En gruppe forskere fra amerikanske og nederlandske læresteder – Johns Hopkins, University of Wisconsin, University of San Diego og Eindhoven University of Technology – har gjennomført en serie forsøk der de prøver ulike angrepsmetoder mot kommersielle sikkerhetsprodukter som anvender slumptallgeneratoren Dual_EC_DRBG.
Denne slumptallgeneratoren ble utviklet med medvirkning fra den amerikanske etterretningstjenesten NSA, og så sertifisert av det amerikanske standardiseringsorganet NIST. Det har helt siden 2007 vært spekulert i om den inneholdt en bakdør. I fjor høst ble bakdørens eksistens bekreftet av dokumenter lekket av Edward Snowden.
Les også:
- [12.09.2013] Hele sikkerhetseliten bruker den
- [19.11.2007] Anbefalt krypto-nøkkel kan ha bakdør
Seks av forskerne – Stephen Checkoway (Johns Hopkins), Matt Fredrikson (Wisconsin), Matthew Green (Johns Hopkins), Tom Ristenpart (Wisconsin), Jake Maskiewicz (San Diego) og Hovav Shacham (San Diego) – har lagt ut en oppsummering av rapporten på et eget nettsted, dualec.org. De viser også til utdypende informasjon på projectbullrun.org/.
Dual EC DRBG er anvendt i kommersielle produkter fra flere leverandører, samt i OpenSSL. Slumptallsgeneratoren brukes til å generere tilfeldige tall som igjen brukes til å etablere krypteringsnøkler for en datautveksling. Forskerne prøvde sine angrepsmetoder mot Bsafe-produkter fra RSA, SChannel fra Microsoft og to utgaver av OpenSSL.
Forskerne skriver at det var spesielt enkelt å angripe RSA Bsafe.
Microsoft SChannel implementerte en ikke-standard utgave av Dual EC: Endringen gjorde angrep raskere enn de ellers ville vært. OpenSSL viste seg å ha en feil som hindret bruk av Dual EC. Feilen var lett å omgå, og forskerne tror derfor at det finnes OpenSSL-implementasjoner som bruker Dual EC. Omgåelsen gjorde det imidlertid langt mer ressurskrevende å gjennomføre vellykkede angrep enn mot RSA Bsafe og Microsoft SChannel.
I RSA Bsafe oppdaget forskerne en uvanlig utvidelse kalt «Extended Random».
Denne utvidelsen gjør det mulig for en deltaker i en datautveksling å forlange større lengde på slumptallet fra Dual EC.
Normalt skulle man tro at dette ville gjøre det vanskeligere å knekke krypteringen av den påfølgende datautvekslingen.
_logo.svg.png){kind=logo}
I praksis viste det seg at «Extended Random» gjorde det mulig for en angriper å finne den riktige nøkkelen for å dekryptere datautvekslingen opptil 65 000 ganger raskere.
«Extended Random» er altså et middel for å oppnå den kjente bakdøren i Dual EC DRBG på vid gap.
Og hvem står bak? Den samme etterretningstjenesten, NSA.
«Extended Random» ble definert i en utredning skrivet i 2008 av Margaret Salter, teknisk direktør i NSA-avdelingen «Information Assurance Directorate», og en uavhengig ekspert, Eric Rescorla.
Sjefsteknolog Sam Curry i RSA bekrefter forskernes konklusjoner overfor nyhetsbyrået Reuters. Salter og Rescorla har begge nektet å kommentere.
Curry forklarer at de ikke med vitende og vilje har svekket sikkerheten i noen av sine produkter. Han trekker denne lærdommen:
– Vi kunne ha stilt oss mer skeptiske til NSAs hensikter. Vi hadde tillit til dem fordi de har i oppgave å sikre amerikanske myndigheter og kritisk infrastruktur.
I sin tid mottok RSA 10 millioner dollar fra NSA for å innlemme Dual EC i Bsafe. Curry ville ikke si om NSA også har betalt for bruken av «Extended Random».
I forskernes rapport heter det at uten «Extended Random», tok det i snitt 144 sekunder å knekke datautveksling vernet av Bsafe. De har brukt utstyr som de mener er forholdsvis enkelt, en klynge av 16 prosessorer. Med akselerasjonen gitt av «Extended Random», kan dette reduseres til 2,2 millisekunder. Det tyder på at med litt kraftigere utstyr, kan dekryptering foregå i sanntid.
Curry sier til Reuters at kundene etterspurte «Extended Random» i så liten grad at RSA bestemte seg for å kutte utvidelsen. Det skjedde for et halvt år siden.
