Une porte dérobée de la NSA dans un standard du NIST sur les générateurs de nombres aléatoires ?

Par Rédaction, secuobs.com
Le 23/11/2007

---

Résumé : Une porte dérobée a été découverte dans un générateur de nombres aléatoires basée sur les courbes elliptiques. Ce générateur est par ailleurs présent dans un standard approuvé cette année par l'institut national américain des standards et des technologies (NIST) qui a été motivé dans cette décision par l'agence nationale de sécurité américaine (NSA). - Lire l'article



Les cryptologues Dan Shumow et Niels Ferguson ont démontré, lors de la dernière édition de la conférence Crypto ( lien ), qu'il existait une faiblesse dans un standard de génération de nombres aléatoires ; ce standard venant d'être approuvé en mars dernier par le National Institute of Standards and Technology (NIST – lien ).

Pour comprendre l'ampleur du problème, il faut savoir que l'approbation par l'agence fédérale américaine NIST d'une technologie donne à cette technologie une certaine légitimité vis à vis des fabriquants et des éditeurs qui souhaiteront l'intégrer par la suite dans leurs propres produits.

Cette approbation se doit donc d'être la plus minutieuse et d'autant plus lorsqu'il s'agit d'un potentiel constituant à la sécurité future d'un système ; les standards concernant les générateurs de nombres aléatoires font partie des constituants de cette nature et notamment de par leur rôle dans les processus de confidentialité des données et dans ceux liés à l'authentification des utilisateurs d'un système donné.

Un seul point d'entrée dans le mécanisme de génération des nombres aléatoires et c'est l'ensemble de la sécurité du système qui est fortement compromis par un attaquant ; l'approbation de ce nouveau standard de générateurs semble fortement remise en cause par les travaux de ces éminents cryptologues ainsi que par le non moins éminent Bruce Schneier qui met à disposition sur son blog un billet à ce sujet ( lien ) initialement publié sur Wired ( lien ), Bruce Schneier étant notamment connu en tant que créateur de l'algorithme de chiffrement symétrique par bloc Blowfish ( lien ).

Ce nouveau standard, connu sous l'appellation NIST Publication 800-90 ( lien ) ou SP 800-90, se détaille en quatre techniques de génération (code d'authentification d'une empreinte cryptographique de message avec clé, fonctions de hachage empreintes, chiffrements par blocs, courbes elliptiques) basées sur des primitives cryptographiques déjà existantes qui ont été exploitées puis regroupées sous l'acronyme DRBG pour « Deterministic Random Bit Generators ».

Les constantes, relatives au générateur basé sur les courbes elliptiques ( Dual_EC_DRBG ), voient ici leur valeur fixée à des nombres définis par défaut dans le standard ; lors de l'analyse de ce générateur, on constate que l'ensemble des séquences de nombres générées par Dual_EC_DRBG présente une relation étroite avec un deuxième ensemble de nombres secrets pouvant faire office de Skeleton key ( lien ).

La prédiction d'une séquence de nombres aléatoires générées à l'aide du générateur Dual_EC_DRBG est ainsi envisageable après seulement 32 octets collectés à la sortie de ce générateur ; une simple capture sur une connexion utilisant le protocole SSL/TLS ( Secure Socket Layer / Transport Layer Security - lien ) étant alors suffisante pour pouvoir en compromettre la confidentialité.

La valeur de ce code secret n'est pas actuellement en la possession de ces cryptologues mais l'analyse du fonctionnement du générateur suffit à faire le constat que la personne, qui a génèré les valeurs fixes affectées par défaut aux constantes liées à l'utilisation du générateur Dual_EC_DRBG, est bien apte mathématiquement à générer un ensemble secret de correspondance qui pourrait alors faire office de porte dérobée.

Le générateur Dual_EC_DRBG peut néanmoins être utilisé de façon alternative en utilisant un générateur de nombre aléatoire indépendant et sécurisé dans le but de générer de nouvelles constantes pour l'utilisation de Dual_EC_DRBG comme il est indiqué de façon optionnelle dans la documentation NIST relative à ce standard ; à noter que l'utilisation des générateurs CTR_DRBG et Hash_DRBG du standard SP 800-90 semble, quant à elle, ne pas poser de problèmes.

La National Security Agency ( lien ) ayant fait de ses pieds et de ses mains pour que Dual_EC_DRBG soit intégré à ce nouveau standard approuvé par le NIST malgrès entre autres ses faibles performances, on est en droit de se poser légitimement des questions sur les motivations exactes des personnes qui sont à l'origine des valeurs par défaut de ces constantes d'utilisation sachant qu'elles seraient de toutes façons publiques de par leur présence dans le standard.

A voir également les recommandations de la part de la Direction centrale de la sécurité des systèmes d'information ( DCSSI - lien ) en matière d'aléas pour les générateurs ( lien ).