Szerző: Gálffy Csaba

2013. december 23. 12:13:00

Szándékosan gyengíthetett az RSA

Potom összegért, 10 millió dollárért tett BSAFE biztonsági eszköztárába problémás véletlenszám-generátort az RSA - állítja a Reuters. Az alapértelmezettként használt algoritmus viszonylag könnyen támadható, ez súlyos presztízsveszteség a biztonságtechnikai úttörőnek.

HIRDETÉS

A számítógépes biztonság alapköve a bizalom - ezt a bizalmat az iparági szereplők jellemzően hosszú évtizedes munkával tudják megszerezni és vigyáznak rá, mint szemük fényére. Ezért is nagyon meglepő, hogy a Reuters legfrissebb információi szerint az EMC birtokában levő biztonsági cég, az autentikációs megoldásairól ismertté vált RSA az amerikai nemzetbiztonsági ügynökség problémás algoritmusát helyezte el fejlesztői eszköztárában.

A Reuters úgy tudja, az RSA együttműködését a nemzetbiztonságiak szép kerek összeggel honorálták, a BSAFE-be került backdoorért az ügynökség 10 millió dollárt fizetett - ez az érintett RSA-divízió éves bevételének mintegy harmadát teszi ki a pénzügyi jelentések szerint, így az adott osztály vezetői számára biztosan egészséges év végi prémiumot jelentett. Az RSA tagadja a Reuters által felhozott vádakat. "Az RSA mindig a felhasználóinak érdekeiben tevékenykedik és semmilyen körülmények között nem helyezünk backdoort termékeinkbe" - mondja a közlemény. "Az RSA termékeinek funkcióiról szóló döntéseket a vállalatunk hozza meg" - tette hozzá a biztonságtechnikai cég. Az NSA az értesüléseket nem kívánta kommentálni.

Az RSA feltételezett "árulásának" következményei beláthatatlanok. A BuheraBlog megfogalmazásában: "egy nem megfelelően működő véletlengenerátor tetszőleges biztonságos algoritmust vagy protokollt képes gallyra vágni: leegyszerűsítve a dolog úgy néz ki, hogy az NSA minden, egyébként feltörhetetlen lakathoz ki tudja számolni a megfelelő kulcsot. A súlyos helyzetet az teszi közel katasztrofálissá, hogy ezt a generátort az ügynökségnek nem egy-két kész termékbe, hanem egy fejlesztői könyvtárba sikerült beügyeskedniük, így minden olyan termék problémás lehet, amiben a Bsafe-t felhasználták".

Tudunk róla

A Snowden-féle szivárogtatásokból már korábban tudtuk, hogy az NSA a 2006-ban publikált Dual_EC_DRBG (dual elliptic curve deterministic random bit generator) véletlenszám-generáló algoritmust szándékosan gyengítette. Az algoritmus publikációját követően a kriptográfiai szakemberek egy éven belül feltérképezték a bonyolult szoftver problémáit, az algoritmus által generált számok eloszlása ugyanis nem egyenletes, ami bizonyos feltételek között kompromittálhatóvá teszi az algoritmust, illetve az arra épülő titkosítási megoldásokat.

Súlyosabb probléma, hogy a titkos kiinduló paraméterek ismeretében külső fél által könnyen támadható, a spekulációk szerint pedig ezek a paraméterek például az NSA birtokában lehettek - Bruce Schneier neves kriptográfus ki is mondta, a generátor "nem jellemezhető másként, mint backdoorként". A kiinduló állapot ismeretében az algoritmus által generált számok kiszámíthatóak, a titkosítás pedig ennek birtokában visszafejthető ennek birtokában, nyers erő ("brute force")  használata nélkül is. Ugyan a szabvány implementációhoz használható eltérő kiinduló állapot is, a zárt forráskódú implementációk esetében nem tudni, hogy erre sor kerül-e.

Hiányosságai ellenére a generátor 66 validált implementációval rendelkezik, olyan szoftverekben, mint az RSA BSAFE Crypto-J és Crypto-C, a Cisco széles körben használt SSL FIPS Object Module könyvtára, a BlackBerry titkosítási könyvtára és az OpenSSL könyvtár (amelyet például az Android is használ). A listán megtalálható a Microsoft Cryptography Next Generation is, amelyet a Windows RT, Windows 7 és 8, a Windows Server 2008 R2 és 2012, illetve a Windows Phone 8 tartalmaz. Az implementáció nem jelenti azt, hogy az algoritmust használja is a szoftver, a lehetőség mindenesetre ott van. Az RSA BSAFE fejlesztői eszköztára azonban ezt az algoritmust használja alapértelmezettként, így ha az alkalmazás készítője nem módosítja a beállítást, akkor a véletlenszámok előállításáért BSAFE-fel írt szoftverek esetében a Dual_EC_DRBG felel.

Pénzért ezt is?

A hírügynökség állítása szerint az RSA és az NSA együttműködése kiterjedt az algoritmus szabvánnyá emelésére is. A kriptográfiai szabványokat jellemzően az amerikai szabványügyi hivatal (NIST) határozza meg, ezek használata kötelező az amerikai kormány minden beszállítója számára. Ez közvetve azt jelenti, hogy a NIST kriptográfiás szabványai de facto világszintű szabványokká válnak, hiszen a Windowstól kezdve számtalan szoftverben támogatást kapnak.

Az algoritmus szabvánnyá emelése tehát kritikus fontosságú volt az NSA terveiben, csak az elterjedt, potenciális áldozatok által használt backdoor a jó backdoor. Az ügynökség ezért rávette az RSA-t, hogy a Dual_EC_DRBG-t implementálja, majd az implementációra hivatkozva kérte a NIST-et az algoritmus szabvánnyá emelésére, amelyet a testület teljesített is, így a kérdéses algoritmus ma a NIST által szabványosított négy kriptográfiailag biztonságos véletlenszám-generátor (CSRNG) egyike.

A Reuters által most közölt információk szerint nem véletlen, az ügynökség készpénzzel fizetett az RSA döntéséért cserébe. A hír az elmúlt napokban hatalmas vihart kavart, Mikko Hyppönen, az F-Secure kutatási vezetője Twitteren kijelentette, hogy "az egész iparág nevében szégyelli magát", és amennyiben igaz a Reuters híre, le fogja mondani az RSA konferenciáin való részvételét.

a címlapról