jsn

Меж тем, fallout от публикаций Сноудена в криптографии продолжает выпадать со страшной силой. Последнее из принесённого, на этот раз, Слэшдотом: после заявления Шнайера о том, что он теперь не доверяет шифрованию на эллиптических кривых, народ побежал вспоминать-искать, нет ли там чего-нибудь, похожего на закладку. И практически сразу же нашёл:

>> Bruce Schneier recommends *not* to use ECC. It is safe to assume he
>> knows what he says.
>
> I believe Schneier was being careless there. The ECC parameter sets
> commonly used on the internet (the NIST P-xxxr ones) were chosen using
> a published deterministically randomized procedure. I think the
> notion that these parameters could have been maliciously selected is a
> remarkable claim which demands remarkable evidence.

Okay, I need to eat my words here.

[...]

The deterministic procedure basically computes SHA1 on some seed and uses it to assign the parameters then checks the curve order, etc.. wash rinse repeat.

Then I looked at the random seed values for the P-xxxr curves. For example, P-256r's seed is c49d360886e704936a6678e1139d26b7819f7e90.

_No_ justification is given for that value. [...]

I now personally consider this to be smoking evidence that the parameters are cooked.
(original mailing list message)

Рекомендованные стандартом константы ECC изготовлены человеком NSA с помощью довольно подозрительного процесса. (Это не та же старая история про практически общеизвестную старую закладку NSA в Dual_EC_DRBG, это новое и гораздо круче). Дискуссия на соответствующем StackExchange:

The NIST FIPS 186-3 standard provides recommended parameters for curves that can be used for elliptic curve cryptography. These recommended parameters are widely used; it is widely presumed that they are a reasonable choice.

Тут сказано "широко используется". Насколько я понимаю, ECC-криптография вообще сильно менее "широко используется", чем DLP или IFP. Но вообще это big deal вроде бы -- один из трёх мейнстримовых математических фреймворков для шифрования с открытым ключом содержит палёные константы от NSA.

(оригинальный пост на Slashdot-е)