Über Zufallszahlen, Verschlüsselung, Hintertüren, Vista und das NSA

Im August 2007 hatten zwei Microsoft-Mitarbeiter auf der Crypto 2007 die Schwachstellen des neuen Verschlüsselungsverfahrens im NIST-Standard SP800-90 dargelegt. Umso erstaunlicher ist es, dass Microsoft im Service Pack 1 für Windows Vista den Dual_EC_DRBG nun als Security Improvement weltweit ausrollt. Hierbei sind anscheinend die Implementierungshinweise bezüglich der Generierung von alternativen Q-Werten nicht berücksichtigt.

Problematisch ist dabei insbesondere, dass es für den Nutzer kaum nachzuvollziehen ist, welche Zufallsgeneratoren ein Programm oder Betriebssystem intern tatsächlich verwendet. Da der Dual_EC_DRBG aber auch noch deutlich langsamer als die anderen Algorithmen ist, kann man nur hoffen, dass vorwiegend die unstrittigen Alternativen zum Einsatz kommen. (ala)

Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, „Handbook of Applied Cryptography“, CRC Press, ISBN: 0-8493-8523-7, October 1996, verfügbar unter: http://www.cacr.math.uwaterloo.ca/hac/

Wolfgang Ertel, „Angewandte Kryptographie“, Hanser Verlag München, 3. akt. Auflage 2007, ISBN 10: 344641195X, ISBN-13: 978-3446411951.

Ross Gore, „Security of Random Number Generation: An Annotated Bibliography”, http://www.cs.virginia.edu/~rjg7v/annotated.html