Чтиво RSA Security получила $10 млн. от АНБ за использование заведомо дырявого генератора псевдослучайных

Тема в разделе "Компьютеры, Интернет, IT-новости", создана пользователем Luk14, 3 янв 2014.

  1. Luk14

    Luk14 Свой

    Регистрация:
    7 май 2013
    Сообщения:
    327
    Симпатии:
    106
    [​IMG]
    На Хабре уже

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    , как

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    заявила о наличии АНБ-бэкдора в своих продуктах, теперь же,

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    информация, что на использование в качестве генератора псевдослучайных чисел именно

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    (Dual Elliptic Curve Deterministic Random Bit Generation) их сподвигло не что иное, как взятка со стороны Агенства национальной безопасности США.

    Согласно источникам Reuters, АНБ выплатило компании RSA Security $10 млн. в обмен на гарантии использования по умолчанию в своих криптографических продуктах заведомо ненадежного алгоритма генерации псевдослучайных чисел. Такая сумма может показаться ничтожной, но на самом деле, она составляла более трети доходов соответствующего подразделения компании на тот момент. В 2005 году продажи библиотек BSAFE принесли компании всего $27,5 млн. из $310 млн. дохода всей RSA Security. А в 2006 году компания была приобретена технологическим гигантом

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    за $2,1 млрд.

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    , что генератор содержит в себе недостатки, которые могут быть применены как «идеальный черный ход » в любом алгоритме шифрования, использующем Dual_EC_DRBG.

    Все подозрения оставались уделом узкого круга экспертов по криптографии, пока в сентябре 2013 года в прессу не просочились секретные документы от Сноудена и сам производитель

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

    прекратить использование продуктов, имеющих в своем составе генератор Dual_EC_DRBG.

    Со своей стороны, RSA утверждает, что они никогда не вступали в сговор с АНБ чтобы поставить под угрозу безопасность своей продукции и если правительство знает, как сломать их шифрование, то они тут совершенно не при чем. «RSA всегда действует в интересах своих клиентов и ни при каких обстоятельствах не разрабатывает и не внедряет бэкдоры в свои продукты», заявила компания.

    Данный случай подтверждает информацию из документов Эдварда Сноудена, в которых упоминалась такого рода подрывная деятельность АНБ, направленная на ослабление широко используемых алгоритмов и стандартов шифрования.

    Для просмотра ссылок зарегистрируйтесь или авторизуйтесь на сайте.

     
  2. SuperGoal

    SuperGoal Свой

    Регистрация:
    11 май 2013
    Сообщения:
    513
    Симпатии:
    124
    Уязвим не сам алгоритм, а его реализация от RSA.
    Бэкдоры в корпоративном софте вполне естественное явление.
     
  3. one

    one Свой

    Регистрация:
    27 май 2013
    Сообщения:
    910
    Симпатии:
    328
    Я бы на месте АНБ создал бы отдел крякеров которые взламывали бы популярный софт. А кряки и кигены встраивали бы бекдоры в системы. Так же они могут иметь свои ботнеты созданные таким образом. Почему бы не делать то что и обычные вирусописатели. Думаю что уже ни что не звучит как фантастика. Максимально большой охват.
     
  4. SuperGoal

    SuperGoal Свой

    Регистрация:
    11 май 2013
    Сообщения:
    513
    Симпатии:
    124
    Так они все это делают и даже не скрывают, только без зараженных кейгенов.
     
Загрузка...