Fout in algoritme lijkt op achterdeur
Gepubliceerd: Donderdag 15 november 2007
Auteur: Brenno de Winter
Er is onrust onder cryptografen nu een generator voor willekeurige cijfers een ernstige fout heeft. De Amerikaanse overheid bedacht het systeem.
Willekeurige getallen of random numbers zijn een noodzakelijk onderdeel in de versleuteling van gegevens. De getallen zijn nodig om veilig sleutels te kunnen aanmaken en bij het coderen niet altijd hetzelfde resultaat te geven. Gebeurt dat toch dan is de codering te kraken, omdat het algoritme publiek hoort te zijn om het te kunnen gebruiken.
Lek
Een standaard, Dual_EC_DRBG, wordt door de Amerikaanse National Security Agency enthousiast aangeprezen als de voorkeursstandaard voor de overheid.
Volgens beveiligingsexpert Bruce Schneier, die zelf ook aan encryptiealgoritmen heeft gewerkt, is er met het systeem iets vreemds.
Hij haalt in een column onderzoek aan dat aantoont dat het mechanisme werkt met standaard waarden die sommigen volgens de regels van de wiskunde de mogelijkheid zou bieden de 'willekeurige' waarden te achterhalen.
Omdat de NSA een geheime dienst is, is het onduidelijk of zij daadwerkelijk de toegang tot de informatie hebben en er dus een achterdeur is.Voor de zekerheid adviseert hij bedrijven Dual_EC_DRBG maar niet te gebruiken.
Vreemd
Experts beweren dat het systeem voor het generen van willekeurige nummers ook tot zo'n drie maal trager is dan de beschikbare alternatieven, waardoor de aantrekkelijkheid van het mechanisme toch al minder was.
Een falend systeem voor willekeurige nummers kan de beveiliging van een systeem onderuit halen. Eerder deze week werd bekend dat Windows 2000 onveilig is, omdat zij ook een probleem met het systeem hebben. In 1999 was een vergelijkbaar probleem met Linux de oorzaak voor onrust.
