www.wikidata.de-de.nina.az

Dual EC DRBG englisch Dual Elliptic Curve Deterministic Random Bit Generator ist ein von der National Security Agency en

Dual_EC_DRBG

Dual_EC_DRBG (englisch Dual Elliptic Curve Deterministic Random Bit Generator) ist ein von der National Security Agency entwickelter und veröffentlichter kryptographisch sicherer Zufallszahlengenerator (PRNG). Trotz öffentlicher Kritik war das Verfahren eines von vier (jetzt drei) in der NIST Special Publication 800-90 standardisierten PRNGs.

Kurz nach der Publikation durch das NIST im Jahr 2007 wurden Vermutungen laut, der Algorithmus enthalte eine kleptographische Backdoor. Im Zuge der Enthüllungen von Edward Snowden wurden 2013 Dokumente bekannt, die weithin als Beleg für eine von der NSA bewusst eingebaute Backdoor betrachtet werden.

Sicherheit Bearbeiten

Der Grund für die Aufnahme von Dual_EC_DRBG in den Standard war, dass sich seine Sicherheit auf ein schwieriges zahlentheoretisches Problem, das Decisional-Diffie-Hellman-Problem (DDH) in der verwendeten elliptischen Kurve reduzieren lässt. Das dadurch gewonnene zusätzliche Vertrauen in die Sicherheit des Verfahrens kann in manchen Fällen den Geschwindigkeitsverlust von drei Größenordnungen gegenüber den anderen drei standardisierten Verfahren rechtfertigen. Unter der Annahme, dass DDH ein schwieriges Problem ist, sind die vom Verfahren erzeugten Zwischenwerte, eine Folge von Punkten auf der elliptischen Kurve, ununterscheidbar von einer Folge zufälliger Punkte.

Nach der Veröffentlichung des Standards fanden Forscher zwei Sicherheitsprobleme:

  • Die Bitfolge, die aus der Punktfolge erzeugt wird, kann für manche Parameter von einer gleichverteilt zufälligen Bitfolge unterschieden werden. Damit ist der PRNG für eine Anwendung als Stromchiffre und für weitere Anwendungen ungeeignet.
  • Die Sicherheit des PRNG basiert auf der Annahme, dass das DDH-Problem schwierig ist. Für die von NIST empfohlene Kurve besteht aber die Möglichkeit, dass die Parameter der Kurve ausgehend von weiteren Werten gewählt wurden, die das Lösen dieses Problems wesentlich erleichtern (siehe den nächsten Abschnitt).

Kontroverse Bearbeiten

Im August 2007 warnten die damaligen Microsoft-Mitarbeiter Dan Shumow und Niels Ferguson, dass der Algorithmus eine Schwäche aufweist, die als Backdoor ausgenutzt werden kann. PRNGs sind ein vielfach genutztes kryptographisches Primitiv, und diese Schwäche kann ausgenutzt werden, um jedes kryptographische Verfahren, das auf Dual EC beruht, zu brechen.

Tanja Lange und Daniel Bernstein fanden 2013 die erste Beschreibung der Hintertür – ausdrücklich gegen das TLS-Protokoll gerichtet – in einer vorläufigen Patentanmeldung der Firma Certicom vom 21. Januar 2005.

Auf der im Standard definierten Kurve ist ein Punkt P vorgegeben, der die zyklische Gruppe erzeugt. Zusätzlich ist ein Punkt Q definiert. Da die Gruppe zyklisch ist, existiert eine Zahl d, mit Q = dP, der diskrete Logarithmus von Q zur Basis P in der hier additiv geschriebenen Gruppe. Shumow und Ferguson konnten zeigen, dass die Kenntnis von d es einem Angreifer erlauben würde, das Verfahren zu brechen. Es ist nicht klar, wie diese Konstanten P und Q gewählt wurden. Wenn Q echt zufällig gewählt wurde, ist es praktisch unmöglich, d zu berechnen. Es besteht jedoch die Möglichkeit, dass P und d gewählt wurden und Q = dP berechnet wurde. In diesem Fall könnte derjenige, der die beiden Punkte wählte, jede Instanz des PRNG auf dieser Kurve brechen. Da es sich bei den Punkten nicht um unverdächtige Konstanten handelt, kann eine Hintertür nicht ausgeschlossen werden. Im Anhang A des Standards ist allerdings eine Methode definiert, wie eine eigene Kurve mit selbstgewählten Konstanten erzeugt werden kann.

Im Zuge der Enthüllungen des Whistleblowers Edward Snowden berichteten New York Times und Guardian im September 2013 über geheime Dokumente, denen zufolge die NSA als Teil des Projekts „Bullrun“ Verschlüsselungsverfahren geschwächt hat. Laut Beschreibung der New York Times soll unter anderem ein NIST-Standard aus 2006, in dem zwei Microsoft-Kryptographen 2007 eine schwere Schwachstelle entdeckt hätten, Teil des Projekts sein. Der Bericht wird weitgehend als Bestätigung einer Backdoor in Dual_EC_DRBG gewertet.

Mitte September 2013 veröffentlichte das Unternehmen RSA Security, unter anderem Anbieter der Kryptografie-Programmbibliothek RSA BSafe und des Authentifizierungssystem SecurID, eine Empfehlung an Entwickler die mit ihren Programmbibliotheken arbeiten, den darin als Standard enthaltenen Dual_EC_DRBG nicht weiter zu verwenden und stattdessen einen anderen Zufallszahlengenerator einzusetzen. Betroffen davon sind alle Anwendungen, die auf RSA BSafe zurückgreifen. Laut einem Bericht von Reuters hatte RSA Security von der NSA 10 Millionen US-Dollar erhalten, um das Verfahren als Standard in BSafe zu verwenden.

Als Reaktion auf die Kontroverse unterzog das NIST Dual_EC_DRBG einer neuen Überprüfung und entschied schließlich, das Verfahren aus dem Standard zu entfernen. Am 21. April 2014 veröffentlichte das NIST einen Entwurf für eine überarbeitete Version des Standards SP 800-90A, die Dual_EC_DRBG nicht mehr enthält.

Sicherheitslücke in Juniper ScreenOS Bearbeiten

Im Dezember 2015 gab der Netzwerkausrüster Juniper bekannt, in seinem Betriebssystem ScreenOS „unauthorisierten Code“ entdeckt zu haben. Dies steht in Zusammenhang mit Dual_EC_DRBG: Laut Analysen unabhängiger Sicherheitsforscher sollten mittels Dual_EC_DRBG erzeugte Zufallszahlen eigentlich durch einen weiteren Zufallszahlengenerator weiterverarbeitet werden, was jedoch durch einen (absichtlichen oder unabsichtlichen) Programmierfehler verhindert wurde. Dadurch wurden die mit dem Verfahren erzeugten Zufallszahlen direkt verwendet, was aufgrund von dessen Schwäche einer Backdoor gleichkommt.

Im Jahr 2012 tauschten unbekannte Angreifer den Parameter Q im ScreenOS-Quellcode aus, wodurch sie prinzipiell die Schwachstelle in Dual_EC_DRBG ausnutzen konnten. Es handelte sich also um einen Supply-Chain-Angriff gegen Kunden von Juniper. Dabei wurde eine vorhandene Backdoor angepasst, um eine neue Backdoor zu erzeugen.

Einzelnachweise Bearbeiten

  1. National Institute of Standards and Technology (Hrsg.): NIST SP 800-90: Recommendations for Random Number Generation Using Deterministic Random Bit Generators (Revised). 2007 (nist.gov [PDF]).
  2. Bruce Schneier: Did NSA Put a Secret Backdoor in New Encryption Standard? Wired, 15. November 2007, abgerufen am 9. Oktober 2011 (englisch).
  3. Nicole Perlroth: Government Announces Steps to Restore Confidence on Encryption Standards. In: New York Times Bits Blog. 10. September 2013, abgerufen am 18. Oktober 2023.
  4. Daniel J. Bernstein, Tanja Lange, Ruben Niederhagen: Dual EC: A Standardized Back Door. In: Peter Y. A. Ryan, David Naccache, Jean-Jacques Quisquater (Hrsg.): The New Codebreakers. Lecture Notes in Computer Science. Band 9100. Springer, Berlin/Heidelberg 18. März 2016, doi:10.1007/978-3-662-49301-4_17.
  5. Matthew Green: The strange story of “Extended Random”. In: A Few Thoughts on Cryptographic Engineering. 19. Dezember 2017, abgerufen am 18. Oktober 2023.
  6. Kristian Gjøsteen: Comments on Dual-EC-DRBG/NIST SP 800-90. 2006 (ntnu.no [PDF]). (Memento vom 25. Mai 2011 im Internet Archive)
  7. Daniel R. L. Brown: Conjectured Security of the ANSI-NIST Elliptic Curve RNG. 2006 (iacr.org).
  8. Daniel R. L. Brown and Kristian Gjøsteen: A Security Analysis of the NIST SP 800-90 Elliptic Curve Random Number Generator. In: CRYPTO 2007. Band 4622. Springer, 2007, S. 466–481, doi:10.1007/978-3-540-74143-5_26 (iacr.org).
  9. Berry Schoenmakers und Andrey Sidorenko: Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator. 2006 (iacr.org).
  10. Dan Shumow und Niels Ferguson: On the Possibility of a Back Door in the NIST SP800-90 Dual EC PRNG. In: CRYPTO Rump Session 2007. 2007 (yp.to [PDF]).
  11. http://www.golem.de/news/dual-ec-das-patent-auf-die-nsa-hintertuer-1406-107219.html
  12. Matthew Green: The Many Flaws of Dual_EC_DRBG
  13. Aris Adamantiadis: Dual_Ec_Drbg backdoor: a proof of concept, 28. April 2014.
  14. Nicole Perlroth, Jeff Larson, Scott Shane: N.S.A. Able to Foil Basic Safeguards of Privacy on Web. In: New York Times. 5. September 2013, abgerufen am 18. Oktober 2023.
  15. James Ball, Julian Borger, Glenn Greenwald: Revealed: how US and UK spy agencies defeat internet privacy and security. In: The Guardian. 6. September 2013, abgerufen am 18. Oktober 2023.
  16. Wired: RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm, 19. September 2013.
  17. Zeit Online: NSA hackt Kryptografie: Sicherheitsfirma RSA warnt vor sich selbst, 20. September 2013.
  18. Joseph Menn: Exclusive: Secret contract tied NSA and security industry pioneer. In: Reuters. 20. Dezember 2013, abgerufen am 18. Oktober 2023.
  19. (Memento vom 23. Juli 2014 im Internet Archive)
  20. Derrick Scholl: Important Announcement about ScreenOS®. 17. Dezember 2015, abgerufen am 18. Oktober 2023.
  21. Matthew Green: On the Juniper backdoor. In: A Few Thoughts on Cryptographic Engineering. 22. Dezember 2015, abgerufen am 18. Oktober 2023.
  22. Stephen Checkoway, Jacob Maskiewicz, Christina Garman, Joshua Fried, Shaanan Cohney, Matthew Green, Nadia Heninger, Ralf-Philipp Weinmann, Eric Rescorla, Hovav Shacham: A Systematic Analysis of the Juniper Dual EC Incident. In: Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security. ACM, Wien 24. Oktober 2016, doi:10.1145/2976749.2978395.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Dual EC DRBG englisch Dual Elliptic Curve Deterministic Random Bit Generator ist ein von der National Security Agency entwickelter und veroffentlichter kryptographisch sicherer Zufallszahlengenerator PRNG Trotz offentlicher Kritik war das Verfahren eines von vier jetzt drei in der NIST Special Publication 800 90 standardisierten PRNGs 1 Kurz nach der Publikation durch das NIST im Jahr 2007 wurden Vermutungen laut der Algorithmus enthalte eine kleptographische Backdoor 2 Im Zuge der Enthullungen von Edward Snowden wurden 2013 Dokumente bekannt die weithin als Beleg fur eine von der NSA bewusst eingebaute Backdoor betrachtet werden 3 4 5 Inhaltsverzeichnis 1 Sicherheit 2 Kontroverse 3 Sicherheitslucke in Juniper ScreenOS 4 EinzelnachweiseSicherheit BearbeitenDer Grund fur die Aufnahme von Dual EC DRBG in den Standard war dass sich seine Sicherheit auf ein schwieriges zahlentheoretisches Problem das Decisional Diffie Hellman Problem DDH in der verwendeten elliptischen Kurve reduzieren lasst Das dadurch gewonnene zusatzliche Vertrauen in die Sicherheit des Verfahrens kann in manchen Fallen den Geschwindigkeitsverlust von drei Grossenordnungen gegenuber den anderen drei standardisierten Verfahren 2 rechtfertigen Unter der Annahme dass DDH ein schwieriges Problem ist sind die vom Verfahren erzeugten Zwischenwerte eine Folge von Punkten auf der elliptischen Kurve ununterscheidbar von einer Folge zufalliger Punkte 6 7 8 Nach der Veroffentlichung des Standards fanden Forscher zwei Sicherheitsprobleme Die Bitfolge die aus der Punktfolge erzeugt wird kann fur manche Parameter von einer gleichverteilt zufalligen Bitfolge unterschieden werden Damit ist der PRNG fur eine Anwendung als Stromchiffre und fur weitere Anwendungen ungeeignet 6 8 9 Die Sicherheit des PRNG basiert auf der Annahme dass das DDH Problem schwierig ist Fur die von NIST empfohlene Kurve besteht aber die Moglichkeit dass die Parameter der Kurve ausgehend von weiteren Werten gewahlt wurden die das Losen dieses Problems wesentlich erleichtern siehe den nachsten Abschnitt Kontroverse BearbeitenIm August 2007 warnten die damaligen Microsoft Mitarbeiter Dan Shumow und Niels Ferguson dass der Algorithmus eine Schwache aufweist die als Backdoor ausgenutzt werden kann 10 PRNGs sind ein vielfach genutztes kryptographisches Primitiv und diese Schwache kann ausgenutzt werden um jedes kryptographische Verfahren das auf Dual EC beruht zu brechen Tanja Lange und Daniel Bernstein fanden 2013 die erste Beschreibung der Hintertur ausdrucklich gegen das TLS Protokoll gerichtet in einer vorlaufigen Patentanmeldung der Firma Certicom vom 21 Januar 2005 11 Auf der im Standard definierten Kurve ist ein Punkt P vorgegeben der die zyklische Gruppe erzeugt Zusatzlich ist ein Punkt Q definiert Da die Gruppe zyklisch ist existiert eine Zahl d mit Q dP der diskrete Logarithmus von Q zur Basis P in der hier additiv geschriebenen Gruppe Shumow und Ferguson konnten zeigen dass die Kenntnis von d es einem Angreifer erlauben wurde das Verfahren zu brechen Es ist nicht klar wie diese Konstanten P und Q gewahlt wurden Wenn Q echt zufallig gewahlt wurde ist es praktisch unmoglich d zu berechnen Es besteht jedoch die Moglichkeit dass P und d gewahlt wurden und Q dP berechnet wurde In diesem Fall konnte derjenige der die beiden Punkte wahlte jede Instanz des PRNG auf dieser Kurve brechen 12 13 Da es sich bei den Punkten nicht um unverdachtige Konstanten handelt kann eine Hintertur nicht ausgeschlossen werden Im Anhang A des Standards ist allerdings eine Methode definiert wie eine eigene Kurve mit selbstgewahlten Konstanten erzeugt werden kann Im Zuge der Enthullungen des Whistleblowers Edward Snowden berichteten New York Times und Guardian im September 2013 uber geheime Dokumente denen zufolge die NSA als Teil des Projekts Bullrun Verschlusselungsverfahren geschwacht hat 14 15 Laut Beschreibung der New York Times soll unter anderem ein NIST Standard aus 2006 in dem zwei Microsoft Kryptographen 2007 eine schwere Schwachstelle entdeckt hatten Teil des Projekts sein Der Bericht wird weitgehend als Bestatigung einer Backdoor in Dual EC DRBG gewertet 3 4 5 Mitte September 2013 veroffentlichte das Unternehmen RSA Security unter anderem Anbieter der Kryptografie Programmbibliothek RSA BSafe und des Authentifizierungssystem SecurID eine Empfehlung an Entwickler die mit ihren Programmbibliotheken arbeiten den darin als Standard enthaltenen Dual EC DRBG nicht weiter zu verwenden und stattdessen einen anderen Zufallszahlengenerator einzusetzen Betroffen davon sind alle Anwendungen die auf RSA BSafe zuruckgreifen 16 17 Laut einem Bericht von Reuters hatte RSA Security von der NSA 10 Millionen US Dollar erhalten um das Verfahren als Standard in BSafe zu verwenden 18 Als Reaktion auf die Kontroverse unterzog das NIST Dual EC DRBG einer neuen Uberprufung und entschied schliesslich das Verfahren aus dem Standard zu entfernen Am 21 April 2014 veroffentlichte das NIST einen Entwurf fur eine uberarbeitete Version des Standards SP 800 90A die Dual EC DRBG nicht mehr enthalt 19 Sicherheitslucke in Juniper ScreenOS BearbeitenIm Dezember 2015 gab der Netzwerkausruster Juniper bekannt in seinem Betriebssystem ScreenOS unauthorisierten Code entdeckt zu haben 20 Dies steht in Zusammenhang mit Dual EC DRBG Laut Analysen unabhangiger Sicherheitsforscher 21 22 sollten mittels Dual EC DRBG erzeugte Zufallszahlen eigentlich durch einen weiteren Zufallszahlengenerator weiterverarbeitet werden was jedoch durch einen absichtlichen oder unabsichtlichen Programmierfehler verhindert wurde Dadurch wurden die mit dem Verfahren erzeugten Zufallszahlen direkt verwendet was aufgrund von dessen Schwache einer Backdoor gleichkommt Im Jahr 2012 tauschten unbekannte Angreifer den Parameter Q im ScreenOS Quellcode aus wodurch sie prinzipiell die Schwachstelle in Dual EC DRBG ausnutzen konnten 21 Es handelte sich also um einen Supply Chain Angriff gegen Kunden von Juniper Dabei wurde eine vorhandene Backdoor angepasst um eine neue Backdoor zu erzeugen Einzelnachweise Bearbeiten National Institute of Standards and Technology Hrsg NIST SP 800 90 Recommendations for Random Number Generation Using Deterministic Random Bit Generators Revised 2007 nist gov PDF a b Bruce Schneier Did NSA Put a Secret Backdoor in New Encryption Standard Wired 15 November 2007 abgerufen am 9 Oktober 2011 englisch a b Nicole Perlroth Government Announces Steps to Restore Confidence on Encryption Standards In New York Times Bits Blog 10 September 2013 abgerufen am 18 Oktober 2023 a b Daniel J Bernstein Tanja Lange Ruben Niederhagen Dual EC A Standardized Back Door In Peter Y A Ryan David Naccache Jean Jacques Quisquater Hrsg The New Codebreakers Lecture Notes in Computer Science Band 9100 Springer Berlin Heidelberg 18 Marz 2016 doi 10 1007 978 3 662 49301 4 17 a b Matthew Green The strange story of Extended Random In A Few Thoughts on Cryptographic Engineering 19 Dezember 2017 abgerufen am 18 Oktober 2023 a b Kristian Gjosteen Comments on Dual EC DRBG NIST SP 800 90 2006 ntnu no PDF Comments on Dual EC DRBG NIST SP 800 90 Memento vom 25 Mai 2011 im Internet Archive Daniel R L Brown Conjectured Security of the ANSI NIST Elliptic Curve RNG 2006 iacr org a b Daniel R L Brown and Kristian Gjosteen A Security Analysis of the NIST SP 800 90 Elliptic Curve Random Number Generator In CRYPTO 2007 Band 4622 Springer 2007 S 466 481 doi 10 1007 978 3 540 74143 5 26 iacr org Berry Schoenmakers und Andrey Sidorenko Cryptanalysis of the Dual Elliptic Curve Pseudorandom Generator 2006 iacr org Dan Shumow und Niels Ferguson On the Possibility of a Back Door in the NIST SP800 90 Dual EC PRNG In CRYPTO Rump Session 2007 2007 yp to PDF http www golem de news dual ec das patent auf die nsa hintertuer 1406 107219 html Matthew Green The Many Flaws of Dual EC DRBG Aris Adamantiadis Dual Ec Drbg backdoor a proof of concept 28 April 2014 Nicole Perlroth Jeff Larson Scott Shane N S A Able to Foil Basic Safeguards of Privacy on Web In New York Times 5 September 2013 abgerufen am 18 Oktober 2023 James Ball Julian Borger Glenn Greenwald Revealed how US and UK spy agencies defeat internet privacy and security In The Guardian 6 September 2013 abgerufen am 18 Oktober 2023 Wired RSA Tells Its Developer Customers Stop Using NSA Linked Algorithm 19 September 2013 Zeit Online NSA hackt Kryptografie Sicherheitsfirma RSA warnt vor sich selbst 20 September 2013 Joseph Menn Exclusive Secret contract tied NSA and security industry pioneer In Reuters 20 Dezember 2013 abgerufen am 18 Oktober 2023 Archivlink Memento vom 23 Juli 2014 im Internet Archive Derrick Scholl Important Announcement about ScreenOS 17 Dezember 2015 abgerufen am 18 Oktober 2023 a b Matthew Green On the Juniper backdoor In A Few Thoughts on Cryptographic Engineering 22 Dezember 2015 abgerufen am 18 Oktober 2023 Stephen Checkoway Jacob Maskiewicz Christina Garman Joshua Fried Shaanan Cohney Matthew Green Nadia Heninger Ralf Philipp Weinmann Eric Rescorla Hovav Shacham A Systematic Analysis of the Juniper Dual EC Incident In Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security ACM Wien 24 Oktober 2016 doi 10 1145 2976749 2978395 Abgerufen von https de wikipedia org w index php title Dual EC DRBG amp oldid 238282252