ช่องโหว่ความปลอดภัยโดย NSA ถูกฝังในตัวสร้างเลขสุ่มมาตรฐาน

by lew
11 September 2013 - 10:46

กระบวนการดักฟังข้อความแม้มีการเข้ารหัสของ NSA ยังคงเป็นปริศนาว่า NSA มีความสามารถแค่ไหนบ้าง ล่าสุดหนังสือพิมพ์ The New York Times ระบุว่ามีเอกสารจาก Edward Snowden ระบุว่ามาตรฐาน Dual_EC_DRBG ที่ใช้สร้างเลขสุ่มนั้นมีช่องโหว่ที่รู้เฉพาะ NSA อยู่ และ NSA เป็นผู้ผลักดันมาตรฐานนี้ให้กับ NIST (หน่วยงานด้านมาตรฐานเทคโนโลยีสำหรับหน่วยงานรัฐ) เป็นผู้ประกาศมาตรฐาน

Dual_EC_DRBG นั้นถูกตั้งคำถามมาเป็นเวลานาน นับแต่มันได้รับเข้าเป็นมาตรฐานในปี 2007 เพราะการทำงานที่ซับซ้อน ประสิทธิภาพแย่กว่ากระบวนการอื่นๆ นับพันเท่า และถูกสังเกตุว่ามีความโน้มเอียง (bias) ในค่าสุ่มที่สร้างขึ้นมาเล็กน้อย แต่กระบวนการนี้ยังคงได้รับเลือกเป็นหนึ่งในสี่กระบวนการในมาตรฐานการเข้ารหัสของ NIST

The New York Times ไม่ได้เปิดเอกสารฉบับเต็มให้อ่านเหมือน The Guardian ที่เปิดมาก่อนหน้านี้ แต่อ้างว่ามีข้อความในเอกสารระบุถึงกระบวนการที่ NSA พยายามผลักดัน Dual_EC_DRBG เข้าเป็นมาตรฐาน ทั้ง NIST และ ISO และด้วยกระบวนการบางอย่าง "สุดท้ายแล้ว NSA กลายเป็นผู้เขียนเอกสารเองทั้งหมด"

NIST ระบุว่าจะเปิดมาตรฐาน 800-90 ที่ระบุถึง Dual_EC_DRBG ให้นักรหัสวิทยามาแสดงความเห็นกันอีกครั้ง หากพบปัญหาจะเร่งแก้ไข

ที่มา - The New York Times, Wired (บทความแสดงความเห็นในปี 2007)

Blognone Jobs Premium