Comments | stas: state of the art

stas

state of the art

Sep 20, 2013 14:13

In today's news of the weird, RSA (a division of EMC) has recommended that developers desist from using the (allegedly) 'backdoored' Dual_EC_DRBG random number generator -- which happens to be the default in RSA's BSafe cryptographic toolkit.

Даже не знаю, уместно тут смеяться или плакать.

This entry was originally posted at http://stas. ( Read more... )

big brother, окружающая среда, профессия

Comments 12

1master September 20 2013, 21:37:13 UTC

Человек, который пытался пользоваться RSAшным софтом - не будет этого делать, даже если ему будут приплачивать.

karpion September 21 2013, 15:43:58 UTC

А как можно пользоваться, не попытавшись?

jsn September 20 2013, 21:53:06 UTC

Вишенка на этом торте-то вот:

According to published reports that I saw, NSA/DoD pays $250M (per year?) to backdoor cryptographic implementations. I have knowledge of only one such effort. That effort involved DoD/NSA paying $10M to a leading cryptographic library provider to both implement and set asthe default the obviously backdoored Dual_EC_DRBG as the default RNG.

stas September 20 2013, 22:11:02 UTC

10M это ж копейки, как я понимаю. Особенно учитывая репутационный ущерб.

1master September 20 2013, 22:15:23 UTC

Так они же не за деньги это делают, а потому, что отказаться не могут. А деньги - это компенсация.
Вот если теперь производители с NSA стрясут все бизнес-потери, которых я думаю на много-много миллиардов наберется, то вот это будет интереснейшим мероприятием.

stas September 20 2013, 22:17:30 UTC

Не стрясут. Я не думаю, что им угрожали тюрьмой или чем-то таким - скорее всего, попросили небесплатно помочь национальной безопасности в обмен на доступ к сочным госконтрактам. И, сдаётся мне, единственные записи, которые об этом есть, хранятся угадайте где? И недоступны для FOIA по причинам национальной безопасности.

Thread 8

selfmade September 24 2013, 07:23:57 UTC

Я не понял, алгоритм закрытый или открытый? Если закрытый, то нафига им пользоваться, а если открытый, то почему дырка сама собой не обнаружилась?

stas September 24 2013, 07:32:54 UTC

Открытый и даже стандартизированый NIST. Подозрения, что там может быть дырка, были, но о факте, что дырка вставлена специально NSA, узнали только недавно. Сам факт наличия дырки в алгоритме - ничего особенного, криптография - дело сложное. А вот специальная организация дырки в алгоритме, да ещё попавшем в стандарт - это нечто новенькое.