Luca Annunziata

Sicurezza, occhio alla backdoor NSA

Gli esperti sospettano che un algoritmo standard sia manipolabile dall'intelligence USA. Una questione di numeri e codici segreti. Interviene Bruce Schneier: non usate quel sistema

Roma - Un algoritmo di generazione di numeri pseudocasuali, denominato Dual_EC_DRBG e inserito in uno standard NIST (National Institute of Standards and Technology), nasconderebbe una chiave di accesso segreta potenzialmente in grado di rivelare i contenuti di chiunque lo utilizzi per cifrare una conversazione.

Lo sostengono due ricercatori statunitensi, Niels Ferguson e Dan Shumow, che in una conferenza dello scorso agosto avevano avanzato per primi alcuni dubbi sul metodo. A rilanciare la questione ci ha pensato Bruce Schneier, guru della sicurezza, che sottolinea come dietro Dual_EC_DRBG ci sia NSA: il controspionaggio USA, che tra le sue file conta alcuni dei massimi esperti al mondo di codici.

Nel documento NIST, che presenta il metodo Deterministic Random Bit Generators (DRBG), vengono descritti quattro algoritmi per il calcolo dei numeri casuali: uno utilizza delle matrici, uno dei blocchi cifrati, un terzo il metodo HMAC ed infine uno delle curve ellittiche. Quest'ultimo, in particolare, porrebbe dei seri dubbi sulla sua implementazione.
In due parole, per utilizzare le curve ellittiche, queste ultime vengono descritte mediante una sequenza di costanti apparentemente casuale: i ricercatori, invece, hanno scoperto che questi numeri possono essere messi in relazione con un altro gruppo di valori, al momento sconosciuto, che tuttavia renderebbero virtualmente inefficace qualsiasi cifratura basata su questo algoritmo. In un certo senso, chi possedesse i "numeri segreti" - come li definisce Schneier - avrebbe in mano le chiavi per aprire il lucchetto senza scardinarlo.

Non è chiaro se questa relazione delle costanti del metodo con un altro gruppo di numeri sia casuale o voluta: certo, però, il coinvolgimento della NSA nella vicenda solleva molti dubbi su tutta la questione. "Non abbiamo modo di sapere se la NSA ha i numeri segreti per forzare Dual_EC_DRBG - spiega Schneier - Non abbiamo modo di sapere se qualche dipendente NSA ha i numeri segreti. Non sappiamo se ce li abbia qualcuno al NIST o all'ANSI".

Il metodo descritto, comunque, risulta decisamente più complesso e lento dei suoi compagni. Esistono, inoltre, anche delle limitazioni significative nell'utilizzo dello stesso, segnalate dallo stesso NIST in appendice assieme ai possibili stratagemmi per scavalcare il problema. Ma allora che ci fa in uno standard? L'inclusione sarebbe dovuta alla sponsorizzazione della NSA, sostiene Schneier, creatrice dell'algoritmo.

Nonostante tale paternità, la sola remota possibilità che Dual_EC_DRBG contenga una backdoor lo rende già sconsigliabile per l'utilizzo in qualsiasi sistema. "La mia raccomandazione - dice Schneier - è di usare le alternative CTR_DRBG o Hash_DRBG". Almeno fino a quando, conclude, NIST e NSA non avranno fornito chiarimenti in merito alla questione.

Luca Annunziata
13 Commenti alla Notizia Sicurezza, occhio alla backdoor NSA
Ordina
  • Come da oggetto !
    Cercate su google ! ;D
    non+autenticato
  • ...di quest'anno a cosa pensate che sia servito?
  • a un alieno
    non+autenticato
  • Ripigliati.
    non+autenticato
  • rimane tuttora un mistero ma se avessero dovuto fare l'operazione che supponi non ci sarebbe stato un down come quello che e' accaduto ma avrebbero rimpiazzato i server gia' aggiornati in tempo reale nascondendo difatto l'operazione (e io ci scommetto che l'hanno fatto sul serio).
    E' piu' probabile che il down sia originato da un buco di sicurezza tale che ha obbligato a mettere offline il siftware buggato perche il buco era gia' noto ma altre motiviazioni sono possibili.
    Da notare invece i problemi che questo ha creato: chi non ti dice che sia stato appositamente messo giu' per testare la reazione e gli effetti?
    in fonmdo ricordate che la difesa americana possiede gli switch per spegnere il sistema Gps in qualsiasi momento e credo difficile non li abbia anche per lo spegnimento dei famosi 15 root.server indispensabili per la gestione dns mondiale (in realta' i root server sono mooolti di piu' e sono sparsi per il mondo fra cui uno dei 15 a Roma e due persino in Cina ma se sono remotabili comunque rimane il rischio).

    Tornando alla discussione Skype invece puo' essere interessante vagliarne il funzionamento: normalmente la connessione in telefonata e' diretta fra i due peer come un p2p ma se entrambi gli utenti sono dietro firewall e non se non funziona nemmeno il trucchetto del rubare almeno da una delle due parti la porta udp di un altro processo (vi rimando a google per chiarimenti) allora si fa uso di un supernodo, ovvero un utente che spesso inconsapevolmente e avendo parecchi banda a disposizione fa da tramite fra i due utenti, ecco che allora la comunicazione passa attraverso ad un terzo soggetto che di solito e' un peer innocuo ma chi ci assicura che lo sara' sempre?
    Utile sarebbe monitorare la connessione skype con un software stile tcpview, vedere se l'ip remoto corrisponde con il nostro interlocutore o se passa attraverso un supernodo di cui dobbiamo assicurarci sia solamente tale, ovvero ad esempio non sia assegnato a MIT o equivalenti o addirittura non assegnato.

    Per quanto riguarda la chat integrata di skype attualmente non ho raccolto informazioni, ma nell'incertezza fareste bene a storpiare le possibili parole chiave.
    non+autenticato
  • Ho letto l' articolo di Schneier e da quello che dice penso che davvero tale algoritmo sia da evitare, se non altro come precauzione in attesa di chiarimenti convincenti (come minimo).
    Insomma il sospetto che possano esistere delle chiavi universali di sbloccaggio e che qualcuno possa esserne in possesso mi sembra piuttosto fondato e come tale decisamente inquietante!
  • Qui l'articolo originale in inglese:

    http://www.wired.com/print/politics/security/comme...

    "What Shumow and Ferguson showed is that these numbers have a relationship with a second, secret set of numbers that can act as a kind of skeleton key. If you know the secret numbers, you can predict the output of the random-number generator after collecting just 32 bytes of its output. To put that in real terms, you only need to monitor one TLS internet encryption connection in order to crack the security of that protocol. If you know the secret numbers, you can completely break any instantiation of Dual_EC_DRBG."
    non+autenticato
  • appunto...
    Quello che non è sicuro, e da qui il condizionale nell' articolo, è che effettivamente possa esistere qualcuno che quoi numeri ce li abbia, anche se personalmente lo ritengo molto probabile.
    Morale, meglio evitare quell' algoritmo se possibile Sorride
  • Non saprei che dire, se non che è la trama del libro di Dan Brown "digital Fortress" che ho giusto finito di leggere. Dato che il libro è del 1998 non credo sia una manovra pubblicitaria, a meno che non stiano apettando l'uscita del film.............
    non+autenticato
  • Leggendo Schneier da più di 7 anni, posso dire che non credo proprio che si presti a manovre pubblicitarie.
    Questioni di questo genere, ed in particolare la "possibile influenza" di NSA su algoritmi (e standard!) relativi a protocolli di sicurezza, sono discusse nell'ambiente già da parecchio tempo.
  • nel libro, se non ricordo male si dice che l'NSA ha un sistema di cluster talmente enorme e veloce che riesce a trovare le chiavi attraverso il brute force in pochi minuti, non mi pare si descrivano le caratteristiche ma devessere qualcosa da milioni di Teraflops (1000 volte più performante del sistema migliore esistente di IBM), cmq se avessero un sistema del genere, che teoricamente sarebbe possibile se avessero a disposizione un centinaio di ettari di rack sotteranei e un sistema operativo che riesce a gestirli simultaneamente, non avrebbero bisogno di generare un algoritmo di crittografia con backdoor, perché potrebbero decifrarli tutti.
    Ma fra le due cose credo di più a quella dell'algoritmo
  • Con una adeguata chiave (non esagerata) e una degna passphrase non esiste computer al mondo che possa decifrare un documento criptato.

    Neanche se riempissero l'oceano di transistor.
    non+autenticato