Μία αμοιβή ύψους $12,288 για το πρώτο άτομο που θα καταφέρει να αποκρυπτογραφήσει τα seeds που κατακερματίστηκαν για να δημιουργήσουν τα NIST elliptic curves. Η αμοιβή θα τριπλασιαστεί σε $36,864 αν ο νικητής του bounty επιλέξει να δωρίσει το ποσό σε οποιαδήποτε φιλανθρωπική οργάνωση.
Δείτε επίσης: FBI, CISA και NSA: Κορυφαίες ευπάθειες του 2022
Αυτή η πρόκληση ανακοινώθηκε από τον ειδικό κρυπτογράφο Filippo Valsorda, ο οποίος συγκέντρωσε το ποσό με τη βοήθεια αναγνωρισμένων προσώπων στην κρυπτογράφιση και την κυβερνοασφάλεια. Πρόκειται για τον καθηγητή του Πανεπιστημίου Johns Hopkins, Matt Green, τον συνεργάτη του PKI και Chromium, Ryan Sleevi, τον ειδικό σε ασφάλεια προγραμμάτων περιήγησης Chris Palmer, τον δημιουργό της επίθεσης “Logjam” David Adrian και τον μηχανικό κρυπτογραφίας της AWS, Colm MacCárthaigh.
Στον μυστηριώδη κόσμο της κρυπτογράφισης, το Εθνική Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) των Ηνωμένων Πολιτειών έχει εισάγει μια σειρά από ελλειπτικές καμπύλες, με σκοπό την προστασία των ψηφιακών μηνυμάτων. Για να διατηρηθεί το επίπεδο ασφάλειας, το NIST εφαρμόζει έναν αλγόριθμο βασισμένο σε μυστικά “seeds” που προέρχονται από την Εθνική Υπηρεσία Ασφάλειας (NSA).
Η Σημασία των “seeds”
Τα “seeds” είναι το θεμέλιο για τη δημιουργία κάθε ελλειπτικής καμπύλης. Είναι βασικά μαθηματικά δεδομένα που δίνουν τη μορφή και τις ιδιότητες της καμπύλης, καθορίζοντας έτσι το βαθμό ασφάλειας του αλγορίθμου.
Το Μυστήριο Πίσω από τα “seeds”
Σε μια αναπάντεχη τροπή, κυκλοφορούν φήμες ότι τα “seeds” του NSA θα μπορούσαν να έχουν κρυφά backdoors.
Στην Elliptic Curve Cryptography (ECC), τα seeds είναι τιμές ή σύνολα τιμών που χρησιμοποιούνται ως αρχική είσοδος για έναν αλγόριθμο κρυπτογράφησης ή διαδικασία για την παραγωγή κρυπτογραφικών κλειδιών. Η ECC βασίζεται στη μαθηματική έννοια των ελλειπτικών καμπυλών που ορίζονται πάνω σε πεπερασμένα πεδία για τη δημιουργία σχετικά μικρών, αλλά ασφαλών κλειδιών. Η χρήση καμπυλών εξασφαλίζει ότι, για ένα επιλεγμένο σημείο, είναι υπολογιστικά αδύνατο να προσδιορίσουμε τον πολλαπλασιαστή του σημείου αυτού που χρησιμοποιήθηκε για να το παράγει, παρέχοντας τη βάση για την κρυπτογράφηση.
Δείτε ακόμα: NSA: Για να σκοτώσετε το BlackLotus malware, το patch είναι μια καλή αρχή
Οι καμπύλες της NIST (P-192, P-224, P-256, P-384 και P-521), που εισήχθησαν το 2000 μέσω του προτύπου FIPS 186-2 για το “Digital Signature Standard” και είναι ζωτικής σημασίας για τη σύγχρονη κρυπτογραφία, δημιουργήθηκαν το 1997 χρησιμοποιώντας seeds που παρείχε η NSA. Οι καμπύλες καθορίζονται από τους συντελεστές τους και μια τυχαία τιμή seed, ενώ η προκαθορισμένη διαδικασία για την παραγωγή των κλειδιών είναι διαφανής και επαληθεύσιμη, με σκοπό να μειώσει τις ανησυχίες για κρυμμένες ευπάθειες.
Οι τελικοί χρήστες και οι προγραμματιστές δεν χρειάζεται να αλληλεπιδρούν απευθείας με αυτά τα seeds, αλλά αντ’ αυτού να χρησιμοποιούν τις παραμέτρους καμπύλης στο επιλεγμένο κρυπτογραφικό πρωτόκολλο. Ωστόσο, αυτοί που ενδιαφέρονται για την ακεραιότητα και την ασφάλεια του συστήματος ενδιαφέρονται πραγματικά για την προέλευση των seeds.
Κανείς δεν γνωρίζει πώς δημιουργήθηκαν τα αρχικά seeds, αλλά φήμες και έρευνες υποδεικνύουν ότι πρόκειται για κατακερματισμούς αγγλικών προτάσεων που παρείχε ο Jerry Solinas από την NSA. Πιστεύεται ότι ο Solinas χρησιμοποίησε έναν αλγόριθμο κατακερματισμού, πιθανότατα το SHA-1, για να δημιουργήσει τα seeds και πιθανώς τα ξέχασε για πάντα.
Ωστόσο υπάρχουν ανησυχίες από την κρυπτογραφική κοινότητα, που ξεκίνησαν πριν από πολλά χρόνια, ξεκινώντας με την περίπτωση του Dual_EC_DRBG που υποστήριζε ότι η NSA είχε τοποθετήσει backdoor στον αλγόριθμο. Η πιο ανησυχητική προοπτική προκύπτει από την υπόθεση και την κριτική σχετικά με μια αδυναμία που ενσωματώνεται στις καμπύλες NIST, η οποία θα επιτρέπει την αποκρυπτογράφηση ευαίσθητων δεδομένων. Αν και δεν υπάρχουν συγκεκριμένα στοιχεία που να υποστηρίζουν αυτά τα σενάρια, η προέλευση των seeds παραμένει άγνωστη, προκαλώντας φόβο και ανασφάλεια στην κοινότητα.
Δείτε επίσης: Οδηγός από την NSA: Πως να προστατεύσετε τα οικιακά δίκτυα
Εν κατακλείδι, η αλήθεια πίσω από τα “seeds” της NSA καταλαμβάνει μια θέση παράλληλη με τις μεγαλύτερες αποκαλύψεις της τεχνολογίας. Ελπίζουμε ότι η πρόκληση αυτή θα φέρει την αλήθεια σε ένα ζήτημα που απασχολεί την παγκόσμια κοινότητα της κρυπτογράφησης.
Πηγή: bleepingcomputer
