Por @Alvy — 15 de Noviembre de 2007

Did NSA Put a Secret Backdoor in New Encryption Standard? es un muy interesante artículo del experto en seguridad Bruce Schneier que habla sobre puertas traseras que la NSA parece haber incluido en ciertos nuevos estándares. Conviene leer la historia completa [Matías la ha traducido al castellano] pero puede resumirse en esto:

Los diversos estándares critográficos que existen hacen uso de lo que se conocen como funciones de generación de números aleatorios (en realidad son pseudo-aleatorios). Esas funciones suelen ir incluidas en los diversos lenguajes de programación; más o menos se conoce cuales son buenas y cuales fallan a veces aunque en la práctica se usen; se emplean unas u otras por cuestiones de velocidad o practicidad.

El NIST es el organismo que publica los estándares «oficiales» para Estados Unidos, que por extensión empresas de todo el mundo utilizan. En los conjunto de nuevos estándares publicados bajo el título de NIST Special Publication 800-90 [PDF; 550KB] se incluyeron cuatro nuevas funciones generadoras de números pseudo-aleatorios. De las cuatro, una de ellas llamada Dual_EC_DRBG fue propuesta por la NSA. Examinándola a fondo, algunos matemáticos han encontrado que tiene ciertas debilidades. La función emplea unos «números semilla» que no se sabe de dónde provienen ni por qué, pero que «curiosamente» la debilitan; hacen que recogiendo unos pocos datos sea posible predecir cuáles son los siguientes números aleatorios que generará la función. (Al parecer, con otros números semilla esto no sucede, de ahí que suene bastante extraño que recomendaran los que peor funcionan.)

Los expertos consideran que no hay razones para que esa función falle y esté aparentemente «debilitada» a propósito: antoja ser una auténtica puerta trasera introducida por la NSA para poder espiar a quienes las usen para desarrollar software o hardware en productos criptográficos. De modo que se recomienda usar otras alternativas.

Compartir en Flipboard  Compartir en Facebook  Tuitear