ช่องโหว่ของตัวสร้างเลขสุ่มเทียม Dual_EC_DRBG นับเป็นประเด็นสำคัญที่วงการวิชาการรหัสวิทยาที่เคยเป็นมิตรกับ NSA ปฎิเสธที่จะร่วมงาน รับฟัง หรือพูดคุยกับ NSA ลงเรื่อยๆ ตอนนี้ทีมวิจัยกลุ่มหนึ่งก็เผยแพร่งานวิจัยค้นคว้าว่าผลกระทบของ Dual_EC_DRBG นั้นมีผลกระทบต่อการเข้ารหัสโดยทั่วไปอย่างไรบ้าง โดยเผยแพร่ในเว็บ ProjectBullrun.org ที่ตั้งชื่อตามโครงการ BULLRUN ของ NSA เอง
- Dual_EC_DRBG นั้นถูกคัดค้านไม่ให้ใส่มาในมาตรฐานของ NIST SP800-90 ตั้งแต่ต้น เพราะทำงานได้ช้า และตัวเลขสุ่มที่ได้มาคุณภาพไม่ดีนัก NIST ยืนยันว่า Dual_EC_DRBG มีฟีเจอร์ด้านความปลอดภัยที่สำคัญต่อมาตรฐานที่กำลังออก และใส่มันไว้ในมาตรฐาน
- ร่างมาตรฐานถูกแก้ไขในเดือนมีนาคม 2007 การวิเคราะห์การแก้ไขในครั้งนั้นทำให้เราพบว่า Dual_EC_DRBG สามารถรับอินพุตเพิ่มเติม ในแต่ละรอบการทำงานได้ การใส่อินพุตเช่นนี้ (ซึ่งไม่บังคับ) จะทำให้เลขสุ่มที่ได้มีคุณภาพสูงขึ้น และการแฮกทำได้ยาก มาตรฐานหลังแก้ไขทำให้แม้จะใส่อินพุตเพิ่มแล้วก็ยังมีช่องโหว่ให้แฮกเลขสุ่มนี้ได้โดยง่าย
- ในปี 2008 ทาง NSA เขียนมาตรฐาน "Extended Random" เสนอเข้าไปยัง IETF เพิ่มฟีเจอร์ของการเชื่อมต่อ TLS จากเดิมที่มีค่าสตริงลับความยาว 28 ไบต์ (224 บิต) ร่วมกับค่าเวลาอีก 32 บิตเป็น 256 บิต ทาง NSA ระบุว่าความยาวนี้ไม่เพียงพอต่อการเข้ารหัสความปลอดภัยสูง และเสนอให้สามารถยืดเลขสุ่มเป็น 48 ไบต์หรือ 384 บิต ซึ่งยาวเกินค่าขั้นต่ำ 30 ไบต์ ที่จะใช้หาค่าเริ่มต้นของเลขสุ่ม Dual_EC_DRBG
- หลังจากระยะเวลาผ่านไป ชุดซอฟต์แวร์เข้ารหัสเกือบทั้งโลกรองรับ Dual_EC_DRBG เพื่อให้ตรงตามมาตรฐานของ NIST บางชุดรองรับเป็นค่าเริ่มต้น บางชุดมีเพียงให้เลือกใช้งาน
ทีมวิจัย ProjectBullrun ทำบทวิเคราะห์ต้นทุนของการถอดรหัสการเข้ารหัส TLS จากซอฟต์แวร์แต่ละผู้ผลิตไว้อย่างละเอียด ระยะเวลาที่ใช้โจมตีบนเซิร์ฟเวอร์เครื่องเดี่ยวในการเข้ารหัสแต่ละประเภทใช้เวลาในระดับไม่กี่วินาทีถึงไม่กี่ชั่วโมงเท่านั้น
แอดมินทั้งหลายคงต้องเตรียมคอนฟิกหาทางปิด Dual_EC_DRBG กันทั้งหมดโดยเร็วครับ
ที่มา - The Register, ProjectBullrun.org
Comments
มาตตรฐาน => มาตรฐาน