Hintertüren und Schwächen im kryptographischen Standard SP 800-90A
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Hintertüren und Schwächen im
kryptographischen Standard SP 800-90A
Marc Fischlin
NIST SP 800-90A January 2012
oder dem Faktorisierungsproblem einen gemeinsamen
kryptographischen Schlüssel aushandeln können.
NIST Special Publication 800-90A
Recommendation for Random Number
Die von NIST zunächst nur für die Vereinigten Staaten
Generation Using Deterministic entwickelten Standards etablieren sich auch oft zu inter-
Random Bit Generators
nationalen de-facto-Standards und werden teilweise in
Elaine Barker and John Kelsey
ISO/IEC-Standards übernommen. Dabei ist bemerkens-
Computer Security Division wert, dass die Standards im Bereich der IT-Sicherheit
Information Technology Laboratory
oft ein weiteres Attribut zugewiesen bekommen, näm-
COMPUTER SECURITY lich, dass standardisierte Verfahren auch besondere Si-
January 2012
cherheitsgarantien mit sich bringen. Die Erfahrung hat al-
lerdings gezeigt, dass diese Annahme im Allgemeinen zu
optimisitisch ist. Dies gilt um so mehr, als wir heute wis-
U.S. Department of Commerce
sen, dass Geheimdienste absichtlich schwache Standards
John Bryson, Secretary
National Institute of Standards and Technology
Patrick Gallagher, Director Under Secretary
vorgeschlagen haben. Wir betrachten hier mit dem Stan-
of Commerce for Standards and Technology
dard SP 800-90 der NIST einen solchen Fall.
ii
2 Schwächen im Standard SP 800-90
Die durch Edward Snowden angestoßenen Enthüllun-
gen liefern seit Juni 2013 immer mehr bemerkenswer- Der Standard SP 800-90 beschäftigt sich mit der Erzeu-
te Details darüber, welche Methoden Geheimdienste gung von sogenannten Pseudozufallszahlen, also quasi zu-
zur Sammlung und Verwertung von personenbezoge- fälligen Werten. Dieses Konzept wird ausführlicher in
nen Daten anwenden. Im vorliegenden Artikel diskutie- Abschnitt 2.2 diskutiert. Der NIST-Standard SP 800-90
ren wir speziell den Fall des kryptographischen Stan- bzw. der ergänzende Standard SP 800-90A diskutiert
dards SP 800-90, bei dem der amerikanische Geheim- Möglichkeiten, wie man solche Pseudozufallswerte auf
dienst NSA (National Security Agency) gemäß eines Ar- vermeintliche sichere Weise genererieren kann. Teile des
tikels der New York Times vorsätzlich Schwächen ein- NIST-Standards finden sich auch im ISO/IEC Standard
gebaut hatte. Wir erläutern anhand der mathematischen 18031:2011 [8] wieder.
Details, wie diese Hintertür aussieht und wie die Schwä-
chen einzuordnen sind.
2.1 Was war passiert?
Schon kurz nach Veröffentlichung der ersten Version
des Standards SP 800-90 im Jahr 2006 – die Version
1 Kryptographische Standards
SP 800-90A ergänzte den ursprünglichen Standard und
die aktuelle Version datiert auf Januar 2012 – wurde
Technische Standards dienen der Vereinheitlichung von Kritik am Standard öffentlich. Wissenschaftliche Arbei-
Normen und Verfahren und sollen dadurch die Inter- ten [2, 15, 17] aus den Jahren 2006 und 2007 zeigten,
operabilität fördern. Auch in der Kryptographie gibt es dass eines der vorgeschlagenen Verfahren, der Pseudo-
zahlreiche Standards und Standardisierungsorganisatio- zufallsgenerator Dual_EC_DRBG, nicht die gewohnten
nen. Eine wichtige Institution ist hier neben der Interna- Sicherheitsstandards erfüllte. Schon damals ließen Kom-
tional Organization for Standardization (ISO) und der In- mentatoren wie Bruce Schneier anklingen, dass es sich
ternational Electrotechnical Commission (IEC) das ame- dabei um absichtlich implementierte Schwächen handeln
rikanische National Institute of Standards and Technology könnte [14]. Tatsächlich bestätigt der aktuelle Standard
(NIST). NIST setzt mit seiner Reihe „Special Publications SP 800-90A die Mitarbeit der NSA an der Erstellung, wo-
(800 series)“ Standards speziell für Themen zur Informa- bei die Zusammenarbeit mit den IT-Sicherheitsexperten
tionssicherheit (siehe [10]). So beschreiben beispielswei- der NSA an solchen Standards per se nicht ungewöhnlich
se die Standards SP 800-56A bis SP 800-56C, wie zwei ist. Erst im Jahr 2013 wurde im Rahmen der Enthüllungen
Teilnehmer basierend auf dem Diskreten Logarithmus- um Edward Snowden durch einen Artikel der New York
18 FOKUS DOI 10.1515/dmvm-2014-0012
Times [12] bestätigt, dass die NSA Schwächen absichtlich Shannon-Entropie „zusätzlichen Zufall“ erzeugen, auch
eingebaut hat. wenn man ihm „etwas Zufall“ in Form von X zur Ver-
Inzwischen rät NIST selbst explizit von der Verwendung fügung stellt.
des Generators ab [11]. In einigen kommerziellen Pro- Die Kryptographie löst das Dilemma, indem sie die An-
dukten wurde der Generator implementiert, aber bis auf forderung an die Zufallswerte abschwächt, und lediglich
zwei Ausnahmen, dem BSAFE-Toolkit und dem Data Pro- pseudozufällige Werte verlangt. Pseudozufällige Werte er-
tection Manager der Firma RSA, nicht als der standard- reichen zwar keine maximale Shannon-Entropie, sehen
mäßig verwendete Generator eingesetzt, sondern nur als aber dennoch für alle praktischen Zwecke wie echt zufäl-
Option [3]. Der Generator sollte natürlich nicht mehr lig aus. In der Kryptographie wird dies formal in die Theo-
verwendet werden. RSA selbst empfiehlt inzwischen, in rie sogenannter Pseudozufallsgeneratoren eingebettet. Ein
dem betroffenen Produkt auf einen anderen Generator Pseudozufallsgenerator G ist ein deterministischer (und
umzusteigen [4]. Bemerkenswert ist, dass beide Empfeh- effizienter) Algorithmus, der eine kurze, echt zufällige
lungen, sowohl die von NIST als auch die von RSA, erst Eingabe – üblicherweise als binäre Zeichenkette r aus
nach der Veröffentlichung des Artikels der New York Ti- der Menge {0, 1}∗ aller endlichen Bitfolgen kodiert – in
mes im September 2013 herausgegeben wurden, obwohl eine längere Ausgabe transformiert, sodass diese Ausga-
die ersten Kritiken an der kryptographischen Sicherheit be „wie zufällig“ aussieht. Letzteres wird mit Hilfe des
des Dual_EC_DRBG bereits 2006 und 2007 veröffent- Begriffs der Ununterscheidbarkeit formalisiert, soll hier
licht wurden. aber nicht weiter ausgeführt werden. Eine Einführung gibt
das Buch von Goldreich [6].
2.2 Hintergrund: Pseudozufallsgeneratoren
In der Notation der Entropie verlangt man, dass ein Pseu-
Zufallswerte sind essenziell für die Sicherheit kryptogra-
dozufallsgenerator maximale Pseudo-Entropie [7] besitzt.
phischer Verfahren. Sie treten an zahlreichen Stellen in
Eine Zufallsvariable X hat Pseudo-Entropie
Verfahren auf, angefangen mit der Erzeugung der gehei-
men Schlüssel, über die Wahl von Initialisierungsvektoren
H HILL (X ) ≥ k,
für Verschlüsselungen, bis hin zur Generierung von un-
vorhersagbaren Fragen in Challenge-Response-Verfahren
wenn sie ununterscheidbar (im obigen Sinne) von ei-
zur Authentisierung. Klassische Rechner können aber in
ner Zufallsvariablen Y mit Shannon-Entropie H(Y ) ≥ k
der Regel keine „echten“ Zufallswerte erzeugen, da sie
ist. Folglich hat ein Pseudozufallsgenerator, der für n-
deterministisch arbeiten, also ihre Ergebnisse eindeutig
Bit-Eingaben längere (n)-Bit-Ausgaben erzeugt, Pseudo-
vorherbestimmt sind. Die folgende Aussage, die dem Ma-
Entropie (n), während die Shannon-Entropie maximal n
thematiker und Informatiker John von Neumann zuge-
sein kann. Für die meisten kryptographischen Anwendun-
ordnet wird, fasst dieses Dilemma pointiert zusammen:
gen genügt nachweislich eine hohe Pseudo-Entropie, um
Anyone who considers arithmetical methods of pro- Sicherheit zu gewährleisten.
ducing random digits is, of course, in a state of sin.
(John von Neumann) Ob sichere Pseudozufallsgeneratoren existieren, lässt
sich mit gegenwärtigen Methoden nicht nachweisen. Man
Der Entropie-Begriff von Shannon [16], den er in seiner
kann solche Generatoren aber unter sehr schwachen
wegweisenden Arbeit von 1948 über Informationstheo-
kryptographischen Annahmen ableiten [7], unter ande-
rie einführte, bestätigt diese Sichtweise. Für eine (diskre-
rem auch unter gängigen Sicherheitsannahmen wie der
te) Zufallsvariable X ist die Shannon-Entropie definiert
Schwierigkeit, die diskrete Exponentiation effizient zu in-
als
vertieren (dem sogenannten Diskreten-Logarithmus-Pro-
H(X ) := − Prob[X = x] · log2 Prob[X = x], blem). Daher gilt es im Augenblick als vernünftig, die
x Existenz solcher Generatoren anzunehmen. Gleichzeitig
wobei x die möglichen Werte von X durchläuft. Intuitiv muss man aber besondere Vorsicht walten lassen, wenn
gibt die Shannon-Entropie an, wieviele Bits man durch- man einen Generator entwickelt.
schnittlich benötigt, um den Ausgang einer Stichprobe
Wie setzen moderne Computer nun solche Pseudozu-
von X zu kommunizieren. Die Shannon-Entropie ist ge-
fallsgeneratoren ein? Üblicherweise wird der Compu-
nau dann maximal, wenn X uniform verteilt ist.
ter mit einem kurzen, möglichst zufälligen Wert initia-
Für jede Zufallsvariable und jede mathematische Funktion lisiert, beispielsweise durch Messungen von rauschan-
C (die der Leser hier als einen deterministischen Com- fälligen Komponenten während des Starts, oder durch
puter ansehen kann) gilt „zufällige“ Eingaben des Anwenders. Bei Bedarf erzeugt
der Generator aus seinem Startwert hinreichend viele
H(X ) ≥ H(C (X )),
Pseudozufallsbits, gibt einen Teil als Ausgabe aus, und ak-
wobei C (X ) die Zufallsvariable beschreibt, die zuerst ei- tualisiert gleichzeitig seinen Startwert mit einem anderen
ne Stichprobe von X wählt und dann C anwendet. Folg- Teil der generierten Bits. Die tatsächlichen Verfahren va-
lich kann kein (deterministischer) Computer im Sinne der riieren dieses Schema auf vielfältige Weise.
MDMV 22 / 2014 | 18–22 FOKUS 192.3 Der Generator Dual_EC_DRBG de Probleme, das Berechnungsproblem und das Entschei-
dungsproblem, gelten in der Kryptographie als schwierig,
Der Standard SP 800-90 beschreibt verschiedene, ver-
und das DH-Verfahren somit als sicher. Weitere Informa-
meintlich sichere Pseudozufallsgeneratoren. Eine Varian-
tionen zu den beiden Problemen findet man in [1].
te ist der Generator Dual_EC_DRBG, der auf ellipti-
schen Kurven beruht. Im Fall des Generators Dual_EC_DRBG spielt si +1 Q die
Rolle der Schlüssels S , der wie zufällig aussieht, selbst
Elliptische Kurven werden wegen ihrer guten Sicherheits-
wenn man P, Q und sogar den in der nächsten Iterati-
eigenschaften – kurze Schlüssel und Resistenz gegen be-
on des Generators berechneten Wert R = si +1 P ken-
kannte Diskrete Logarithmus-Verfahren – verstärkt in
nen würde. In diesem Sinne ist das grundsätzliche Design-
der Kryptographie eingesetzt. Im vorliegenden Fall wur-
Prinzip des Generators plausibel, auch wenn jede Iterati-
den im Standard eine Primzahl p sowie die Konstanten a
on durch zwei Multiplikationen in der elliptischen Kurve
und b spezifiziert (z. B. ist p = 2256 −2224 +2192 +296 +1),
wesentlich langsamer als andere bekannte Generatoren
die eine elliptische Kurve definieren. Die Kurvenpunkte
ist. Dass der Generator dennoch Schwächen hat, liegt an
Ea,b (Fp ) = (x, y ) ∈ F2p | y 2 = x 3 + ax + b , den Details, wie wir im folgenden Abschnitt diskutieren.
bilden zusammen mit einer entsprechend definierten Ad- 2.4 Schwächen im Generator Dual_EC_DRBG
dition eine Gruppe, die für die Werte hier sogar von pri-
Bereits kurz nach Erscheinen des Standards haben die
mer Ordnung ist. Die x -Koordinaten von Kurvenpunk-
ersten Analysen [2, 15] gezeigt, dass die Ausgaben des
ten können nach Wahl von p mit 256 Bits dargestellt
Dual_EC_DRBG nicht die übliche kryptographische Si-
werden. Der Standard spezifiziert zusätzlich zwei Punkte
cherheit bieten. Diese Analysen nutzen aus, dass die
P = (xP , yP ) und Q = (xQ , yQ ), die beide verschieden
Punkte der elliptischen Kurve bei Projektion auf die un-
vom „Punkt im Unendlichen“ O, dem neutralen Element
tersten 240 Bits der x -Koordinate eben nicht uniform
der Gruppe, sind. Der Punkt P ist ein Erzeuger der addi-
sind: Ein nicht zu vernachlässigender Anteil der Menge
tiven Gruppe.
der Zeichenketten aus 240 Bits kann nicht von solchen
Der Dual_EC_DRBG wird mit einem zufälligen Startwert Punkten getroffen werden. Dieser Schritt, die einfache
s0 aus Fp initialisiert. Bei Bedarf generiert das Verfahren Projektion auf die untersten Bits, schleust also Schwä-
240 Pseudozufallsbits, indem es ausgehend vom aktuellen chen ein, obwohl die Kurvenpunkte uniform verteilt sind.
Wert si ∈ Fp den Kurvenpunkt si P berechnet und si +1 Es ist bemerkenswert, dass hier schon vor Veröffentli-
als die x -Koordinate x-coord(si P) des Punktes für die chung des Standards bessere Verfahren zur Glättung der
nächste Iteration speichert. Ebenso berechnet das Ver- Verteilung bekannt waren (beispielsweise in [7]).
fahren den Kurvenpunkt si +1 Q und gibt nun die unters-
Die Autoren von [2, 15] zeigen, dass sie wegen der
ten 240 Bits der 256 Bits der x -Koordinate des Punktes
einfachen Projektion auf die Bits die Ausgabe des
(in einer üblichen Binärdarstellung) als Pseudozufallsbits
Dual_EC_DRBG mit einem Vorteil von ca. 0,1 % gegen-
aus. Benötigt man mehr Bits, wiederholt man das Verfah-
über echt zufälligen Werten erkennen können. Indem sie
ren hinreichend oft.
mehrere Ausgaben untersuchen, lässt sich dieser Vor-
Das Design des Generators beruht auf dem sogenann- teil sogar auf einige Prozentpunkte steigern. Anders aus-
ten Diffie-Hellman-Entscheidungsproblem. Beim bekannten gedrückt: Die Pseudo-Entropie des Dual_EC_DRBG ist
Schlüsselaustauschverfahren von Diffie und Hellman [5] nicht maximal. Zwar gelten Generatoren mit solchen ver-
erzeugen die zwei Teilnehmer Alice und Bob einen ge- zerrten Ausgaben in der Kryptographie nicht als sicher,
meinsamen geheimen Schlüssel in einer elliptischen Kur- dennoch war nicht bekannt, wie man diese Schwäche des
ve mit Erzeuger P , indem Alice für zufälliges q einen Dual_EC_DRBG unmittelbar hätte ausnutzen können,
Punkt Q = qP berechnet und Q an Bob sendet, und Bob um beispielsweise große Teile eines geheimen Schlüssels
R = rP für zufälliges r berechnet, und mit R antwortet. verlässlich zu berechnen. Wie dies gehen könnte, zeigte
Alice kann nun lokal S = qR = (qr )P berechnen, und die Arbeit von Shumov und Ferguson [17]. Die beiden
Bob ebenfalls S = rQ = r (qP) = (qr )P , sodass S der Autoren bestätigen, dass man bei geschickter Wahl der
gemeinsame Schlüssel wird. Punkte P und Q – was für die Entwickler des Standards
durchaus möglich gewesen wäre – die Ausgaben des Ge-
Das klassische Diffie-Hellman-Berechnungsproblem, auf
dessen Sicherheit das Diffie-Hellman-Verfahren beruht, nerators mit geringem Aufwand vorhersagen kann.
besagt nun, dass es für einen Angreifer schwierig ist, Der Angriff von Shumov und Ferguson basiert auf folgen-
ebenfalls den Schlüssel S aus den ausgetauschten Daten der Beobachtung. Da P ein Erzeuger, Q = O und die
P, Q, R zu berechnen. Das DH-Entscheidungsproblem Ordnung der elliptischen Kurve prim ist, gibt es ein ganz-
fordert nun sogar, dass man den Schlüssel S nicht ein- zahliges e mit P = eQ . Shumov und Ferguson gehen nun
mal von einem unabhängig gewählten Kurvenpunkt unter- davon aus, dass der Angreifer den Wert e kennt. Der An-
scheiden kann: Gegeben vier Kurvenpunkte (P, Q, R, S) greifer betrachtet dann eine Ausgabe r ∈ {0, 1}240 einer
entscheide man, ob S ein unabhängiger und uniform ver- Iteration des Generators, die er beispielsweise als Teil ei-
teilter Punkt ist, oder ob S = rQ für R = rP gilt. Bei- nes Initialisierungsvektors einer Verschlüsselung oder als
20 FOKUS MDMV 22 / 2014 | 18–22Die deterministische Chip-Sicht: Ein G5 in unterschiedlich einfallendem Licht (Sammlung Günter M. Ziegler. Foto: Christoph Eyrich)
Frage in einer Challenge-Response-Authentisierung ler- wenn Q nachweislich so bestimmt worden wäre, dass
nen kann. Er berechnet alle möglichen 216 = 65.536 niemand effizient e berechen kann, wäre die Sicherheit
Bitfolgen der Länge 256, die auf r enden. Für jeden die- des Dual_EC_DRBG gewährleistet. Dass dies nicht der
ser Werte testet der Angreifer, ob diese Bitfolge der x - Fall war, hat die Veröffentlichung der New York Times
Koordinate eines Punktes auf der elliptischen Kurve ent- gezeigt.
spricht, indem er prüft, ob z = x 3 + ax + b mod p ein
quadratischer Rest in Fp ist. Jedes solche x gibt maximal
2.5 Wie geht es weiter?
zwei mögliche Werte für y . Der Gesamtaufwand dafür
ist so gering, dass er mit jedem herkömmlichen Rechner Mehr als fünf Jahre nach Bekanntwerden der Schwächen,
zu bewerkstelligen ist. aber erst nach Bestätigung durch die New York Times,
dass die NSA die Spezifikation beeinflusst hat, raten in-
Der Angreifer erhält so eine Menge von maximal 2 · zwischen sowohl NIST als auch Firmen wie RSA von der
216 Kurvenpunkten R1 , R2 , R3 , ... , wobei der „richtige“ Verwendung des Generators Dual_EC_DRBG ab. Man
Punkt si +1 Q darin enthalten sein muss. Mit Hilfe der kann daher hoffen, dass in Zukunft keine Angriffe über
Kenntnis von e kann der Angreifer dann die Punkte diese Schwachstelle erfolgen werden.
eR1 , eR2 , eR3 , ... berechnen, sodass darunter auch der
In einem im Dezember 2013 erschienenen Artikel der
Punkt si +1 P = si +1 (eQ) = e(si +1 Q) sein muss. Folg-
Nachrichtenagentur Reuters [9] wurde behauptet, dass
lich kennt der Angreifer eine beschränkte Menge von
die Firma RSA für die Verwendung des schwachen Gene-
Punkten, deren x -Koordinate auch den übernächsten Zu-
rators Dual_EC_DRBG in ihrem BSAFE-Produkt von der
standswert si +2 = x-coord(si +1 P) des Generators ent-
NSA bezahlt wurde. Die Firma bestritt diese Vorwürfe
hält. Würde er den Punkt eindeutig kennen, könnte der
umgehend [13]. Eine Klärung steht noch aus.
Angreifer alle folgenden Ausgaben des Generators dann
exakt vorhersagen! Dazu muss er aber nun lediglich ei- NIST hat inzwischen den Standard SP 800-90A auf den
nige weitere Ausgaben des Generators beobachten, um Status eines „Draft“ zurückgesetzt und im Zeitraum von
die Menge der potenziellen Kandidaten auf ein Element September 2013 bis November 2013 um Kommentie-
zu reduzieren. Folglich ist der Generator bei Kenntnis rung gebeten. Das weitere Vorgehen der NIST ist zum
von e mit P = eQ vollkommen unsicher. Zeitpunkt, zu dem dieser Artikel verfasst wurde, nicht
bekannt.
Der Angriff von Shumov und Ferguson ist nicht über-
raschend, wenn man bedenkt, dass das DH-Berechnungs-
problem und auch das DH-Entscheidungsproblem bei be-
3 Fazit
kanntem e mit P = Qe beide leicht zu lösen sind: Gege-
ben P, Q = qP, R und eben e , das multiplikative Inverse
zu q modulo der bekannten Gruppenordnung, kann man Die Rolle der NSA bei der Erstellung des Standards
leicht den Schlüssel S = rQ = (rq)P für R = rP berech- SP 800-90, als auch die weiteren bekannt gewordenen
nen, indem man einfach q aus e berechnet und S = qR Maßnahmen der Geheimdienste, sind natürlich äußerst
bildet. In diesem Sinne „spielt“ der Angreifer dann qua- bedenklich. Im Fall des Dual_EC_DRBG wurden die
si die Rolle von Alice im DH-Schlüsselaustausch. Nur eingebauten Schwächen unmittelbar entdeckt. Dennoch
MDMV 22 / 2014 | 18–22 FOKUS 21blieb der Generator Teil des Standards und wurde auch [6] Oded Goldreich. Pseudorandom Generators: A Primer. ULECT
in Produkten verwendet. Diese Tatsache zeigt – unabhän- series. AMS, 2010.
gig davon, ob Standards bewusst oder unbewusst einge- [7] Johan Håstad, Russell Impagliazzo, Leonid A. Levin, and Mi-
chael Luby. A pseudorandom generator from any one-way
baute Schwächen beinhalten – das Problem heutiger Si- function. SIAM J. Comput., 28(4):1364–1396, 1999.
cherheitsstandards. Sie beruhen in der Regel zwar auf be- [8] Internationan Organization for Standardization. Iso/iec
kannten Sicherheitsprinzipien, fallen aber in ihren Sicher- 18031:2011: Information technology – security techniques –
heitsbetrachtungen gegenüber Analysen, wie sie in aka- random bit generation, 2011.
demischen Veröffentlichungen heute üblich sind, stark ab. [9] Joseph Menn. Exclusive: Secret contract tied NSA and secu-
Solche wissenschaftlichen Betrachtungen schließen in der rity industry pioneer. Reuters, Dezember 2013.
[10] National Institute of Standards and Technology. Special publi-
Regel sogenannte Reduktionsbeweise oder ausführliche
cations (800 series). http://csrc.nist.gov/publications/PubsSPs.
kryptanalytische Techniken ein, während die Sicherheits- html, 2013.
kriterien von Standards im Allgemeinen vage bleiben. [11] National Institute of Standards and Technology. Supplemental
Trotzdem genießen standardisierte Verfahren einen ver- ITL bulletin for September 2013, September 2013.
blüffenden Vertrauensvorschuss bezüglich ihrer Sicher- [12] Nicole Perlroth. Government announces steps to restore
heit, und werden bedenkenlos in Produkten verwendet. confidence on encryption standards. New York Times, Sep-
tember 2013.
Hier sind allerdings nicht nur die Entwickler von Stan-
[13] RSA, The Security Division of EMC. RSA response to me-
dards und die Firmen gefordert, sondern auch Kryp- dia claims regarding NSA relationship. https://blogs.rsa.com/
tographen, um gemeinsam die Sicherheitsgarantien von news-media-2/rsa-response/, Dezember 2013.
kryptographischen Standards zu verbessern. [14] Bruce Schneier. The strange story of Dual_EC_DRBG. www.
schneier.com/blog, November 2007.
[15] Berry Schoenmakers and Andrey Sidorenko. Cryptanalysis of
the dual elliptic curve pseudorandom generator. IACR Crypto-
Literatur logy ePrint Archive, 190, 2006.
[16] Claude Shannon. A mathematical theory of communication.
Bell System Technical Journal, 27(3):379–423, 1948.
[1] Dan Boneh. The decision Diffie-Hellman problem. volume
1423 of Lecture Notes in Computer Science, pages 48–63. Sprin- [17] Dan Shumow and Niels Ferguson. On the possibility of a back
ger, 1998. door in the NIST SP 800-90 Dual EC PRNG. Crypto Rump
Session, 2007.
[2] Daniel R. L. Brown and Kristian Gjøsteen. A security analysis
of the NIST SP 800-90 elliptic curve random number gene-
rator. In CRYPTO, volume 4622 of Lecture Notes in Computer
Science, pages 466–481. Springer, 2007. Prof. Dr. Marc Fischlin, Fachbereich Informatik,
[3] Computer Emergency Response Team (CERT). Du- TU Darmstadt, Mornewegstraße 30, 64293 Darmstadt
al_EC_DRBG output using untrusted curve constants may marc.fischlin@cryptoplexity.de, www.cryptoplexity.de
be predictable. Vulnerability Note VU#274923, November
2013.
Marc Fischlin ist Heisenberg-Professor für Kryp-
[4] Computer Emergency Response Team (CERT). Du- tographie und Komplexitätstheorie an der Tech-
al_EC_DRBG output using untrusted curve constants may be nischen Universität Darmstadt. Er beschäftigt
predictable. RSA Security, Inc. Information to Vulnerability sich primär mit Sicherheitsbeweisen zu krypro-
Note VU#274923, September 2013. graphischen Protokollen. Ein Aspekt seiner Tä-
[5] Whitfield Diffie and Martin E. Hellman. New directions tigkeit umfasst die Beurteilung standardisierter
in cryptography. IEEE Transactions on Information Theory, Verfahren, auch in Zusammenarbeit mit öffentli-
22(6):644–654, 1976. chen oder privatwirtschaftlichen Einrichtungen.
22 FOKUS MDMV 22 / 2014 | 18–22Sie können auch lesen
