig å gjenopprette tilliten til NIST. (Ledelsen ved Johns Hopkins Universitetet truet Green til å trekke innlegget under påskudd av at det inneholdt lenker til gradert materiale. Innlegget kom tilbake da denne påstanden ble tilbakevist. Ledelsen har bedt om unnskyldning.)
NIST har fått kalde føtter.
I en erklæring om kryptografiske standarder (Cryptographics Standards Statement) heter det at dokumentene Special Publication 800-90A og draft Special Publications 800-90B and 800-90C er på nytt sendt ut til offentlig høring, «for å gi offentligheten en ny mulighet til å se på og kommentere standardene». Disse dokumentene gjelder nettopp Dual_EC_DRBG.
Her forsikres det at NIST aldri kunne tenke seg «bevisst å svekke en kryptografisk standard». Dette løftet gis:
– Skulle det påvises sårbarheter i disse eller andre NIST-standarder, vil vi arbeide med det kryptografiske fellesskapet for å løse problemene så fort som mulig.
I en utvidet september-bulletin går NIST nærmere gjennom hva dette har å si for Dual_EC_DRBG.
Den amerikanske standardiseringsmyndigheten går så langt som å anbefale at Dual_EC_DRBG ikke lenger brukes, «av sikkerhetshensyn».
Man kan undre seg hvordan leverandørene og ikke minst brukerne skal etterkomme denne anbefalingen.
Flere kryptografer uttrykker sin harme over at NIST har forrådt dem ved å la amerikansk etterretning bygge inn sårbarheter i en anbefalt standard.
Spørsmålet er om de virkelig er overrasket.
Utarbeidelsen av standarden for Dual_EC_DRBG foregikk åpent. Selv om få visste at NSA skrev den endelige standarden, var det allment kjent at NSA var representert i komiteen, og at deres representanter var svært aktive. Det er også kjent at mange amerikanske kryptografer var urolige over denne bindingen.
På en IT-sikkerhetskonferanse i 2007 holdt to eksperter fra Microsoft, Dan Shumow og Niels Ferguson, en presentasjon der temaet var en mulig bakdør i det som siden ble hetende Dual_EC_DRBG: On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng.
Shumow og Ferguson understreket at de ikke beskyldte NIST for bevisst å ha plantet en bakdør i den aktuelle generatoren av psevdo-tilfeldige tall. Det de påpekte var at den som designet algoritmen kunne ha lagt inn en mulighet for å regne seg tilbake til hvilke primtall som ble lagt til grunn for en bestemt kryptering.
Utover det, var det ingen som tok affære.
Les også:
- [02.04.2014] Nok et NSA-bidrag til svak krypto
- [23.12.2013] Kryptoselskap bestukket av NSA?
- [01.10.2013] – Informasjon om nettbruk lagres i ett år
- [06.09.2013] NSA snoker i kryptert nettrafikk