公開日:2013/11/08 最終更新日:2013/11/08

JVNVU#92615138
信頼できないパラメータを使用して生成した Dual_EC_DRBG の出力結果が推測可能な問題

概要

Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) には、楕円曲線を計算するためのパラメータの信頼性に関する問題が指摘されています。

影響を受けるシステム

Dual_EC_DRBG を実装している製品が影響を受ける可能性があります。
詳しくは CERT/CC Vulnerability Note VU#274923 の Vendor Information をご確認ください。

詳細情報

Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) は、NIST Special Publication 800-90A で規定されています。以前から、Dual_EC_DRBG の信頼性について研究者らから疑問を投げかけられており、NIST はこの問題についてのコメントを求めています。

NIST は、ITL Security Bulletins で次のように述べています。

Concern has been expressed about one of the DRBG algorithms in SP 800-90/90A and ANS X9.82: the Dual Elliptic Curve Deterministic Random Bit Generation (Dual_EC_DRBG) algorithm. This algorithm includes default elliptic curve points for three elliptic curves, the provenance of which were not described. Security researchers have highlighted the importance of generating these elliptic curve points in a trustworthy way. This issue was identified during the development process, and the concern was initially addressed by including specifications for generating different points than the default values that were provided. However, recent community commentary has called into question the trustworthiness of these default elliptic curve points.
この問題は、次の CWE に分類されます。
  • CWE-327: Use of a Broken or Risky Cryptographic Algorithm

想定される影響

Dual_EC_DRBG の出力を使用した共通鍵 (secret key material) などを推測される可能性があります。

対策方法

Dual_EC_DRBG を使用しない
NIST は、対策が出るまでの間、Dual_EC_DRBG の使用停止を強く推奨しています。

独自の楕円曲線を使用する
詳しくは NIST Special Publication 800-90A の Appendix A の A.2 節をご確認ください。

鍵を再生成する
Dual_EC_DRBG の出力を使用した鍵 (secret key material) などがある場合は、他の安全なアルゴリズムで生成し直してください。

ベンダ情報

参考情報

  1. CERT/CC Vulnerability Note VU#274923
    Dual_EC_DRBG output using untrusted curve constants may be predictable
  2. NIST ITL Security Bulletins - SUPPLEMENTAL ITL BULLETIN FOR SEPTEMBER 2013
    NIST OPENS DRAFT SPECIAL PUBLICATION 800-90A, RECOMMENDATION FOR RANDOM NUMBER GENERATION USING DETERMINISTIC RANDOM BIT GENERATORS, FOR REVIEW AND COMMENT
  3. On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng
  4. Conjectured Security of the ANSI-NIST Elliptic Curve RNG
  5. NIST Special Publication 800-90A
    Recommendation for Random Number Generation Using Deterministic Random Bit Generators

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-6755
JVN iPedia