Heeft de NSA een backdoor in Dual EC DRBG?
- March 1, 2014
- 0
De laatste maanden is heel wat te doen over een potentiële backdoor die de NSA in de pseudo-RNG Dual EC DRBG gesmokkeld zou hebben. Dual EC DRBG behoort willekeurige getallen te genereren, wat belangrijk is voor allerlei encryptie-algoritmes. De werking is gebaseerd op een ingewikkeld wiskundig concept, genaamd elliptische krommen. Dual EC DRBG heeft twee parameters, punten P en Q op de kromme. Die zijn in de standaard SP 800-90A van het Amerikaanse NIST (National Institute of Standards and Technology) gedefinieerd, maar er wordt niet uitgelegd hoe de ontwerpers aan die exacte waardes komen. En wie zijn die ontwerpers van die standaard? Voornamelijk werknemers van het NIST en… de NSA, de Amerikaanse geheime dienst. Het probleem is: Dual EC DRBG is slechts veilig als P en Q willekeurig gegenereerd zijn. P en Q kunnen echter zo opgesteld zijn dat ze een backdoor vormen. In 2007 werd die mogelijkheid al door Microsoft-werknemers Dan Shumow en Niels Ferguson geopperd. Niemand leek dat toen echter als een echte bedreiging te beschouwen. Als reactie werd de standaard wel aangepast zodat producenten hun eigen P en Q konden genereren. In de praktijk deed echter niemand dat.
Fast forward naar 2013. Door de onthullingen van klokkenluider Edward Snowden werden alle voorgaande acties van de NSA in een ander licht bekeken. De dreiging dat de NSA effectief een backdoor in Dual EC DRBG had gestoken, werd nu wel serieus genomen. Er werd ook duidelijk dat RSA Dual EC DRBG als de standaard RNG in zijn BSAFE-library gebruikte. Het NIST reageerde zelfs publiekelijk door iedereen aan te raden om Dual EC DRBG niet meer te gebruiken. RSA raadde zijn klanten hetzelfde aan. Maar in december 2013 kregen de verdachtmakingen nog een staartje. Volgens ingewijden accepteerde RSA in 2004 tien miljoen dollar van de NSA om Dual EC DRBG de standaard RNG in zijn BSAFE-library te maken — zelfs nog voordat het algoritme een NIST-standaard was.
Ondertussen is, door wat historisch onderzoek te doen, ook duidelijk dat al veel eerder dan 2007 bekend was dat mogelijk een backdoor in Dual EC DRBG zat. Certicom-werknemers Dan Brown en Scott Vanstone vroegen in 2005 een octrooi aan op ‘escrow keys’ in een RNG met elliptische krommen. Ze beschrijven hoe zo’n escrow key als backdoor gebruikt kan worden. En beide onderzoekers zaten ook in het ANSI-comité, dat de standaard voor Dual EC DRBG vanaf 2004 ontwikkelde. Enkele partijen hebben dus heel dubieuze beslissingen genomen die de NSA goed uitkwamen. Wie zelf eens wil uitproberen hoe de backdoor in de praktijk door de NSA gebruikt kan worden, moet eens op de blog van de Belg Aris Adamantiadis (ontwikkelaar van libssh) kijken. Hij heeft een ‘proof of concept’ ontwikkeld, dat je kunt uitproberen op zelfgekozen P en Q. Wie weet is al die ongerustheid niet nodig en zit er echt geen backdoor in Dual EC DRBG, maar dat zullen we nooit zeker weten. Als de NSA onschuldig is, hadden ze P en Q willekeurig moeten kiezen, bijvoorbeeld als uitvoer van een hashfunctie.
