von Bruce Schneier auf Wired.com
NIST-Standards haben die Tendenz, für Firmen die Software an US-Behörden verkaufen zu wollen, leider verpflichtend zu sein … unabhängig davon wie gut der Standard ist oder nicht. Insbesondere um FIPS (Federal Information Processing Standard) Standards der NIST kommt man in der Praxis nicht herum.
Die NSA steht jetzt unter Verdacht, in den NIST Standard SP800-90 (PDF), genauer in einen der dort beschriebenen Zufallszahlengeneratoren eine Hintertür eingebaut zu haben. Ein Vortrag auf der Crypto 2007 deutet darauf hin:
„What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG.“
Ich muss zugeben … wenn das stimmt ist es sehr sehr clever gemacht. Das erinnert mich ein wenig an die Geschichte der Schweizer Crypto AG oder den Clipper Chip.
Heise berichtet auch.
Kommentare gesperrt wegen Spam
Comment by Christian — 7. Juni 2012 @ 09:20