NIST beerdigt umstrittenen Zufallszahlengenerator Dual_EC_DRBG

Nach anhaltender Kritik aus der Security-Community hat das National Institute of Standards and Technology (NIST) den umstrittenen Algorithmus Dual_EC_DRBG aus seiner Empfehlung für Zufallszahlengeneratoren zurückgezogen. Wie zuvor angekündigt enthält Revision 1 der Special Publication 800-90A den Algorithmus nicht mehr. Andere Algorithmen, die nach wie vor empfohlen werden, sind die auf Hash-Funktionen basierenden Generatoren Hash_DRBG, HMAC_DRGB und CTR_DRBG, welcher auf einem Block Cipher aufbaut.

Dual Elliptic Curve, oder Dual_EC_DRBG, war in die Kritik geraten, nachdem bekannt geworden war, dass der vom Geheimdienst NSA entwickelte Algorithmus eine Hintertür enthält. Diese kann ausgenutzt werden, um die resultierenden Zahlen erheblich zu beeinflussen. Damit werden Angriffe auf Software möglich, die diese Zufallszahlen – die dann gar nicht so zufällig sind, wie gedacht – als Grundlage für ihre Krypto-Prozesse benutzt. Die NSA hatte sich viel Mühe gegeben, ihren Algorithmus als Standard zu etablieren. In diesem Zuge spielte auch die Sicherheitsfirma RSA keine glückliche Rolle. (fab)