Журнал "Information Security/ Информационная безопасность" #4, 2019

АНБ – Агентство нацио- нальной безопасности США (National Security Agency – NSA) – специализированный орган в системе министерст- ва обороны США, осуществ- ляет разведывательные функции в электронных ком- муникационных сетях, а также защиту американских правительственных и ведом- ственных закрытых линий связи. АНБ располагает широко разветвленной сетью пунктов подслушива- ния, радиоперехвата и радиопеленгации, располо- женных во многих районах земного шара. О б с т о я т е л ь с т в а , сопровождавшие про- цесс утверждения этого алгоритма в качестве криптографического стандарта на националь- ном и международном уровне, а также роль АНБ в этом процессе лишь укрепляют убежде- ние, что в данном случае мы имеем дело с успеш- ной реализацией давней идеи государственных структур США о внедре- нии лазеек в криптоал- горитмы, являющиеся государст- венными (а еще лучше – меж- дународными) криптографиче- скими стандартами [1]. История Dual EC: появление, стандартизация, модификация, отмена Следует сразу сказать, что мы приводим историю Dual_EC_DRBG (Dual EC – для краткости) в той степени, в кото- рой она известна обществен- ности, т.е. пользуясь материа- лами, опубликованными в открытой печати. Сам алгоритм был впервые представлен на семинаре NIST по генерации случайных чисел в 2004 г. у как "теоретико-числовой генера- тор", использующий вычисления в группе точек эллиптической кривой [2]. Надо сказать, что генераторы случайных и псевдослучайных чисел (далее – ГСЧ и ГПСЧ) являются важнейшими крипто- графическими примитивами, от свойств которых во многом зависит стойкость всей крипто- графической системы. Обыч- ным требованием к таким гене- раторам является статистиче- ская неотличимость порожден- ных ими последовательностей от случайных равновероятных последовательностей. Для про- верки этих свойств разработаны многочисленные статистические тесты. Для криптографических приложений от ГПСЧ требуется еще и "непредсказуемость" – невозможность для нарушителя предсказывать очередной знак выходной последовательности, порождаемой генератором с вероятностью, существенно отличной от равновероятной, даже если ему известны все предыдущие знаки этой после- довательности. Это подразуме- вает, что нельзя определить внутреннее состояние ГПСЧ на основе его выхода. С самого начала было ясно, что скорость работы нашего генератора является достаточно низкой за счет вычислений на эллиптических кривых, но зато его стойкость, по утверждению докладчика, Дона Джонсона, существенно выше альтерна- тив, поскольку базируется на задаче дискретного логариф- мирования в группе точек эллиптической кривой. Тогда же алгоритм Dual EC появился и в проекте стандарта ANSI X9.82 [3]. Однако вскоре были опубли- кованы исследования, доказы- вающие, что генератор Dual EC подвержен различительной атаке (distinguishing attack) [4], [5], т.е. вырабатываемые им последовательности чисел ста- тистически отличимы от истин- но случайных. Обычно такого рода уязвимости считаются кри- тичными для ГПСЧ и являются причиной его исключения из криптографических стандартов, но не в этот раз… Комитет по стандартизации проигнорировал работы, крити- кующие Dual EC, сославшись на формальное превышение сроков их подачи. При этом некоторые другие, менее суще- ственные, замечания, поданные позже срока, все-таки были учтены. В результате в июне 2006 г. в пакете с другими гене- раторами псевдослучайных чисел Dual EC был принят NIST в качестве криптографического стандарта [6]. Одновременно с этим алго- ритм Dual EC стал частью меж- дународного стандарта – стан- дарта ISO 18031:2005. И здесь не обошлось без давления со стороны властей США. К лету 2003 г. подкомитет 27 объеди- ненного технического комитета 1 ISO/IEC (Joint Technical Com- mittee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques) занялся 36 • ТЕХНОЛОГИИ Dual EC – криптографический стандарт с лазейкой ы рассмотрим историю генератора псевдослучайных чисел Dual_EC_DRBG (Dual Elliptic Curve Deterministic Random Bit Generator), ставшего в свое время федеральным криптографическим стандартом в США и продвинутого в международные криптографические стандарты. Несмотря на огромное количество работ, содержащих его серьезнейшую критику, данный стандарт просуществовал как часть стандартов ANSI и ISO/IEC с 2006 по 2015 г. По всеобщему мнению криптографических экспертов (не подтвержденному, однако, на официальном государственном уровне), этот алгоритм содержит лазейку, позволяющую владельцу ключа к лазейке вычислять по выходу генератора его внутреннее состояние, а затем предсказывать вырабатываемые им числа. М Алексей Жуков, председатель совета Ассоциации “РусКрипто” Александра Маркелова, технический директор ООО НТЦ “Альфа-Проект”, к.ф.-м.н.