Данная статья была опубликована журналом InfoSecurity ( http://www.infosecurity-magazine.com ) 16 мая 2014 года.
Отголоски разоблачений Эдварда Сноудена (Edward Snowden), касающихся деятельности Агентства национальной безопасности (АНБ - National Security Agency, NSA) продолжаются - теперь Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) объявил о начале пересмотра своей программы разработки стандартов криптографии и соответствующих руководств.
В ноябре 2013 года NIST объявил (см. http://www.infosecurity-magazine.com/view/35459/postnsa-revelations-nist-opens-review-of-all-crypto-standards/ ) о намерении провести внутренний аудит всех своих криптографических стандартов и процесса их коллективной разработки в свете разоблачений, согласно которым АНБ смогло ослабить алгоритмы шифрования NIST в интересах своей разведывательной деятельности (см. http://csrc.nist.gov/groups/ST/crypto-review/index.html ).
Раскрытые Эдвардом Сноуденом в сентябре документы показали, что АНБ тратило 250 миллионов долларов в год на проект под названием «SIGINT Enabling» с целью тайно подорвать эффективность алгоритмов шифрования. Основной целью этих усилий является «использовать влияние агентства» на процесс коллективной работы над стандартами с целью ослабления стандартов шифрования, которые публикует NIST и другие органы стандартизации.
«Недавние новости об утечке секретных документов вызвали озабоченность в криптографическом сообществе в отношении безопасности криптографических стандартов и руководств NIST», - пишет Донна Додсон (Donna Dodson), начальник отдела компьютерной безопасности NIST, - и одновременно «NIST глубоко обеспокоен этими сообщениями, которые ставят под сомнение целостность используемого NIST процесса разработки стандартов».
Вскоре после этого NIST рекомендовал более не использовать его спецификации алгоритма на основе эллиптической кривой (см. http://www.infosecurity-magazine.com/view/34507/nist-says-dont-use-our-crypto-algorithm ), в свете того, насколько сильно АНБ было вовлечено в её разработку. «В конечном итоге АНБ стало единоличным редактором», как журнал Infosecurity сообщал ранее. Этому примеру последовали поставщики, и RSA «настоятельно рекомендовало» (см. http://www.infosecurity-magazine.com/view/34618/update-rsa-says-dont-use-our-crypto-tool-/ ) своим разработчикам прекратить использование криптографии NIST. Помимо этого, компания Silent Circle закрыла свой защищённый почтовый сервис, в котором использовались стандарты шифрования NIST.
После двухмесячного публичного обсуждения головной консультативный комитет NIST - «Гостевой комитет по передовым технологиям» (Visiting Committee on Advanced Technology, VCAT) в настоящее время приступил к пересмотру. Комитет также сформировал группу экспертов, которая поможет в этой работе.
«Наша миссия заключается в защите национальной ИТ-инфраструктуры и информации путем продвижения сильной криптографии. Мы надеемся, что проводимый VCAT пересмотр обеспечит нам наиболее прозрачный и эффективный процесс для выполнения этой задачи», - сказал директор NIST, заместитель министра торговли по вопросам стандартов и технологий Патрик Галлахер (Patrick D. Gallagher).
В составе группы внешних экспертов, известной, как «Комитет визитеров» (Committee of Visitors), специалисты-«тяжеловесы»: Винт Серф (Vint Cerf) из Google; Эдвард Фельтен (Edward Felten) из Принстонского университета; Стив Липнер (Steve Lipner) из Майкрософт; Барт Пренил (Bart Preneel) из Католического университета Левена (Katholieke Universiteit Leuven); Эллен Ричи (Ellen Richey) из компании Visa; Рон Ривест (Ron Rivest) из Массачусетского технологического института (MIT); и Фрэн Шроттер (Fran Schrotter) из Американского национального института стандартов (ANSI).
Члены группы представят свои индивидуальные мнения подкомитету VCAT по кибербезопасности, который доложит свои выводы и рекомендации полному составу комитета VCAT. О ходе работы подкомитет сообщит 11 июня 2014 года на очередном заседании VCAT.
Источник: журнал InfoSecurity
http://www.infosecurity-magazine.com/view/38435/nist-kicks-off-postsnowden-crypto-standards-review/
Комментариев нет:
Отправить комментарий