Cryptografie-expert rekenfout chips vormt beveiligingsrisico. Een vooraanstaande cryptografie-expert heeft zijn zorgen geuit over de mogelijkheid dat onontdekte rekenfouten van processors door aanvallers gebruikt kunnen worden om de beveiliging van publieke sleutel-cryptografie te doorbreken.
<img src="http://upload.userbase.be/upload/tn_1191312488.jpg" align="right" width="120" height="87">Adi Shamir, een van de uitvinders van het RSA-algoritme, stuurde zijn waarschuwing eind vorige week naar een selecte groep collega's. Om een aanval te doen slagen is kennis van een wiskundige afwijking van de chip nodig en een met die kennis opgesteld kwaadaardig versleuteld bericht, volgens Shamir. Na verzending is het mogelijk de geheime sleutel te achterhalen van de ontvangende computer. Bij publieke sleutel-cryptografie worden berichten gecodeerd met een publieke sleutel en ontcijferd met een unieke, geheime sleutel. Dit principe wordt onder andere gebruikt bij transacties via internet.
Dat chips rekenfouten kunnen maken bewijst de ontdekking in 1994 van de FDIV-bug in Pentium-processors. 'Zelfs als we aannemen dat Intel ervan geleerd heeft en de correctheid van zijn multiplier-instructies minutieus nagaat, zijn er veel kleinere fabrikanten die minder zorgvuldig zijn met hun ontwerp', aldus Shamir. Intel wijst erop dat het om een theoretisch probleem gaat.
Vorige week wees een andere cryptografie-expert op de mogelijkheid dat een algoritme voor random number generators die tot een standaard is verklaard, een backdoor bevat van de National Security Agency.
De Amerikaanse standaardiseringsorganisatie National Institute of Standards and Technology heeft dit jaar vier nieuwe 'Deterministic Random Bit Generators' aangewezen als standaard. Deze gaan vrijwel zeker gebruikt worden door hardwarefabrikanten en software-ontwikkelaars voor beveiligingsdoeleinden. Volgens cryptografie-goeroe Bruce Schneier is het probleem echter dat de generator die gebaseerd is op elliptische krommen afwijkingen vertoont ten opzichte van de overige drie.
Dual_EC_DRBG, zoals de techniek gedoopt is, is niet alleen trager dan de andere generators, het is ook alleen een standaard vanwege het lobbywerk van de NSA, schrijft Schneier. In 2006 werd al aangetoond dat de generator een kleine afwijking vertoont, maar dit maakte het algoritme nog niet onwerkbaar.
<img src="http://upload.userbase.be/upload/1037420145.jpg" align="left" width="120" height="90">Ernstiger is de kwetsbaarheid die de Nederlandse cryptograaf Niels Ferguson samen met Dan Shumow onthulde tijdens de bijeenkomt Crypto 2007. De standaard bevat een aantal constanten die gebruikt worden voor het bepalen van de elliptische krommen van het algoritme. Wat Shumow en Ferguson hebben aangetoond is dat deze getallen gerelateerd zijn aan een tweede, geheime verzameling nummers, die kan dienen als een soort loper. 'Als je de geheime nummers weet, kun je de output van de ramdom-number generator voorspellen op basis van slechts 32 bytes van zijn output', aldus Schneier. Probleem is dat niemand weet waar de constanten vandaan komen. De mogelijkheid bestaat dat iemand bij de NSA met de constanten op de proppen is gekomen en over de geheime set getallen beschikt.
Bron: Tweakers.net van 19/11/2007
