Встраивает ли АНБ бэкдоры в алгоритмы шифрования?

Было много подозрений в отношении дизайна алгоритма шифрования Data Encryption Standard (DES) , который больше не используется из-за его недостаточной безопасности, в отношении участия АНБ в его разработке и того, внедрили ли они какие-либо лазейки, чтобы иметь возможность взломать шифрование по собственному желанию.

Существуют ли какие-либо доказательства того, что АНБ внедрило лазейки в современные алгоритмы шифрования?

Не совсем ответ, но: одна вещь, которую большинство людей забывают, это то, что АНБ выдвигает эти алгоритмы для внутреннего использования правительством и военными, а также для гражданского использования. Если в них есть бэкдоры, они сильно рискуют. Криптография слепо демократична — при достаточном анализе любой может найти лазейку, а это не в интересах АНБ.
Насколько я помню, история выглядит так: АНБ настояло на небольшой настройке s-блоков. Гораздо позже было обнаружено, что те, которые предоставило АНБ, сильны против одной атаки, о которой академические криптографы не знали во время разработки DES, но удивительно слабы против другой (математически более сложной) атаки, не известной в академических кругах в то время. Затем можно предположить , что АНБ знало об обеих атаках и разработало S-блоки таким образом, чтобы они могли взломать некоторые сообщения, в то время как шифр оставался стойким против методов, которые, вероятно, будут широко известны в течение некоторого времени.
dmckee: Участие АНБ в укреплении шифра DES против атак, о которых за пределами АНБ не было бы известно в течение 20 лет (дифференциальный криптоанализ), хорошо задокументировано, но я никогда не слышал эту вторую часть. S-блоки существовали в той или иной форме до вмешательства АНБ, и, на самом деле, атаки, обнаруженные позже (линейный криптоанализ), не зависели от изменений АНБ, т. е. АНБ только усилило его. АНБ настаивало на уменьшении размера ключа, но последствия этого были хорошо понятны. Опять же, АНБ использовало эти методы и для правительственных данных.
@Джо: Конечно. Теория заговора требует, чтобы мы верили в АНБ как сверхкомпетентное, так и достаточно уверенное в масштабе времени, в течение которого их лидерство будет сохраняться для развертывания шифра, который, как они знали, был слабым; все для ограниченной выгоды (чтобы позволить им прочитать подмножество сообщения средствами почти, но не так сложно, как полный поиск). Я не сказал, что верю в это, просто сказал, что история, ходившая по кругу, имела особую форму.
Опять же, я никогда не слышал эту историю. У вас есть записи о том, что кто-то это говорил? Я не уверен, является ли вторая трещина, о которой вы говорите, линейным криптоанализом, потому что даже это не было падением DES. И опять же, в вашей версии они не встроили в алгоритм бэкдор, просто не смогли его закрыть.
Очень хороший вопрос

Ответы (1)

По словам Брюса Шнайера , одного из самых известных в мире криптографов, есть некоторые подозрения по поводу причастности АНБ к стандарту NIST Dual_EC_DRBG:

Но сегодня вокруг Dual_EC_DRBG назревает еще большая вонь. В неформальной презентации на конференции CRYPTO 2007 в августе Дэн Шумоу и Нильс Фергюсон показали, что алгоритм содержит уязвимость, которую можно описать только как бэкдор.
- источник

В том же эссе Шнайер предостерегает нас от поспешных выводов:

Конечно, у нас нет возможности узнать, знает ли АНБ секретные номера, взламывающие Dual_EC-DRBG. У нас нет возможности узнать, придумал ли сотрудник АНБ, работающий самостоятельно, константы и имеет ли он секретные числа. Мы не знаем, есть ли они у кого-нибудь из NIST или у кого-то из рабочей группы ANSI. Может быть, никто не делает.
Мы не знаем, откуда взялись константы. Мы только знаем, что у того, кто их придумал, мог быть ключ к этому бэкдору. И мы знаем, что ни у NIST, ни у кого-либо другого нет возможности доказать обратное.
Это действительно страшная вещь.

В качестве примечания: в криптографии полезно быть немного параноиком или мыслить как теоретик заговора. В мире криптографии не имеет значения, кто сделал это эффективно . Если алгоритм слаб, вы должны предположить худшее: АНБ (или плохие парни) могут взломать его и перейти к чему-то другому.

не исследовано должным образом, мнение одного человека не является ответом :)
Это математическое доказательство, а не мнение. Шнайер просто переводит это на английский :-)
Очень интересное эссе, спасибо за ссылку. Вы попали в самую точку с этим последним абзацем, мы всегда должны быть осторожными при работе с криптографией и очень тщательно выбирать самый надежный алгоритм. Я думаю, мы не можем точно сказать, имеет ли АНБ доступ к бэкдору, но представленное исследование кажется довольно ясным, что алгоритм ненадежен и открыт для злоупотреблений.
Брюсу Шнайеру не нужны факты. Одним ударом с разворота он может создать формальное доказательство всего, что ему нужно. ( источник )
Замкну петлю на этом. В 2013 году The New York Times сообщила , что внутренние служебные записки АНБ, просочившиеся Эдвардом Сноуденом, предполагают, что ГСЧ, сгенерированный АНБ, который использовался в стандарте Dual_EC_DRBG, действительно содержит лазейку для АНБ.
Некоторые утверждают, что «или» в скобках последнего предложения быть не должно. ;)
«АНБ (или плохие парни)» — Благотворительно (и недостаточно параноидально), чтобы предположить, что это обязательно независимые группы.
Встраивает ли АНБ бэкдоры в алгоритмы шифрования?
СпросиСетьПолитика конфиденциальности1y, 0v