Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 20/9/2013
Sikkerhedsfirmaet RSA og standardiseringsorganisationen NIST advarer udviklere mod at bruge en algoritme til tilfældige tal. Der er mistanke om, at NSA har indbygget en svaghed i algoritmen.Algoritmen, Dual Elliptic Curve Deterministic Random Bit Generation, bruges til at danne tilfældige tal til brug ved kryptering. Avisen New York Times skrev for nylig, at USA's nationale sikkerhedsagentur, NSA, har indføjet noget i algoritmen, der gør det lettere at gætte de tilfældige tal, den leverer.
NIST (National Institute of Standards and Technology) har som følge af anklagerne udsendt en advarsel, hvor de kraftigt fraråder udviklere at bruge algoritmen.
RSA, der står bag det udbredt programmeringsværktøj BSAFE, kommer med samme råd til sine kunder. Det skriver Wired.
Anbefaling
Udviklere bør bruge andre algoritmer end Dual Elliptic Curve Deterministic Random Bit Generation.
Links
- RSA Tells Its Developer Customers: Stop Using NSA-Linked Algorithm, artikel fra Wired
- NIST Opens Draft Special Publication 800-90a, Recommendation For Random Number Generation Using Deterministic Random Bit Generators For Review And Comment
- RSA BSAFE Share for Java Platform 1.1, Algorithm and Security Strength [Random Number Generation]
- The Many Flaws of Dual_EC_DRBG, blogindlæg af Matthew Green