Une porte dérobée de la NSA dans un standard du NIST sur les générateurs de nombres aléatoires ?

Par Xavier Poli, secuobs.com
Le 23/11/2007

---

Résumé : Une porte dérobée a été découverte dans un générateur de nombres aléatoires basée sur les courbes elliptiques. Ce générateur est par ailleurs présent dans un standard approuvé cette année par l'institut national américain des standards et des technologies (NIST) qui a été motivé dans cette décision par l'agence nationale de sécurité américaine (NSA).



Les cryptologues Dan Shumow et Niels Ferguson ont démontré, lors de la dernière édition de la conférence Crypto ( lien http externe url:[click] ), qu'il existait une faiblesse dans un standard de génération de nombres aléatoires ; ce standard venant d'être approuvé en mars dernier par le National Institute of Standards and Technology (NIST – lien http externe url:[click] ).

Pour comprendre l'ampleur du problème, il faut savoir que l'approbation par l'agence fédérale américaine NIST d'une technologie donne à cette technologie une certaine légitimité vis à vis des fabriquants et des éditeurs qui souhaiteront l'intégrer par la suite dans leurs propres produits.

Cette approbation se doit donc d'être la plus minutieuse et d'autant plus lorsqu'il s'agit d'un potentiel constituant à la sécurité future d'un système ; les standards concernant les générateurs de nombres aléatoires font partie des constituants de cette nature et notamment de par leur rôle dans les processus de confidentialité des données et dans ceux liés à l'authentification des utilisateurs d'un système donné.

Un seul point d'entrée dans le mécanisme de génération des nombres aléatoires et c'est l'ensemble de la sécurité du système qui est fortement compromis par un attaquant ; l'approbation de ce nouveau standard de générateurs semble fortement remise en cause par les travaux de ces éminents cryptologues ainsi que par le non moins éminent Bruce Schneier qui met à disposition sur son blog un billet à ce sujet ( lien http externe url:[click] ) initialement publié sur Wired ( lien http externe url:[click] ), Bruce Schneier étant notamment connu en tant que créateur de l'algorithme de chiffrement symétrique par bloc Blowfish ( lien http externe url:[click] ).

Ce nouveau standard, connu sous l'appellation NIST Publication 800-90 ( lien http externe url:[click] ) ou SP 800-90, se détaille en quatre techniques de génération (code d'authentification d'une empreinte cryptographique de message avec clé, fonctions de hachage empreintes, chiffrements par blocs, courbes elliptiques) basées sur des primitives cryptographiques déjà existantes qui ont été exploitées puis regroupées sous l'acronyme DRBG pour « Deterministic Random Bit Generators ».

Les constantes, relatives au générateur basé sur les courbes elliptiques ( Dual_EC_DRBG ), voient ici leur valeur fixée à des nombres définis par défaut dans le standard ; lors de l'analyse de ce générateur, on constate que l'ensemble des séquences de nombres générées par Dual_EC_DRBG présente une relation étroite avec un deuxième ensemble de nombres secrets pouvant faire office de Skeleton key ( lien http externe url:[click] ).

La prédiction d'une séquence de nombres aléatoires générées à l'aide du générateur Dual_EC_DRBG est ainsi envisageable après seulement 32 octets collectés à la sortie de ce générateur ; une simple capture sur une connexion utilisant le protocole SSL/TLS ( Secure Socket Layer / Transport Layer Security - lien http externe url:[click] ) étant alors suffisante pour pouvoir en compromettre la confidentialité.

La valeur de ce code secret n'est pas actuellement en la possession de ces cryptologues mais l'analyse du fonctionnement du générateur suffit à faire le constat que la personne, qui a génèré les valeurs fixes affectées par défaut aux constantes liées à l'utilisation du générateur Dual_EC_DRBG, est bien apte mathématiquement à générer un ensemble secret de correspondance qui pourrait alors faire office de porte dérobée.

Le générateur Dual_EC_DRBG peut néanmoins être utilisé de façon alternative en utilisant un générateur de nombre aléatoire indépendant et sécurisé dans le but de générer de nouvelles constantes pour l'utilisation de Dual_EC_DRBG comme il est indiqué de façon optionnelle dans la documentation NIST relative à ce standard ; à noter que l'utilisation des générateurs CTR_DRBG et Hash_DRBG du standard SP 800-90 semble, quant à elle, ne pas poser de problèmes.

La National Security Agency ( lien http externe url:[click] ) ayant fait de ses pieds et de ses mains pour que Dual_EC_DRBG soit intégré à ce nouveau standard approuvé par le NIST malgrès entre autres ses faibles performances, on est en droit de se poser légitimement des questions sur les motivations exactes des personnes qui sont à l'origine des valeurs par défaut de ces constantes d'utilisation sachant qu'elles seraient de toutes façons publiques de par leur présence dans le standard.

A voir également les recommandations de la part de la Direction centrale de la sécurité des systèmes d'information ( DCSSI - lien http externe url:[click] ) en matière d'aléas pour les générateurs ( lien http externe url:[click] ).

Mini-Tagwall des articles publiés sur SecuObs :
sécurité, windows, exploit, réseau, vulnérabilité, attaque, système, microsoft, virus, audit, internet, présentation, fonction, données, linux, outil, bluetooth, shell, gestion, trames, vista, wishmaster, sysun, paquets, metasploit, téléphone, engineering, fonctions + de mots clés avec l'annuaire des articles publiés sur SecuObs

Archives Failles Secunia :
- SA32774 Citrix XenServer Ext2/Ext3 Processing Security Bypass Vulnerability - SA32761 No-IP Linux Dynamic Update Client Buffer Overflow Vulnerability - SA32778 Ubuntu update for firefox, firefox-3.0, and xulrunner-1.9 - SA32659 E-topbiz Link Back Checker auth Cookie Security Bypass - SA32745 Free Directory Script API_HOME_DIR File Inclusion Vulnerability + d'archives failles avec Secunia et SecuMail

Archives Mailing Full Disclosure :
- Re: Full-disclosure Fwd: Three London hospitals have been forced to shut down their entire computer systems for at least 24 hours after being hit by a virus - Re: Full-disclosure Fwd: Three London hospitals have been forced to shut down their entire computer systems for at least 24 hours after being hit by a virus - Full-disclosure MDVSA-2008:220-1 kernel - Re: Full-disclosure Fwd: Three London hospitals have been forced to shut down their entire computer systems for at least 24 hours after being hit by a virus - Re: Full-disclosure Fwd: Three London hospitals have been forced to shut down their entire computer systems for at least 24 hours after being hit by a virus + d'archives Full Disclosure avec SecuMail

Archives Mailing Bugtraq :
- Re: Re: Re: Re: Opera 9.6x file:// overflow - Re: MDVSA-2008:232 dovecot - Re: Re: Re: Re: Opera 9.6x file:// overflow - MDVSA-2008:232 dovecot - Re: MDVSA-2008:231 libxml2 + d'archives Bugtraq avec SecuMail

Mini-Tagwall de l'annuaire video :
virus, spyware, vmware, firmware, biometric, lockpicking, wimax, password, kernel, malware, spammer, windows, iphone, symantec, phish, knoppix, adware, security, botnet, linux, tutorial, cryptography, internet, attack, wireshark, server, virtual, metasploit, intel, openbsd, hitbsecconf2006, protect, jailbreak, norton, ubuntu, rootkit, exploit, samsung, hijackthis, screen, ettercap, fingerprint, vista, flash, drive + de mots clés avec l'annuaire des videos

Mini-Tagwall des articles de la revue de presse :
security, microsoft, windows, vulnérabilité, network, google, vulnerability, hacker, attack, inject, remote, mobile, server, exploit, apple, internet, iphone, black, yahoo, sécurité, malware, vista, intel, patch, crypt, drive, access, protect, virtual, laptop, linux, source, biometric, research, ebook, business, virus, office, phish, adobe, chine, facebook, opera, flash, wireless + de mots clés avec l'annuaire de la revue de presse