Về cửa hậu của Bộ tạo số giả ngẫu nhiên dựa trên đường cong elipptic

14:16 | 31/03/2014 | GP MẬT MÃ

Bộ tạo số giả ngẫu nhiên là thành phần không thể thiếu và rất quan trọng trong các hệ thống mật mã. Dual EC DBRG là một bộ tạo số ngẫu nhiên dựa trên đường cong elliptic, đã được đưa vào chuẩn SP 800-90 của Viện Tiêu chuẩn và công nghệ quốc gia Mỹ (NIST). Ứng dụng này đã có mặt trong một số sản phẩm, ví dụ như bộ công cụ BSafe của hãng RSA. Thế nhưng, theo tài liệu do Edward Snowden tiết lộ thì Cơ quan An ninh Quốc gia Mỹ (NSA) đã cài đặt một cửa hậu trong một ứng dụng của Dual EC DBRG.

Mở đầu
Dual EC DBRG (Dual Elliptic Curve Deterministic Random Bit Generator) là một bộ tạo số giả ngẫu nhiên được NIST coi là an toàn về mật mã. Nó dựa trên bài toán logarithm rời rạc đường cong elliptic (elliptic curve discrete logarithm problem-ECDLP) và là một trong bốn bộ tạo số giả ngẫu nhiên an toàn mật mã đã được chuẩn hóa trong tài liệu SP 800-90A của NIST. Không lâu sau khi NIST công bố tài liệu này, chuyên gia về mật mã Bruce Schneier dựa trên một số nghiên cứu của đồng nghiệp đã suy đoán rằng, bộ tạo số giả ngẫu nhiên này có thể chứa một cửa hậu có tính chất Kleptography của NSA. Kleptography là một chuyên ngành hẹp của mật mã học và Virus mật mã học (Cryptovirology), nghiên cứu việc đánh cắp thông tin một cách bí mật và tinh vi, được phát triển từ lý thuyết về các kênh ngầm của Gus Simmons (làm việc ở Phòng thí nghiệm tại Sandia National Sandria).
Độ an toàn
Mục tiêu để đưa Dual EC DRBG vào trong chuẩn NIST SP 800-90A là độ an toàn của nó dựa trên một bài toán khó từ lý thuyết số, chẳng hạn như giả thuyết Diffie-Hellman quyết định (decisional Diffie–Hellman assumption) đường cong elliptic. Mặc dù tốc độ của bộ tạo số giả ngẫu nhiên này chậm hơn (3 lần) so với 3 thuật toán khác cũng đã được chuẩn hóa, nhưng do tầm quan trọng của các bộ tạo số ngẫu nhiên an toàn trong mật mã, nên trong một số trường hợp người ta vẫn phải sử dụng, theo nghĩa là “hy sinh” tốc độ xử lý vì độ an toàn.
Tiếp theo việc công bố thuật toán Dual EC BRBG, nhiều nhà nghiên cứu đã công bố vấn đề an toàn liên quan đến các tính chất của Dual EC BRBG như sau:
- Các giá trị trung gian mà nó tạo ra (một dãy các điểm trên đường cong elliptic, dưới các giả thuyết hợp lý nào đó, chẳng hạn như bài toán Quyết định Diffie-Hellman) sẽ là không phân biệt được với các điểm đường cong elliptic ngẫu nhiên đều.
- Dãy của các bit được tạo ra từ Dual EC DBRG, với các lựa chọn tham số nào đó, có thể phân biệt được với các bit ngẫu nhiên đều, làm cho đầu ra thô của nó không thích hợp để sử dụng như một mã pháp dòng.
- Độ an toàn của nó được thiết kế dựa trên một bài toán khó, chẳng hạn như Bài toán Diffie-Hellman tính toán (computational Diffie–Hellman problem), nhưng một trong những cấu hình đã được khuyến cáo của Dual EC DRBG đã cho phép tồn tại một khóa bí mật hỗ trợ để giải bài toán này.

Một số điểm còn vướng mắc
Bộ tạo số giả ngẫu nhiên Dual EC DRBG gây tranh cãi bởi vì nó đã được công bố trong một chuẩn của NIST. Nó được lựa chọn, mặc dù tốc độ xử lý chậm hơn các thuật toán đã được chuẩn hóa khác và chứa một số điểm yếu đã được nhận thấy từ khi chuẩn hóa nó.
Vào tháng 3/2006, nhà nghiên cứu mật mã Daniel Brown đã phát hiện ra một điểm yếu của bộ tạo này. Theo thiết kế, một tham số đầu vào của nó (Q) phải là ngẫu nhiên. Nếu Q không ngẫu nhiên, người ta có thể suy ra một tham số mật (d) của quá trình thực hiện thuật toán, như vậy có thể khôi phục được thông tin bí mật ban đầu từ giá trị đầu ra.
Tháng 8/2007, Dan Shumow và Niels Ferguson cũng đã phát hiện điểm yếu của bộ tạo số giả ngẫu nhiên này có thể được sử dụng như một cửa hậu. Với các ứng dụng rộng rãi của bộ tạo số giả ngẫu nhiên trong mật mã, điểm yếu này có thể được sử dụng để phá hệ mật bất kỳ có sử dụng bộ tạo số giả ngẫu nhiên này. Thuật toán của bộ tạo này sử dụng một số hằng số để xác định đầu ra. Những hằng số này có thể được đưa vào một cách có chủ ý, cho phép người thiết kế dự đoán được đầu ra của nó.
Đáp lại mối quan tâm đó, tháng 9/2013, Phòng thí nghiệm công nghệ thông tin của NIST thông báo rằng, NIST đã phát hành lại tài liệu SP 800-90A như một tiêu chuẩn dự thảo và đưa ra hai tài liệu SP800-90B/C để lấy ý kiến góp ý công khai. Hiện nay, NIST lại đang “tích cực khuyến cáo” chống lại việc sử dụng Dual EC DBRG. Trong tuyên bố ngày 10/9/2013, giám đốc NIST đã khẳng định rằng “NIST không chủ ý làm yếu chuẩn mật mã”.

RSA Security sử dụng Dual EC BRBG

Các tài liệu bị rò rỉ bởi Edward Snowden được đăng trên NewYork Time tháng 9/2013 chỉ ra rằng NSA đã tạo ra và phổ biến một công thức có lỗi sinh ra các số ngẫu nhiên để tạo ra một “cửa hậu” trong các sản phẩm mật mã. Hãng Reuters sau đó cũng đưa tin rằng, RSA trở thành nhà phân phối quan trọng nhất của công thức đó bằng cách nhúng nó trong một công cụ phần mềm gọi là BSafe, được sử dụng để nâng cao tính bảo mật trong các máy tính cá nhân và nhiều sản phẩm CNTT khác.
Như vậy, NSA đang hoạt động tích cực để “Cài các điểm yếu vào hệ thống mã hóa thương mại, các hệ thống công nghệ thông tin, các mạng và các thiết bị truyền thông đầu cuối được sử dụng bởi các mục tiêu cần theo dõi”. Đây được coi như một phần của chương trình do thám Bullrun.
Tiêu chuẩn Dual EC BRBG đã được biết là chứa các lỗ hổng nghiêm trọng ngay sau khi NIST phát hành nó vào năm 2006, nhưng hãng bảo mật nổi tiếng RSA Security vẫn sử dụng chuẩn này như bộ tạo số ngẫu nhiên ngầm định và được khuyến cáo trong các sản phẩm Data Protection Manager và bộ công cụ BSafe của mình. Trong thời gian đó, RSA đã phủ nhận việc chèn một cách có chủ tâm một cửa hậu vào trong các sản phẩm của họ. Sau khi bị phát giác vào tháng 9/2013, lãnh đạo công nghệ của RSA security đã đưa ra những lời giải thích cho việc này, song tính chính xác về mặt kỹ thuật trong lời giải thích đã không được các nhà mật mã học chấp nhận.
Sự kiện RSA đã có một thỏa thuận đặt công thức của NSA như phương pháp được ưu tiên hoặc ngầm định để sinh số ngẫu nhiên trong phần mềm Bsafe đã khiến nhiều chuyên gia bảo mật máy tính ngạc nhiên. Là công ty có một lịch sử lâu dài đấu tranh cho quyền riêng tư và bảo mật, RSA đã đóng vai trò dẫn đầu trong việc ngăn chặn nỗ lực của NSA nhằm yêu cầu cài một chip đặc biệt, cho phép bí mật theo dõi máy tính và sản phẩm truyền thông dân dụng vào những năm 1990.
Khi đó, NSA đã lo rằng không thể phá vỡ mật mã khóa công khai được thiết kế tốt. Chính phủ Mỹ đã đề nghị dùng chip Clipper như một thành phần bắt buộc trong các điện thoại và máy tính để tạo điều kiện cho một số cơ quan của Mỹ có thể giải mã khi được phép.
RSA đã dẫn đầu một chiến dịch công khai chống lại nỗ lực này. Lập luận chính chống lại chip Clipper là việc những khách hàng nước ngoài sẽ “tẩy chay” các sản phẩm công nghệ Mỹ nếu chúng được cài thiết bị để phục vụ cho mục đích do thám.
Nhà Trắng từ bỏ chip Clipper và thay vào đó là dựa vào chính sách kiểm soát xuất khẩu để ngăn chặn các sản phẩm mật mã có khả năng bảo mật cao không được vượt qua biên giới Mỹ. Để đối phó, RSA một lần nữa củng cố lại việc kinh doanh bằng việc lập ra chi nhánh tại Úc để có thể xuất khẩu sản phẩm mật mã.
Sau những tiết lộ về cửa hậu vào tháng 9/2013, RSA đã đề nghị khách hàng của họ ngừng sử dụng bộ tạo số ngẫu nhiên Dual Elliptic Curve.
(Theo “Exclusive: Secret contact tied NSA and security industry pioneer”)

‹ › ×

Tin liên quan

Một thuật toán mới để sinh số nguyên tố lớn

11:00 | 29/07/2023

Ngày 24/5/2023, trang web của Viện Khoa học Weizmann (Weizmann Institute of Science) đăng tải bài báo “Polynomial - Time Pseudodeterministic Construction of Primes” [1] của Lijie Chen và các cộng sự. Đây là một thuật toán mới, tập hợp các ưu điểm của tính ngẫu nhiên và quy trình tất định để xây dựng các số nguyên tố lớn một cách đáng tin cậy. Dưới đây là nội dung bài viết đã đăng tại Quanta Magazine [1].

Parameterization of Edwards curves on the rational field Q with given torsion subgroups

08:00 | 07/03/2019

CSKH-02.2017 - (Abstract)—Extending Harold Edwards’s study of a new normal form of elliptic curves, Bernstein et al. generalized a family of curves, called the twisted Edwards curve, defined over a non-binary field k given by an equation ax^2+y^2=1+dx^2 y^2, where a,d∈k\{0},a≠d. The authors focused on the construction of efficient formulae of point adding on these curves in order to use them in the secure cryptographic schemes. Theoretically, the authors showed how to parameteries Edwards curves having torsion subgroup Z/12Z or Z/2Z×Z/8Z over the rational field Q. In the main result of this paper, we use the method which Bersntein et al. suggested to parameterise Edwards curves with the given torsion subgroups which are Z/4Z, Z/8Z, or Z/2Z×Z/4Z over Q.

Một tinh chỉnh hiệu quả cho Bộ tạo dãy giả ngẫu nhiên Massey-Rueppel hướng phần cứng

11:00 | 26/02/2019

CSKH-02.2017 - (Tóm tắt) - Các số và các dãy ngẫu nhiên đóng một vai trò quan trọng trong mật mã. Để tạo một nguồn ngẫu nhiên vật lý thường khá tốn kém, do đó hầu hết các hệ thống hiện nay đều sử dụng các bộ sinh số giả ngẫu nhiên. Bộ tạo dãy giả ngẫu nhiên Massey-Rueppel được công bố vào năm 1984 là một trong những bộ tạo số giả ngẫu nhiên sử dụng thanh ghi dịch phản hồi tuyến tính được sử dụng rộng rãi do tính hiệu quả và đáp ứng đầy đủ các tính chất mật mã. Tuy nhiên, khi cấu hình phần cứng thì bộ tạo này chỉ thực sự hiệu quả khi số các hệ số khác 0 trong đa thức đặc trưng của nó là nhỏ. Trong bài báo này, chúng tôi đề xuất một tinh chỉnh nhằm cải thiện hiệu suất thực thi khi cấu hình phần cứng mà không cần quan tâm đến các hệ số của đa thức đặc trưng.

Evaluating pseudorandomness and superpseudorandomness of the iterative scheme to build SPN block cipher

08:00 | 06/03/2019

CSKH-02.2017 - (Abstract) In this paper, the iterative scheme, namely the -scheme, is proposed constructing block ciphers. Then, the pseudorandomness and superpseudorandomness of this scheme are evaluated by using the Patarin’s H-coefficient technique. In particular, the pseudorandomness of -scheme is achieved in the case that the number of round is at least 3, and -scheme is superpseudorandomness in the case that the number of round is greater than or equal 5. However, we have not yet evaluated superpseudorandomness of this scheme when the round is 4.

Một giải pháp cứng hóa phép nhân điểm Elliptic trên trường GF(p)

09:00 | 14/10/2019

Tóm tắt— Bài báo này mô tả thuật toán và cấu trúc mạch cho việc tính toán và thực thi phép tính nhân điểm đường cong Elliptic trên trường nguyên tố hữu hạn GF(p) có độ dài 256 bit. Cấu trúc mạch được mô tả bằng ngôn ngữ VHDL và được thực thi trên nền tảng chip Zynq xc7z030 và xc7z045.

Tin cùng chuyên mục

Hướng dẫn quy trình cập nhật bản vá Windows trên máy trạm

13:00 | 17/06/2024

Để tăng cường tính bảo mật và khắc phục các lỗ hổng, Microsoft thường phát hành định kỳ những bản cập nhật dành cho Windows, trong đó có các bản vá Patch Tuesday hàng tháng. Việc nắm bắt các bản vá này rất quan trọng để chủ động phòng tránh trước các mối đe dọa mạng. Bài viết này đưa ra quy trình cập nhật bản vá bảo mật Windows trên các máy trạm dành cho người dùng cuối, việc thực hiện cập nhật trên máy chủ Windows Server thực hiện tương tự.

Tăng cường an ninh mạng với nền tảng chia sẻ thông tin phần mềm độc hại MISP

10:00 | 03/10/2023

Với sự gia tăng nhanh chóng của các mối đe dọa mạng tinh vi, các tổ chức ngày nay đang phải đối mặt với những thách thức lớn trong việc ngăn chặn và giảm thiểu các cuộc tấn công mạng. Để chống lại điều này, việc chia sẻ và phân tích thông tin tình báo về mối đe dọa vì thế càng trở nên mang tính cấp thiết và quan trọng. Nền tảng chia sẻ thông tin phần mềm độc hại (MISP) chính là một khuôn khổ nổi bật nhằm tạo điều kiện trao đổi thông tin tình báo về mối đe dọa giữa các tổ chức và cộng đồng an ninh mạng. Bài viết này cung cấp đánh giá cơ bản về nền tảng MISP, thảo luận về kiến trúc, các tính năng chia sẻ mối đe dọa cũng như những triển vọng của nó trong việc thúc đẩy phòng thủ an ninh mạng chủ động.

Cách nhận biết Macbook bị tấn công

10:00 | 28/08/2023

Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.

Một phương pháp mã hóa phân vùng dữ liệu trên máy tính nhúng (Phần II)

16:00 | 27/07/2023

Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.

Tin được quan tâm

Rò rỉ kênh kề trên điện thoại thông minh khi thực hiện mã hóa RSA

14:00 | 11/09/2024|Công nghệ PKI
Giải pháp di động hóa ứng dụng sử dụng trong mạng chuyên dùng có yếu tố bảo mật

11:00 | 03/09/2024|GP ATM

Kỹ thuật DNS Tunneling

08:00 | 26/08/2024|GP ATM
Top 5 dịch vụ lưu trữ email tốt nhất năm 2024

10:00 | 19/08/2024|Tin tức sản phẩm

Giải pháp khác

Các nhà mạng chạy đua thương mại hóa 5G

Trong cuộc đua 5G tại Việt Nam, Viettel đã vươn lên dẫn đầu khi trở thành nhà mạng đầu tiên chính thức tuyên bố khai trương mạng 5G. Trong khi đó, các nhà mạng khác cũng đang ráo riết chuẩn bị cho việc triển khai dịch vụ 5G, hứa hẹn một thị trường viễn thông sôi động và cạnh tranh trong thời gian tới.

09:00 | 29/10/2024
INFOGRAPHIC: Khám phá mô hình bảo mật Zero Trust
5G - Chìa khóa đi tới Công nghiệp 4.0
Ransomware: Phòng ngừa và giảm thiểu (Phần I)