JVNVU#92615138
信頼できないパラメータを使用して生成した Dual_EC_DRBG の出力結果が推測可能な問題
Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) には、楕円曲線を計算するためのパラメータの信頼性に関する問題が指摘されています。
Dual_EC_DRBG を実装している製品が影響を受ける可能性があります。
詳しくは CERT/CC Vulnerability Note VU#274923 の Vendor Information をご確認ください。
Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) は、NIST Special Publication 800-90A で規定されています。以前から、Dual_EC_DRBG の信頼性について研究者らから疑問を投げかけられており、NIST はこの問題についてのコメントを求めています。
NIST は、ITL Security Bulletins で次のように述べています。
Concern has been expressed about one of the DRBG algorithms in SP 800-90/90A and ANS X9.82: the Dual Elliptic Curve Deterministic Random Bit Generation (Dual_EC_DRBG) algorithm. This algorithm includes default elliptic curve points for three elliptic curves, the provenance of which were not described. Security researchers have highlighted the importance of generating these elliptic curve points in a trustworthy way. This issue was identified during the development process, and the concern was initially addressed by including specifications for generating different points than the default values that were provided. However, recent community commentary has called into question the trustworthiness of these default elliptic curve points.この問題は、次の CWE に分類されます。
- CWE-327: Use of a Broken or Risky Cryptographic Algorithm
Dual_EC_DRBG の出力を使用した共通鍵 (secret key material) などを推測される可能性があります。
Dual_EC_DRBG を使用しない
NIST は、対策が出るまでの間、Dual_EC_DRBG の使用停止を強く推奨しています。
独自の楕円曲線を使用する
詳しくは NIST Special Publication 800-90A の Appendix A の A.2 節をご確認ください。
鍵を再生成する
Dual_EC_DRBG の出力を使用した鍵 (secret key material) などがある場合は、他の安全なアルゴリズムで生成し直してください。
-
CERT/CC Vulnerability Note VU#274923
Dual_EC_DRBG output using untrusted curve constants may be predictable -
NIST ITL Security Bulletins - SUPPLEMENTAL ITL BULLETIN FOR SEPTEMBER 2013
NIST OPENS DRAFT SPECIAL PUBLICATION 800-90A, RECOMMENDATION FOR RANDOM NUMBER GENERATION USING DETERMINISTIC RANDOM BIT GENERATORS, FOR REVIEW AND COMMENT -
On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng
-
Conjectured Security of the ANSI-NIST Elliptic Curve RNG
-
NIST Special Publication 800-90A
Recommendation for Random Number Generation Using Deterministic Random Bit Generators
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2007-6755 |
JVN iPedia |
|