NSA plaatst backdoor in nieuwe encryptie standaard?
Onderzoekers hebben in een nieuwe encryptie standaard een achterdeur gevonden die mogelijk door de Amerikaanse inlichtingendienst NSA geplaatst is. De Amerikaanse overheid publiceerde dit jaar een nieuwe officiele standaard voor"random-number generators", die waarschijnlijk straks door zowel hardware als software ontwikkelaars gebruikt zullen worden. De NIST Special Publication 800-90 is gebaseerd op vier beproefde technieken, te weten hash functies, HMAC, block ciphers en elliptic curves. Het is bij de laatste dat er iets goed mis is. De generator die op elliptic curves is gebaseerd, maakt gebruik van een generator genaamd Dual_EC_DRBG. Niet alleen is deze drie keer zo langzaam als andere alternatieven, de enige reden dat die in de standaard zit is op verzoek van de NSA.
In 2006 werden er al problemen met Dual_EC_DRBG gevonden, maar in augustus van dit jaar demonstreerden onderzoekers Dan Shumow en Niels Ferguson een kwetsbaarheid die volgens Bruce Schneier alleen als een backdoor omschreven kan worden. De generator gebruikt een aantal vaste getallen om de elliptische kromme te bepalen. Deze vaste waarden zijn netjes in de publicatie van het National Institute of Standards and Technology (NIST) te vinden, maar nergens wordt uitgelegd waar ze vandaan komen.
De onderzoekers lieten zien dat de vaste waardes een relatie met een tweede verzameling van geheime getallen hebben, die als loper kan dienen. Als je de geheime getallen kent, kun je de output van de random-number generator aan de hand van slechts 32 bytes van diens output bepalen. Dat betekent dat je slechts 1 versleutelde TLS verbinding moet monitoren om de beveiliging van het protocol te kraken, en als je de geheime getallen kent, kun je alle Dual_EC_DRBG implementaties breken.
Hoewel de standaard zo geïmplementeerd kan worden dat de kwetsbaarheid zich niet voordoet, zullen de meeste ontwikkelaars hier geen rekening mee houden. Bruce Schneier begrijpt dan ook niet waarom de NSA zo nodig Dual_EC_DRBG in de standard wilde hebben. "Het heeft geen zin als een backdoor, omdat het publiekelijk en wel erg duidelijk aanwezig is. Vanuit een engineering standpunt is het ook niet zinnig, omdat het te langzaam is. Daarnaast is het eenvoudig om de ene random-number generator met een andere te vervangen." Zowel het NIST als de NSA hebben dan ook iets uit te leggen, aldus de beveiligingsgoeroe.
Dan Brown (Dit is de engelse titel.. Erg interessant boek !!!
Pjotrtje
over een 'enorme' encryptie-kraak-computer. En zoals je zegt, het is een
aanrader.
Mocht je ooit een design fout vinden in een encryptie
algoritme.
Laat dit dan zosnel mogelijk aan de wereld weten en zo wordt
je niet opgedrecht in een of ander kanaal.
vinden in een encryptie
algoritme.
Laat dit dan zosnel mogelijk aan de wereld weten en zo wordt
je niet opgedrecht in een of ander kanaal.
LOL ... maar waar !
Er is hier al een boek over geschreven he.... iets van
"Digital Fortress" van
Dan Brown (Dit is de engelse titel.. Erg interessant boek !!!
Pjotrtje
ik lees het stuk, en moest meteen hier aan denken... vind
het overigens wel raar dat een partij als NSA dergelijke
encrypties als standaard wil verheffen... Als een dergelijke
manier idd te langzaam blijkt, en in de "specs" worden ook
nog eens vaste waardes gebruikt, dan zou ik persoonlijk al
niet eens moeite doen om dit te implementeren, maar ja..
misschien gewoon gezonde paranoia..
Er is hier al een boek over geschreven he.... iets van "Digital
Fortress" van
Dan Brown (Dit is de engelse titel.. Erg interessant boek !!!
Pjotrtje
In een andere boek van Dan Brown, gaat het ook weer over de NSA die een
achterdeurtje in een onkraakbare encryptie wil stoppen.
onderdeel in de samenleving die niet afgemonitord wordt door
de inlichtingendiensten.
1. Brieven
2. Telegrammen
3. telefoongesprekken
4. e-mails
5. faxberichten
6. internetverkeer
7. PC's
8. Bedrijven
9. Journalisten en kranten
10. de politiek.
En dit gebeurt al decennia lang in de maatschappij. En
security.nl doet net of het iets nieuws ontdekt heeft.
over de NSA die een achterdeurtje in een onkraakbare
encryptie wil stoppen.
Er bestaat helemaal geen onkraakbare encryptie. Waar haal je
die onzin vandaan?
over de NSA die een achterdeurtje in een onkraakbare
encryptie wil stoppen.
die onzin vandaan?
Uit een boek van Dan Brown ....... !? (Fictie)
dus ze gooien hun eigen ruiten in.
tenzij je de poort weet ,waar het ding op praat.
dan zou je die al kunnen blokkeren.
slechte zaak zo iets.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.