Solidot: 一个新发现的Dual EC DRBG缺陷

Solidot

奇客的资讯，重要的东西

一个新发现的Dual EC DRBG缺陷
http://solidot.org.feedsportal.com/c/33236/f/556826/s/35b1a600/sc/28/l/0L0Ssolidot0Borg0Cstory0Dsid0F37971/story01.htm
Jan 9th 2014, 14:41

双椭圆曲线确定性随机比特生成器（Dual EC DRBG）普遍被认为被NSA植入了后门，Dual EC DRBG是加密标准SP800-90A的一部分，而SP800-90A则是美国政府FIPS 140-2安全认证强制推广的加密标准。也就是说，一个加密库如果想要获得FIPS 140-2认证，那么它或多或少需要去实现有缺陷的Dual EC DRBG随机数生成器。由于认证的加密库不能被修改一行代码，如果其中存在致命漏洞导致Dual EC DRBG不能工作，那么后门也就无效了。这是OpenSSL项目身上发生的事情。OpenSSL项目经理Steve Marquess在12月19日发帖称，OpenSSL的Dual EC DRBG存在致命漏洞，使用它会导致程序崩溃或停止响应。由于修改代码会导致认证失效，而bug自Dual EC DRBG引入OpenSSL之后就存在了，因为OpenSSL用户没人用过Dual EC DRBG。但Dual EC DRBG的存在却帮助OpenSSL通过了安全认证。有推测认为，可能是有人知道后门而故意让实现不能工作。This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.



You are receiving this email because you subscribed to this feed at https://blogtrottr.com

If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/cz0/jPbdSR