Onderzoekers hebben in een nieuwe encryptie standaard een achterdeur gevonden die mogelijk door de Amerikaanse inlichtingendienst NSA geplaatst is. De Amerikaanse overheid publiceerde dit jaar een nieuwe officiele standaard voor"random-number generators", die waarschijnlijk straks door zowel hardware als software ontwikkelaars gebruikt zullen worden. De NIST Special Publication 800-90 is gebaseerd op vier beproefde technieken, te weten hash functies, HMAC, block ciphers en elliptic curves. Het is bij de laatste dat er iets goed mis is. De generator die op elliptic curves is gebaseerd, maakt gebruik van een generator genaamd Dual_EC_DRBG. Niet alleen is deze drie keer zo langzaam als andere alternatieven, de enige reden dat die in de standaard zit is op verzoek van de NSA.

In 2006 werden er al problemen met Dual_EC_DRBG gevonden, maar in augustus van dit jaar demonstreerden onderzoekers Dan Shumow en Niels Ferguson een kwetsbaarheid die volgens Bruce Schneier alleen als een backdoor omschreven kan worden. De generator gebruikt een aantal vaste getallen om de elliptische kromme te bepalen. Deze vaste waarden zijn netjes in de publicatie van het National Institute of Standards and Technology (NIST) te vinden, maar nergens wordt uitgelegd waar ze vandaan komen.

De onderzoekers lieten zien dat de vaste waardes een relatie met een tweede verzameling van geheime getallen hebben, die als loper kan dienen. Als je de geheime getallen kent, kun je de output van de random-number generator aan de hand van slechts 32 bytes van diens output bepalen. Dat betekent dat je slechts 1 versleutelde TLS verbinding moet monitoren om de beveiliging van het protocol te kraken, en als je de geheime getallen kent, kun je alle Dual_EC_DRBG implementaties breken.

Hoewel de standaard zo geïmplementeerd kan worden dat de kwetsbaarheid zich niet voordoet, zullen de meeste ontwikkelaars hier geen rekening mee houden. Bruce Schneier begrijpt dan ook niet waarom de NSA zo nodig Dual_EC_DRBG in de standard wilde hebben. "Het heeft geen zin als een backdoor, omdat het publiekelijk en wel erg duidelijk aanwezig is. Vanuit een engineering standpunt is het ook niet zinnig, omdat het te langzaam is. Daarnaast is het eenvoudig om de ene random-number generator met een andere te vervangen." Zowel het NIST als de NSA hebben dan ook iets uit te leggen, aldus de beveiligingsgoeroe.