找回密码
 骑士注册

QQ登录

微博登录

搜索
❏ 站外平台:

Linux中国开源社区 新闻 查看内容

一个新发现的Dual EC DRBG缺陷

2014-01-10 14:34    评论: 1    

双椭圆曲线确定性随机比特生成器(Dual EC DRBG)普遍被认为被NSA植入了后门,Dual EC DRBG是加密标准SP800-90A的一部分,而SP800-90A则是美国政府FIPS 140-2安全认证强制推广的加密标准。

也就是说,一个加密库如果想要获得FIPS 140-2认证,那么它或多或少需要去实现有缺陷的Dual EC DRBG随机数生成器。由于认证的加密库不能被修改一行代码,如果其中存在致命漏洞导致Dual EC DRBG不能工作,那么后门也就无效了。这是OpenSSL项目身上发生的事情

OpenSSL项目经理Steve Marquess在12月19日发帖称,OpenSSL的Dual EC DRBG存在致命漏洞,使用它会导致程序崩溃或停止响应。由于修改代码会导致认证失效,而bug自Dual EC DRBG引入OpenSSL之后就存在了,因此OpenSSL用户没人用过Dual EC DRBG。但Dual EC DRBG的存在却帮助OpenSSL通过了安全认证。有推测认为,可能是有人知道后门而故意让实现不能工作。

via : http://www.solidot.org/story?sid=37971 

最新评论

我也要发表评论

夜域诡士 2014-01-26 22:01 回复
赞一赞,

收藏

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。