듀얼 EC_DRBG

Dual_EC_DRBG(Dual Elliptic Curve Deterministic Random Bit Generator)^[1]는 타원곡선 암호화 방식을 사용하여 암호학적으로 안전한 의사난수 생성기(CSPRNG)로 제시된 알고리즘입니다.백도어의 공개적 식별을 포함한 광범위한 여론의 비판에도 불구하고, 이 문서는 NIST SP 800-90A에서 표준화된 4개의 CSPRNG 중 1개로 2006년 6월경에 처음 출판된 것으로 2014년에 철회될 때까지 7년 동안 사용되었다.

약점: 잠재적인 백도어

알고리즘의 암호화 보안의 약점은 알고리즘이 ANSI, ISO 및 이전에는 National Institute of Standards and Technology(NIST; 국립표준기술연구소)가 승인한 공식 표준의 일부가 되기 훨씬 전에 알려져 공개적인 비판을 받았습니다.공개적으로 확인된 약점 중 하나는 이 알고리즘에 대해 알고 있는 사람들(미국 정부의 국가안전보장국(NSA))에게 유리한 도둑질 백도어를 숨겨줄 수 있는 알고리즘의 잠재력이었다.2013년 뉴욕타임스는 백도어가 진짜이며 NSA가 Bullrun 암호 해독 프로그램의 일환으로 의도적으로 삽입한 것이라고 보도했지만 일반에 공개하지는 않았다.2013년 12월 로이터 뉴스 기사에서 NIST가 Dual_을 표준화하기 전인 2004년에 이러한 사실이 보도되었습니다.EC_DRBG, NSA는 RSA Security에 1000만달러를 지불하고 Dual_을 사용EC_DRBG로 RSA보안 불안한 알고리즘의 가장 중요한 대리점이 되는 것에 따른 RSABSAFEcryptography 도서관에는 기본.[2]RSA은 그들이 그들이 고의로가 국가 안보국과 결함이 있을 것으로 알려졌다 알고리즘을 채택하도록 결탁한"강력히 부인하다.","우리는 도둑[가 국가 안보국과][우리]관계 유지된 적이 없"다.[3]

2004년에 처음 출판되기 전에 Dual_에서 도난 가능성이 있는 백도어가 발견되었습니다.EC_DRBG 설계, Dual_ 설계EC_DRBG는 이론상 듀얼 이외에는 불가능하다는 특이한 특성을 가지고 있습니다.EC_DRBG의 설계자(NSA)가 백도어의 존재를 확인합니다.Bruce Schneier는 표준화 직후에 (다른 결점과 함께) "매우 명백한" 백도어는 듀얼을 사용하지 않을 것이라고 결론지었다.EC_DRBG^[4]백도어에서는 듀얼_을 사용한SSL/TLS 암호화 등 NSA가 복호화할 수 있습니다.CSPRNG로서의 ^[5]EC_DRBG

ANSI 표준 그룹의 멤버(Dual_)EC_DRBG가 최초로 송신되어 잠재적인 백도어의 정확한 메커니즘과 ^[6]그것을 디세블로 하는 방법을 알고 있었습니다만, 백도어를 무조건 디세블로 하거나 널리 알리기 위한 충분한 조치는 취해지지 않았습니다.Dan Shumow와 Niels Ferguson이 백도어 메커니즘을 설명하는 Certicom의 Daniel R. L. Brown과 Scott Vanstone의 2005년 특허 출원이 발표되기 전까지는 일반 암호화 커뮤니티는 처음에 백도어 가능성에 대해 알지 못했습니다.

2013년 9월, NYT는 Edward Snowden에 의해 유출된 내부 NSA 메모는 NSA가 표준화 과정 중에 작업하여 최종적으로 Dual_의 단독 편집자가 되었음을 나타내고 있다고 보도했다.EC_DRBG ^[7]표준으로 Dual_DRBG는EC_DRBG 규격에는 실제로 ^[8]NSA의 백도어가 포함되어 있습니다.이에 대해 NIST는 "NIST가 의도적으로 암호화 ^[9]표준을 약화시키지 않을 것"이라고 밝혔다.뉴욕타임즈의 보도에 따르면, NSA는 Bullrun ^[10]프로그램의 일환으로 소프트웨어와 하드웨어에 백도어를 삽입하기 위해 연간 2억 5천만 달러를 지출한다.그 후 대통령 자문위원회가 설립되어 미국 정부가 "암호화 ^[11]표준을 제정하기 위한 노력을 훼손하지 않고 전적으로 지지"하고 있는 것 중 NSA의 권고를 검토하게 되었습니다.

2014년 4월 21일 NIST는 Dual_를 철수했습니다.EC_DRBG는 "Dual_의 현재 사용자"를 권장하는 난수 생성기에 대한 초안 지침서이다.EC_DRBG는 가능한 ^[12]한 빨리 나머지 3개의 승인된 알고리즘 중 하나로 이행합니다."

Dual_의 스케줄EC_DRBG

시간을	무슨일이야
1997년 5월	Adam L. Young과 Moti Yung은 Eurocrypt [13]1997에서 암호학 논문 "Kleptography: Using Cryptography Against Cryptography"를 발표했습니다.이 문서에서는 Diffie에 비밀 키 교환을 구축하는 방법을 보여 줍니다.헬만 키 교환 프로토콜이야EC-DRBG 백도어는 약간의 변경만 있으면 Diffie의 Young-Yung 백도어와 동등합니다.Eurocrypt 1997의 Hellman입니다.
1997년 8월	Adam L. Young과 Moti Yung은 Crypto [14]1997에서 암호학 논문인 "Discriptographic Attacks on Discrete-Log Based Cryptosystems"를 발표했습니다.이 문서에서는 비대칭 백도어를 이산 로그를 기반으로 암호 알고리즘으로 구축하는 방법에 대한 레시피를 소개합니다.이 논문은 Diffie 공격에 사용되는 패러다임을 일반화합니다.Eurocrypt 1997의 Hellman입니다.이 논문은 나중에 EC-DRBG에 설계될 '이산 로그 도용도'를 소개합니다.
ANSI X9.82 표준화 프로세스는 2000년대 초에 시작되었습니다.	듀얼_을 탑재하는 NSA 드라이브ANSI X9.82의 EC_DRBG(표준화 프로세스가 2000년대 [6]초에 개시되었을 때).
ANSI X9.82 표준화 프로세스 시작 후 NIST 발행 전	John Kelsey(Elaine Barker와 함께 NIST SP 800-90A의 저자로 등재됨)에 따르면, 신중하게 선택된 P 및 Q 값에 의한 백도어 가능성은 ANSI X9.82 회의에서 제기되었습니다.그 결과 구현자가 자신의 P 및 Q [15]값을 선택할 수 있는 방법이 지정되었습니다.나중에 NIST가 표준에 추가한 특정 미묘한 공식은 사용자가 원래 손상된 P 및 Q [16]값을 사용할 경우에만 구현에 대한 중요한 FIPS 140-2 검증을 받을 수 있음을 의미한다는 것을 알게 되었습니다.
2003년 10월	Goh, Boneh, Pinkas 및 Golle은 SSL/TLS [17]및 SSH 프로토콜에 키 복구를 추가하는 문제에 대한 연구 논문을 발표합니다.이들은 다음과 같이 말하고 있습니다.정부는 주요 소프트웨어 벤더를 설득하여 SSL/TLS 또는 SSH2 구현을 숨김 및 필터링할 수 없는 키 리커버리로 배포합니다.스킴이 숨겨져 있기 때문에 사용자는 키 회복 메커니즘을 눈치채지 못할 것입니다."그런 다음 서버가 랜덤 난스를 필요로 할 때 대신 에스크로 키로 계산된 세션 키의 암호화를 사용할 수 있도록 제안합니다.이 방법에서는 타원 곡선 이산 로그 도용도를 활용하지 않기 때문에 큰 대역폭의 서브리미널 채널이 필요합니다.
2004년 6월	듀얼을 포함한 ANSI X9.82, 파트 3의 초안이 공개되었다.EC_DRBG[6]초기 초안이 출판되었는지는 알려지지 않았다.
2004년 언젠가	RSA는 듀얼_을 만듭니다.BSAFE의 디폴트 CSPRNG는 EC_DRBG입니다.2013년, 로이터 통신은 이것이 [2]NSA와의 비밀 거래의 결과라고 보도했습니다.
2005년 1월 21일	ANSI X9.82 표준화 위원회의 2명의 Certicom 멤버에 의한 특허출원[18] 우선일.특허는 Dual_의 잠재적 백도어와 동일한 타원곡선 CSPRNG 백도어의 작동을 기술하고 있습니다.EC_DRBG 및 출력 [6]함수에서 대체 곡선 포인트와 더 많은 비트 절단을 선택하여 숨겨진 백도어를 무력화하는 방법.
2005년 언젠가[19]	ISO/IEC 18031:2005가 공개되어 있으며, Dual_도 포함되어 있습니다.EC_DRBG[6]
2005년 12월[20]	NIST SP 800-90A의 초안에는 Dual_이 포함되어 있습니다.EC_DRBG[5]
2006년 3월 16일	Kristian Gjösteen은 Dual-EC-DRBG/NIST SP 800-90에 대한 코멘트를 발행하고 있으며, 2005년 12월 초안에서는 Dual_의 일부를 나타내고 있습니다.EC_DRBG는 "암호화적으로 건전하지 않다"며 0.0011의 이점을 가진 비트프레딕터를 구축합니다.이것은 CSPRNG에서는 [5][20]허용되지 않는 것으로 간주됩니다.
2006년 3월 29일	Daniel R. L. Brown은 "ANSI-NIST 타원곡선 RNG의 Conjected Security of the ANSI-NIST Elliptic Curve RNG"를 발표하여 "Dual"이라는 결론을 내렸습니다.EC_DRBG]는 Dual_에 있는 것보다 곡선점의 절단이 적다고 가정할 때 중요한 고려사항이 될 것이다.EC_DRBG(Gjösteen의 2006년 논문에서 필요).이 신문은 또한 슈모우와 퍼거슨이 2007년 백도어 가능성을 발표할 것으로 예상하고 있다. "이 증거는 Q가 랜덤이라는 것을 필수적으로 사용한다.그 이유는 단순히 증명하는 것 이상이다.Q가 랜덤이 아닌 경우, 상대방이 dQ = P와 같은 d를 알고 있는 경우일 수 있습니다.그런i 다음 dR = dS이므로i+1 이러한 식별자가 출력에서 즉시 비밀 프레스트레이트를 복구할 수 있습니다.식별자는 프리스트레이트를 얻으면 출력과 랜덤을 쉽게 구별할 수 있습니다.따라서 일반적으로 Q는 [21]P에 비해 랜덤으로 선택하는 것이 바람직하다.
2006년 5월 29일	Berry Schoenmakers와 Andrey Sidorenko는 듀얼 타원 곡선 의사 난수 생성기의 암호 분석을 발표하여 듀얼_의 출력이 경험적으로 증명되었습니다.EC_DRBG는 랜덤비트와 구별할 수 있기 때문에 Dual_로 간주됩니다.EC_DRBG는 CSPRNG로서 안전하지 않습니다.이것은 백도어와는 별개의 문제입니다.저자들은 또한 Dual_의 보안 주장도 지적하고 있습니다.EC_DRBG는 비공식 토론에서만 지원됩니다.보안에 대한 증거(예: 감소 인수를 통한)는 [22]제시되지 않는다.따라서 NIST는 안전성이 확보된 유사 난수 발생기를 무시했으며, 이는 안전 점검 학술 문헌에 오랫동안 존재해 왔다.
2006년 6월	NIST SP 800-90A 공개 (듀얼 포함)Kristian Gjösteen, Berry Schoenmakers 및 Andrey Sidorenko가 지적한 결함이 있는 EC_DRBG는 수정되지 않았습니다.
2007년 6월	Young과 Yung은 SSL의 [23]안전한 비대칭 백도어에 대한 자세한 연구 논문을 발표합니다.비대칭 백도어는 비틀린 타원 곡선의 쌍을 사용하여 hello 난스에 쉽게 들어갈 수 있는 개별 로그 절도 도표를 생성합니다.이 공격은 SSL 난수 생성에 대한 공격입니다.NIST가 백도어한EC-DRBG를 사용하여hello 난스를 생성하는 동작은 Young과 Yung에 의한 SSL에 대한 이 공격을 정확하게 모방합니다.
2007년 8월	Dan Shumow와 Niels Ferguson은 백도어와 적은 양의 출력을 가진 공격자가 EC-DRBG의 내부 상태를 완전히 복구할 수 있다는 것을 보여 주는 비공식 프레젠테이션을 통해 향후 모든 [24]출력을 예측할 수 있습니다.
2007년 11월 15일	Bruce Schneier는 Dan Shumow와 Niels Ferguson의 [4]프레젠테이션을 바탕으로 Wired에서 "NSA가 새로운 암호화 표준에 비밀 백도어를 넣었는가?"라는 제목의 기사를 게재합니다.
2013년 6월 6일	첫 번째 뉴스 기사 (Dual과 무관)Edward Snowden의 NSA 문서 유출에 기초한 EC_DRBG)가 공개된다.
2013년 9월 5일	NSA의 Bullrun 프로그램의 존재는 스노든의 유출을 바탕으로 밝혀졌습니다.Bullrun의 목적 중 하나는 "전 세계 하드웨어 및 소프트웨어 개발자들이 따르는 암호화 표준에 약점을 은밀히 도입하는 것"으로 묘사된다.NYT는 N.I.S.T가 채택한 2006년 Dual EC DRBG [25]규격에 N.I.S.A.가 백도어를 삽입했다며 NSA가 악의적인 소프트웨어 공격을 가했음을 확인했다.
2013년 9월 10일	NIST 공보실의 게일 포터 국장은 성명을 내고 "NIST는 의도적으로 암호 [26]표준을 약화시키지 않을 것"이라고 말했다.이 성명은 NIST가 NIST의 자체 암호 기술자인 John Kelsey의 표준 백도어 가능성에 대한 경고를 무시했다는 사실을 다루지 않는다.
2013년 9월 19일	RSA Security는 Dual_ 사용을 중지하도록 고객에게 조언합니다.RSA Security의 BSAFE 툴킷 및 Data Protection Manager의 EC_DRBG는 2013년 9월 12일에 작성된 NIST 지침을 인용하여 다음과 같이 말했습니다. "NIST는 보안 문제가 해결되고 SP 800-90A가 재발행될 때까지 Dual_DRBG는2012년 1월 SP 800-90A 버전에서 지정된 EC_DRBG는 [27]더 이상 사용되지 않습니다."RSA가 Dual_를 계속 사용하고 있다는 의혹이 제기되는 첫 번째 언론 보도BSAFE 및 Data Protection Manager 제품에서는 디폴트로 EC_DRBG가 사용됩니다.특히 알고리즘의 백도어 가능성에 대한 우려가 이전에 발표된 2007년 이후에는 더욱 그렇습니다.RSA 최고기술책임자 Sam Curry가 RSA Security의 Dual_ 사용 선택에 대한 간단한 근거를 제시합니다.EC_DRBG는 디폴트로 암호화 기술자에 의해 널리 비판받고 있습니다.Curry는 Dual_을 사용하기 위해 NSA와 나중에 밝혀진 1000만달러 계약에 대해 언급하지 않았다.EC_DRBG[28]
2013년 12월 18일	NSA를 조사하기 위해 설치된 대통령 자문 위원회는 미국 정부가 "암호화 [11]표준을 작성하기 위한 노력을 훼손하지 않고 전적으로 지지할 것"을 권고했다.
2013년 12월 20일	RSA와 NSA 사이에 Dual_를 설정하기 위한 1000만달러의 거래가 존재한다고 로이터 통신이 보도했습니다.BSAFE [2]디폴트 CSPRNG로서의 EC_DRBG.
2013년 12월 22일	RSA Security는 "불량 난수 생성기를 BSAFE 암호화 라이브러리에 통합하기 위해 NSA와 '비밀 계약'을 체결한 것"을 부인하는 성명을 게시하고 있지만, RSA와 NSA 간에 Dual_를 설정하기 위한 1000만 달러의 거래가 있다는 사실은 부인하지 않습니다.BSAFE에서는 [3]EC_DRBG를 표준으로 합니다.BBC와 같은 일부 뉴스 사이트들은 보도 자료를 1,000만 달러 [29]계약의 직접적인 존재 부정으로 요약하고 있고, 다른 논평들은 RSA 보안 보도 자료가 [30][31]정확히 무엇을 부인하고 있는지 명확하지 않다고 지적한다.
2014년 2월 25일	2014 RSA Conference 기조연설에서 RSA Security Executive 회장(및 EMC Executive Vice President) Art Coviello는 RSA Security가 Dual_의 결함을 지적한 2006년 및 2007년 연구 논문에서 장점을 발견하지 못했다고 시사했습니다.NIST가 CSPRNG 사용을 중단하라는 지침을 발표하기 전까지 EC_DRBG는 RSA Security가 암호화로 인한 수익 감소를 경험했으며, 더 이상 암호화 연구를 추진하는 데 리소스를 투자하고 싶지 않다고 말했지만, "오픈 표준의 기여자 및 수혜자"로서 NIST와 NSA의 지침을 신뢰할 것이며,[32] NSA가 CSPRNG를 속였다고 비난했습니다.
2014년 4월 21일	공개 코멘트 기간과 리뷰 후 NIST는 듀얼을 삭제했다.EC_DRBG는 난수 생성기에 대한 초안 가이드라인의 암호화 알고리즘으로서 "Dual_의 현재 사용자"를 권장합니다.EC_DRBG는 가능한 [12]한 빨리 나머지 3개의 승인된 알고리즘 중 하나로 이행합니다."
2014년 8월	EC-DRBG를 사용하여 비대칭 백도어를 SSL 및 [33]TLS로 구축하는 것의 실용성을 분석하는 연구 논문을 발표합니다.
2015년 1월	NSA의 조사 책임자인 Michael Wertheimer는 다음과 같이 썼다. "나중에 NSA는 보안 연구원들이 트랩도어 가능성을 발견한 즉시 Dual EC DRBG 알고리즘 지원을 중단했어야 했다.사실,[34] Dual EC DRBG 알고리즘의 지원을 중단하지 못한 것은 유감스러운 일이라고 생각합니다."

묘사

개요

알고리즘에서는 단일 정수를 상태로 사용합니다.새로운 난수가 요구될 때마다 이 정수는 갱신됩니다.k번째 상태는 다음과 같습니다.

${\displaystyle s_{k}=g_{P}(s_{k-1})$

반환되는 랜덤 정수 r은 상태의 함수입니다.k번째 난수는

${\displaystyle r_{k}=g_{Q}(s_{k})$

${\displaystyle g_{}}$ P${\displaystyle {}_{}}$(${\displaystyle x}$) {$display$ style $g_{P}(x$$)}$ 기능은 고정된 타원 곡선 점 P에 따라 ${\displaystyle {달라집니다}_{}}$ ${\displaystyle g}$Q$$( x ) { $displaystyle g_{Q}($x$$)}는 점 Q를 사용한다는 점을 제외하고는 유사합니다.포인트 P와 Q는 알고리즘의 특정 구현에 대해 일정하게 유지됩니다.

세부 사항

이 알고리즘은 다양한 상수, 가변 출력 길이 및 기타 사용자 지정을 허용합니다.간단하게 하기 위해 여기서 설명하는 것은 곡선 P-256의 상수(사용 가능한 3개의 상수 세트 중 하나)를 사용하고 출력 길이가 고정됩니다.알고리즘은 소수 유한 $필드{\displaystyle {}_{}}$ $(\$})($$${\displaystyle Z}$/ p$$ \$displaystyle \mathbb {Z}$ /$p\mathbb {$Z$}$에서만 작동합니다.여기서 p는 소수입니다.상태, 시드 및 난수는 모두 이 필드의 요소입니다.필드 크기는

$({displaystyle p=mathtt {ffffffffff000000fffffffffffffbce6faada7179e84f3b9g2fc6325511}_{16})$

${\displaystyle F_{}}$ p$\$ 위의 $타원$ 곡선이 주어집니다.

${\displaystyle y^{2}=x^{3}-3x+b}$

여기서 상수 b는

$({displaystyle b=bcmathtt {5ac635d8a3a3a93e7b3b3bc557698bc651d06b0cc53b63bc3c3e27d2604b}_{16})$

곡선의 포인트는 $E{\displaystyle }$( ${\displaystyle F{\displaystyle {}_{}}{\displaystyle p_{}}}$ )$${ $displaystyle$ E ( { \ $displaystyle F$_ { $p$} ) $。$이들 중 2개는 고정점 P와 Q로 지정된다.

${\displaystyle P,Q\in E(F_{p})}$

그들의 좌표는

$디스플레이 스타일P_{x}&=parammathtt {6b17d1f2\e12c4247\f8c6e5\63a-f2\77037d81\2param33a0\f4a-param45\d898c296}_{~16}\\\\P_{y}&=bcmathtt {4fe342e2\fe1a7f9b\8ee7eb4a\7c0f9e16\2b3357\6b315ece\cbbbc68\37bf51f5}_{~16}\\\\\\\\\\Q_{x}&=bechmathtt {c97445f4\5cdef9f0\d3e05e1e\585fc297\235b82b5\be8ff3ef\c67c598\52018192}_{~16}\\Q_{y}&=submathtt {b28ef557\ba31dfcb\d21ac46\e2a91e3c\304f44cb\87058ada\2cb815\1e610046}_{~16}\end{aligned}}}$

x좌표를 추출하는 함수를 이용한다.타원 곡선점에서 필드 요소로 "변환"됩니다.

${\displaystyle X(x,y)=x}$

출력 정수가 출력되기 전에 잘립니다.

${displaystyle t(x)=x\{text{mod}}\{frac {p}{2^{16}}}$

${\displaystyle g_{}}$ P$${ $displaystyle g$_ { $P$} 、 ${\displaystyle g_{}}$Q { $displaystyle$ g$_$ { $Q$} 。이러한 함수는 고정점을 거듭제곱합니다.이 맥락에서 "승으로 올리기"는 타원 곡선의 점에 대해 정의된 특수 연산을 사용하는 것을 의미한다.

$(\displaystyle g_{P}(x)=X(P^{x})}$

$(\displaystyle g_{Q}(x)=t(X(Q^{x}))})$

제너레이터에는 ${\displaystyle F_{}}$p {$displaystyle F_{p}$의 요소가 시드됩니다.

${\displaystyle s_{1}=g_{P}(시드)}$

k번째 상태와 난수

${\displaystyle s_{k}=g_{P}(s_{k-1})$

${\displaystyle r_{k}=g_{Q}(s_{k})$

난수

$\displaystyle r_{1}, r_{2},\ldots }$

보안.

Dual_를 포함하는 명확한 목적NIST SP 800-90A의 EC_DRBG는 그 보안이 숫자 이론의 계산 경도 가정에 기초한다는 것이다.수학적 보안 감소 증명은 수 이론적인 문제가 어려운 한 난수 발생기 자체가 안전하다는 것을 증명할 수 있다.단, Dual_ 제조사는EC_DRBG는 Dual_에 대한 보안 감소를 공개하지 않았습니다.EC_DRBG는 NIST 초안이 발표된 직후에 Dual_로 판명되었습니다.EC_DRBG는 ^[22][35][36]라운드당 비트가 너무 많이 출력되기 때문에 실제로는 안전하지 않았습니다.너무 많은 비트의 출력(및 신중하게 선택된 타원곡선점 P 및 Q)은 공격자가 브루트 포스 추측에 의해 절단을 되돌릴 수 있기 때문에 NSA 백도어를 가능하게 합니다.너무 많은 비트의 출력이 최종 공개 표준에서 수정되지 않아 Dual_이 남았습니다.EC_DRBG는 안전하지 않고 백도어입니다.^[5]

다른 많은 표준에서 임의적이어야 하는 상수는 조정의 여지가 거의 없는 방식으로 파이 또는 유사한 수학 상수에서 파생되는 nothing my sleeve number 원리에 의해 선택됩니다.단, 듀얼_EC_DRBG는 기본 P 상수와 Q 상수의 선택 방법을 지정하지 않았습니다.이는 NSA가 이들을 백도어 하도록 구성했기 때문일 수 있습니다.표준위원회는 백도어의 가능성을 인식하고 있었기 때문에, 실시자가 독자적인 시큐어 P와 Q를 선택할 수 있는 방법이 ^[6][15]포함되었습니다.그러나 표준 내의 정확한 공식은 FIPS 140-2 검증을 위해 백도어 P 및 Q의 사용이 요구되도록 작성되었습니다.따라서 OpenSSL 프로젝트에서는 백도어 P 및 Q를 구현하기로 결정했습니다.백도어 P 및 Q의 가능성을 인식하고 있으며 자체 보안 P 및 ^[37]Q를 생성하는 것을 선호합니다.NYT는 나중에 NSA가 표준화 과정 동안 작업하여 결국 ^[7]표준의 단독 편집자가 되었다고 썼다.

Dual_에 대한 보안 증명은 나중에 공개되었습니다.Daniel R.L. Brown과 Kristian Gjösteen의 EC_DRBG는 생성된 타원곡선점이 균일하게 랜덤한 타원곡선점과 구별할 수 없으며, 최종 출력 잘림에서 더 적은 비트가 출력되고, 두 개의 타원곡선점 P와 Q가 독립적이라면 Dual_steen을 나타낸다.EC_DRBG는 안전합니다.그 증거는 세 가지 문제가 어렵다는 가정에 의존했다: 결정적 차이-Hellman 가정(일반적으로 어려운 것으로 받아들여지고 있음)과 일반적으로 어려운 것으로 받아들여지지 않는 덜 알려진 두 가지 새로운 문제, 즉 잘린 점 문제와 x-logam 문제.^[35][36]Dual_EC_DRBG는 많은 다른 CSPRNG에 비해 상당히 느리지만(시큐러티^[38] 저하가 없는 경우), Daniel R.L. Brown씨는, 시큐러티 저하로 인해 듀얼이 느려지고 있다고 주장합니다.EC_DRBG는 유효한 대체 수단입니다(실장자가 명백한 백도어를 ^[38]무효로 하는 것을 전제로 하고 있습니다).Daniel R.L. Brown은 타원곡선암호특허의 주요 소유자인 Certicom에서 근무하고 있기 때문에 EC CSPRNG를 추진하는 데 이해관계가 충돌할 수 있습니다.

NSA 백도어를 사용하면 공격자는 단일 라운드의 출력(32바이트)을 보고 난수 제너레이터의 내부 상태를 판단할 수 있습니다.그 후 CSPRNG가 외부 랜덤 소스로 재시딩될 때까지 난수 제너레이터의 향후 모든 출력을 쉽게 계산할 수 있습니다.예를 들어, TLS 접속의 셋업에는 랜덤으로 생성된 암호화 난스의 클리어 ^[5]송신이 포함되어 있기 때문에, SSL/TLS 는 취약해집니다.NSA의 백도어는 e ${\displaystyle Q}$ ${\displaystyle =}$ \$display eQ$ = P $\$ eQ = P \display eQ$=P$이것은 P와 Q를 미리 설정하면 어려운 문제이지만 P와 Q를 선택하면 ^[24]더 쉬워집니다.e는 아마도 NSA에 의해서만 알려진 비밀키이며, 백도어는 도둑질 비대칭 숨겨진 백도어입니다.^[39]Matthew Green의 블로그 투고: The Many Ficts of Dual_EC_DRBG는 Crypto ^[14]1997에서 도입된 이산 로그 도용도를 사용하여 NSA 백도어 동작에 대해 간략하게 설명하고 있습니다.

표준화 및 구현

NSA가 최초로 Dual_를 도입했습니다.2000년대 초 ANSI X9.82 DRBG의 EC_DRBG(백도어를 작성한 파라미터와 Dual_ 포함)EC_DRBG는 초안 ANSI 표준으로 발행되었습니다.Dual_EC_DRBG는 ISO 18031 ^[6]표준에도 존재합니다.

John Kelsey(Elaine Barker와 함께 NIST SP 800-90A의 저자로 등재됨)에 따르면 ANSI X9F1 Tool Standards and Guidelines Group ^[6]회의에서 신중하게 선택된 P와 Q에 의한 백도어 가능성이 제기되었습니다.켈시가 시그나콤의 돈 존슨에게 Q의 기원에 대해 질문했을 때 존슨은 2004년 10월 27일 Kelsey에게 보낸 이메일에서 NSA가 NSA가 제공한 ^[40]대체 Q의 생성을 공개적으로 논의하는 것을 금지했다고 답변했다.

이후 그들은 2005년 1월 정확히 어떻게 또는 예방하려면 코트 샘플 및 팁을 삽입하는 것에 관한 특허 application[18]로 제기한 ANSIX9F1 도구 기준 및 지침 그룹은 ANSIX9.82, 다니엘 R.L. 브라운과 스콧 Vanstone Certicom,[6]에서 쓴 회원국의 적어도 두명의 의원은 backdoor 발생할 수 있는 정확한 상황 그리고 메카니즘의, 알고 있었다.ebackd또는 DUAL_EC_DRBG에 있습니다.특허에 기재되어 있는 「트랩 도어」의 동작은, 후에 Dual_에서 확인된 것과 같습니다.EC_DRBG2014년 특허에 대해 쓴 해설자 매튜 그린은 이 특허가 백도어를 공개함으로써 NSA를 자극하는 "수동적인 공격적" 방식이라고 설명하면서도 위원회의 모든 사람들이 그들이 알고 ^[40]있는 백도어를 실제로 무력화시키지 않았다고 여전히 비판하고 있다.Brown and Vanstone의 특허는 백도어가 존재하기 위해 필요한 두 가지 조건을 열거하고 있습니다.

1) 선택Q

타원곡선 난수생성기는 타원곡선상의 점 Q를 검증 가능한 랜덤으로 선택함으로써 에스크로 키를 회피한다.에스크로 키를 의도적으로 사용하면 백업 기능이 제공될 수 있습니다.P와 Q의 관계는 에스크로 키로 사용되며 보안 도메인의 에 의해 저장됩니다.그 관리자가 발생기는 에스크로 키를 갖는 난수를 다시 만드는 데의 생산량을 기록한다.

2) 소출력 절단

[0041] 그림 3과 4에 표시된 ECRNG 출력에 대한 키 에스크로 공격을 방지하는 또 다른 방법은 ECRNG에 잘라내기 함수를 추가하여 ECRNG 출력을 압축 타원 곡선 지점의 약 절반 길이로 잘라내는 것이다.바람직하게는 그림 1, 그림 2의 바람직한 방법 외에 실시하지만 키 에스크로 공격을 방지하기 위한 1차 대책으로서 실시해도 좋다.잘라내기의 장점은 단일 ECRNG 출력 r과 관련된 R 값 목록이 일반적으로 검색할 수 없다는 것입니다.예를 들어, 160비트 타원 곡선 그룹의 경우 목록의 잠재적 점 R의 수는 약 2이며⁸⁰ 목록을 검색하는 것은 이산 로그 문제를 해결하는 것만큼 어렵습니다.이 방법의 비용은 출력 길이가 효과적으로 절반으로 줄어들기 때문에 ECRNG가 절반으로 효율화된다는 것입니다.

John Kelsey에 따르면 검증 가능한 랜덤 Q를 선택하는 표준 옵션이 의심스러운 백도어에 ^[15]대한 응답으로 추가되었습니다.단, FIPS 140-2 검증은 백도어 ^[37]Q를 사용해야만 가능합니다.Steve Marquess(NIST SP 800-90A for OpenSSL 구현을 도운 사람)는 잠재적인 백도어 포인트를 사용하기 위한 이러한 요구사항이 NIST의 ^[41]복잡성의 증거일 수 있다고 추측했습니다.표준에서 디폴트 Q를 검증할 수 있도록 생성된 내 소매 번호의 아무것도 아닌 것으로 명시하지 않은 이유 또는 표준이 더 큰 절단을 사용하지 않은 이유는 명확하지 않다. Brown의 특허는 이것을 "키 에스크로 공격을 방지하기 위한 주요 조치"로 사용할 수 있다.Matthew Green에 따르면 출력 ^[5]함수의 비트는 1/2 ~2/3밖에 출력되지 않았던 이전의 EC PRG에 비해 작은 절단은 이례적이었다.낮은 절단은 2006년 Gjösteen에 의해 제시되었으며, 이는 백도어를 ^[20]포함하도록 Q가 선택되지 않았더라도 RNG를 예측 가능하고 따라서 CSPRNG로서 사용할 수 없게 하기 위함입니다.표준에서는 실장에서는 제공된 작은 max_outlen을 사용해야 한다고 명시되어 있지만 8비트 미만의 배수를 출력할 수 있는 옵션이 있습니다.표준의 부록 C에서는, 출력하는 비트의 수가 적어지면, 출력이 균등하게 분산되지 않게 되는, 느슨한 논거를 나타내고 있습니다.Brown의 2006년 보안 증명은 outlen이 표준 디폴트 max_outlen 값보다 훨씬 작다는 점에 의존합니다.

백도어를 논의한 ANSI X9F1 Tool Standards and Guidelines Group에는 유명한 보안 회사 RSA Security ^[6]직원 3명도 포함되어 있습니다.2004년에 RSA Security는 Dual_를 구현했습니다.EC_DRBG는 NSA와 1000만달러의 비밀거래의 결과로서 NSA의 디폴트 CSPRNG를 RSA BSAFE에 백도어했습니다.2013년 뉴욕타임스가 듀얼을 보도한 후EC_DRBG에는 NSA의 백도어가 포함되어 있었습니다.RSA Security는 NSA와의 거래 당시 백도어를 전혀 몰랐으며 CSPRNG를 바꾸라고 고객에게 말했습니다.2014 RSA Conference의 기조연설에서 RSA 보안담당 이사장 Art Coviello는 RSA가 암호화 수익 감소에서 중단으로 결정되었다고 설명했습니다.NIST와 ^[32]같은 표준 조직의 표준 및 지침을 "신뢰를 바탕으로" 독립적인 암호화 연구를 "추진"합니다.

듀얼을 포함한 NIST SP 800-90A의 드래프트EC_DRBG는 2005년 12월에 발행되었습니다.듀얼을 포함한 최종 NIST SP 800-90AEC_DRBG는 2006년6월에 발행되었습니다.스노든에 의해 유출된 문서는 NSA가 듀얼을 백도어했음을 시사하는 것으로 해석되어 왔다.EC_DRBG. 표준화 과정 중 NSA의 작업을 인용하여 최종적으로 표준의 ^[7]단독 편집자가 되는 주장을 제기하는 사람들.Dual_의 초기 사용법RSA Security의 EC_DRBG(나중에 NSA가 1000만달러를 비밀리에 지불한 것으로 보고됨)는 NSA에 의해 Dual_의 주장으로 인용되었다.NIST SP 800-90A ^[2]표준에 대한 EC_DRBG의 승인.RSA Security는 그 후 Dual_을 인용했습니다.Dual_을 사용한 이유로 EC_DRBG가 NIST 표준을 받아들인 것EC_DRBG^[42]

Daniel R. L. Brown의 2006년 3월 Dual_의 보안 저감에 관한 논문EC_DRBG는 더 많은 출력 컷아웃과 랜덤으로 선택된Q의 필요성을 언급하고 있지만 대부분 합격입니다.또, Dual_의 이러한 2개의 결함에 관한 특허의 결론에 대해서는 언급하지 않았습니다.EC_DRBG를 함께 백도어로서 사용할 수 있습니다.결론에서 Brown은 다음과 같이 쓰고 있습니다. "따라서 ECRNG는 중요한 고려 사항이며, 높은 효율성으로 인해 제한된 환경에도 적합합니다."Dual_에 대한 비판도 있습니다.EC_DRBG는 매우 느리고 Bruce Schneier는 "아무도 기꺼이 사용하기에는 너무 느리다"^[4]고 결론짓고 Matthew Green은 Dual_라고 말합니다.EC_DRBG는 다른 ^[5]방법보다 "최대 1,000배 느림"입니다.Dual_의 백도어 가능성EC_DRBG는 내부 표준 그룹 회의 이외에는 널리 공표되지 않았다.댄 슈모우와 닐스 퍼거슨의 2007년 프레젠테이션이 끝난 후에야 백도어의 가능성이 널리 알려졌습니다.슈모우와 퍼거슨은 듀얼을 도입하는 임무를 맡았다.EC_DRBG for Microsoft 및 적어도 Furguson은 2005년 X9 회의에서 ^[15]백도어 가능성에 대해 논의했습니다.브루스 슈나이어는 2007년 와이어드 기사에서 듀얼은EC_DRBG의 결함은 너무 명백해서 아무도 Dual_을 사용하지 않을 것입니다.EC_DRBG: "트랩 도어로서 의미가 없습니다.공공장소이고, 꽤 뻔해요.엔지니어링 측면에서는 의미가 없습니다.너무 느려서 누구도 기꺼이 ^[4]사용할 수 없습니다.Schneier는 RSA Security가 Dual_을 사용하고 있는 것을 몰랐던 것 같습니다.EC_DRBG가 2004년 이후 BSAFE 디폴트로 되어 있습니다.

OpenSSL은 Dual_를 포함한 모든 NIST SP 800-90A를 구현했습니다.클라이언트의 요구에 의한 EC_DRBG.OpenSSL 개발자들은 Shumow와 Ferguson의 프레젠테이션으로 인해 백도어의 가능성을 인식하고 있으며, 표준에서 제공하는 방법을 사용하여 백도어가 없는 보증 P와 Q를 선택하고 싶었지만 FIPS 140-2 검증을 받으려면 기본 P와 Q를 사용해야 한다고 들었습니다.OpenSSL은 Dual_을 구현하기로 선택하였습니다.EC_DRBG는 완전성이 의심스럽지만 OpenSSL이 완전성을 추구하여 다른 많은 안전하지 않은 알고리즘을 구현하고 있음을 알립니다.OpenSSL은 Dual_을 사용하지 않았습니다.디폴트 CSPRNG로서 EC_DRBG가 Dual_의 OpenSSL 구현에서 버그가 검출되었습니다.EC_DRBG가 기능하지 않습니다.즉,^[37] 아무도 그것을 사용하고 있지 않습니다.

Bruce Schneier는 2007년 12월에 Microsoft가 Dual_을 추가했다고 보고했습니다.Windows Vista 에 대한 EC_DRBG 의 서포트는 디폴트로 유효하게 되어 있지 않습니다만, Schneier 는 알려진 잠재적인 백도어에 ^[43]대해 경고했습니다.Windows 10 이후에는 Dual_로의 콜이 사일런트하게 대체됩니다.AES에 ^[44]근거한 CTR_DRBG에 대한 콜을 포함한 EC_DRBG.

2013년 9월 9일 스노든 누출 사고 이후 뉴욕타임스가 듀얼의 백도어에 대해 보도했습니다.EC_DRBG, National Institute of Standards and Technology(NIST) ITL은 커뮤니티 보안상의 우려에 따라 SP 800-90A를 초안 표준으로 재발행하고 SP800-90B/C를 공개 코멘트를 위해 재개방한다고 발표했습니다.NIST는 Dual_의 사용을 "강력히 권장"하고 있습니다.EC_DRBG(SP 800-90A의 ^[45][46]2012년 1월 버전에서 지정된 대로).NIST 표준에서 백도어의 발견은 ^[47]NIST에게 큰 당혹감을 안겨주었다.

RSA Security는 Dual_을 유지하고 있었습니다.2007년에 광범위한 암호화 커뮤니티가 백도어 가능성을 인식한 후에도 BSAFE의 디폴트 CSPRNG로서 EC_DRBG는 BSAFE의 Dual_ 사용에 대한 일반적인 인식은 없었던 것 같습니다.EC_DRBG를 커뮤니티에서 사용자 옵션으로 사용합니다.백도어에 대한 우려가 확산된 후에야 Dual_을 사용하는 소프트웨어를 찾으려는 노력이 있었습니다.EC_DRBG, 그 중 BSAFE가 가장 현저하게 발견되었습니다.2013년 RSA 보안 최고 기술 책임자인 Sam Curry는 Ars Technica에 결함이 있는 Dual EC DRBG 표준을 대체 난수 ^[48]생성기 대신 기본값으로 선택한 이유를 제시했습니다.이 성명의 기술적 정확성은 Matthew ^[28]Green과 Matt Blaze를 포함한 암호학자들에 의해 널리 비판받았다.2013년 12월 20일, RSA가 NSA로부터 Dual_를 설정하기 위해 1,000만 달러의 비밀 지불을 수락했다고 로이터 통신이 보도했습니다.EC_DRBG 난수 생성기는 2개의 암호화 ^[2][49]제품에서 기본값으로 사용됩니다.2013년 12월 22일, RSA는 기업 블로그에 "범주적으로" BSAFE 툴킷에 "알려진 결함 난수 생성기"를 삽입하는 NSA와의 비밀 거래를 부정하는 성명을 게시했습니다.

뉴욕타임스 기사에 따르면 듀얼이라고 한다.EC_DRBG에는 백도어가 포함되어 있습니다.Brown은 백도어 특허를 출원하여 보안 경감을 공개했습니다.Dual_을 옹호하는 IETF 메일링 리스트에 이메일을 썼습니다.EC_DRBG 표준 프로세스:^[38]

1. 듀얼_NIST SP 800-90A 및 ANSI X9.82-3에서 규정되어 있는EC_DRBG에서는 상수 P와 Q를 선택할 수 있습니다.내가 아는 한, 대안들은 실현 가능한 것으로 알려진 백도어를 허용하지 않는다.내 견해로는 Dual_을 암시하는 것은 잘못된 것이다.EC_DRBG에는 항상 백도어가 있습니다.단, 영향을 받는 케이스를 특정하기 위한 표현이 어색할 수 있습니다.

2. 돌이켜보면 많은 것들이 명백하다.이것이 명백했는지 잘 모르겠습니다.[...]

8. 모든 것을 고려해 볼 때 ANSI 및 NIST의 듀얼 표준이 어떻게 되어 있는지 알 수 없습니다.EC_DRBG는 그 자체로는 전복된 표준으로 간주할 수 있습니다.하지만 그건 아마 내가 편견이 있거나 순진하기 때문일 거야.

--

가능한 백도어가 포함된 소프트웨어 및 하드웨어

Dual_을 사용한 구현EC_DRBG는 보통 라이브러리를 통해 취득합니다.적어도 RSA Security(BSAFE 라이브러리), OpenSSL, Microsoft 및 Cisco에는^[50] Dual_를 포함한 라이브러리가 있습니다.EC_DRBG는 디폴트로 BSAFE만 사용.RSA Security와 NSA 간의 1000만 달러 비밀 거래를 폭로한 로이터 기사에 따르면, RSA Security의 BSAFE가 ^[2]이 알고리즘의 가장 중요한 배포자였다.OpenSSL의 Dual_ 구현에 결함이 있습니다.EC_DRBG는 테스트 모드 이외에서는 동작하지 않습니다.그 결과 OpenSSL의 Steve Marquess는 아무도 OpenSSL의 Dual_을 사용하지 않았다고 결론을 내렸습니다.EC_DRBG 실장.^[37]

CSPRNG 구현 FIPS 140-2 인증을 받은 제품 목록은 ^[51]NIST에서 확인할 수 있습니다.검증된 CSPRNG가 [Description/Notes]필드에 표시됩니다.Dual_의 경우에도 주의해 주세요.EC_DRBG는 검증 완료로 표시됩니다.기본적으로 활성화 되어 있지 않을 수 있습니다.많은 구현은 라이브러리 ^[52]구현의 이름 변경 복사본에서 가져옵니다.

BlackBerry 소프트웨어는 기본이 아닌 사용의 예입니다.Dual_ 지원도 포함되어 있습니다.EC_DRBG. 단, 디폴트로는 아닙니다.그러나 BlackBerry Ltd는 백도어의 가능성을 ^[53]취약성으로 간주하지 않기 때문에 이 제품을 사용한 고객에게 권고 사항을 발표하지 않았습니다.제프리 카는 블랙베리의 ^[53]편지를 인용했습니다.

Dual EC DRBG 알고리즘은 [Blackberry]플랫폼의 암호화 API를 통해 타사 개발자만 사용할 수 있습니다.Cryptographic API의 경우, 서드파티 개발자가 해당 기능을 사용하고자 하며, API 사용을 요청하는 시스템을 명시적으로 설계, 개발했을 경우 이용 가능합니다.

Bruce Schneier는 디폴트로 유효하게 되어 있지 않은 경우에도 백도어 CSPRNG를 옵션으로 실장하면 NSA가 소프트웨어 제어 명령줄 스위치를 사용하여 암호화 알고리즘 또는 Windows Vista와 같은 대부분의 Microsoft 제품과 같은 "레지스트리" 시스템을 선택하는 타깃을 쉽게 감시할 수 있다고 지적했습니다.

트로이 목마는 정말, 정말 커요그게 실수였다고는 할 수 없어요키 입력을 수집하는 거대한 코드 조각입니다.단, 비트 1을 비트2로 변경하는(레지스트리에서 머신상의 디폴트 난수 생성기를 변경하는) 것은 검출되지 않을 가능성이 있습니다.그것은 비밀리에 비밀리에 접근하기 위한 낮은 음모, 매우 부인할 수 있는 방법이다.이를 라이브러리와 제품에 도입하면 이점이 있습니다.

--

2013년 12월, 유출된 내부 상태를 사용하여 다음 번 재판매될 때까지 공격이 가능한 후속 난수를 예측하는 개념 증명^[39] 백도어가 발표되었습니다.

이 섹션에서는 Bloomberg 2021-09-02에 따라 APT5(중국어 추정)의 Juniper 백도어 이용에 대한 정보가 누락되어 있습니다. 이 정보를 포함하려면 섹션을 확장하십시오. 자세한 내용은 토크 페이지를 참조하십시오.(2021년 9월)

2015년 12월 Juniper Networks는^[54] ScreenOS 펌웨어의 일부 리비전에서 Dual_이 사용되었다고 발표했습니다.의심스러운 P 및 Q 포인트로 EC_DRBG가 방화벽에 백도어를 만듭니다.원래는 Juniper가 선택한Q 포인트를 사용하는 것으로 되어 있었습니다.Q 포인트는 안전한 방법으로 생성되었을 수도 있고 생성되지 않았을 수도 있습니다.다음으로 Dual_EC_DRBG를 사용하여 ANSI X9.17 PRNG를 시드했습니다.이것에 의해, Dual_는 난독화됩니다.EC_DRBG 출력에 의해 백도어가 정지됩니다.다만, 코드의 「버그」에 의해, Dual_의 미가공 출력이 공개되었습니다.EC_DRBG로 인해 시스템의 보안이 손상됩니다.이 백도어는 알 수 없는 당사자에 의해 백도어 되어 Q포인트와 테스트 ^[55][56][57]벡터가 변경되었습니다.NSA가 주니퍼 방화벽을 통해 지속적으로 백도어 접속을 했다는 주장은 2013년 이미 Der ^[58]Spiegel에 의해 발표되었습니다.

도둑질 백도어는 NSA의 NOBUS 정책의 한 예이며, NSA만이 이용할 수 있는 보안 취약점이 있습니다.

「 」를 참조해 주세요.

• 난수 발생기 공격
• Crypto AG – 통신 및 정보 보안을 전문으로 하는 스위스 기업.이 회사는 서방 보안기관(NSA 포함)이 암호화 기계에^[59] 백도어를 삽입할 수 있도록 허용한 것으로 널리 알려져 있습니다.

레퍼런스

외부 링크

• NIST SP 800-90A – 결정론적 랜덤 비트 생성기를 사용한 난수 생성에 대한 권장 사항
• 듀얼 EC DRBG – Dual_ 컬렉션Daniel J. Bernstein, Tanja Lange 및 Ruben Niederhagen의 EC_DRBG 정보.
• TLS 실장에서의 듀얼 EC의 실용적 이용 가능성에 대하여– Stephen Checkoway 등의 주요 조사 보고서
• 디스크리트 로그 기반 암호 시스템에 대한 절도 공격의 확산 – Adam L. Young, Moti Yung (1997)
• 미국 특허출원발표 US 2007189527, Brown, Daniel R. L. & Vanstone, Scott A, "Ellptic curve 난수 생성" (Dual_)에 의해 Certicom Corporation에 할당되었습니다.EC_DRBG 백도어 및 백도어를 무효화하는 방법.
• Dual-EC-DRBG/NIST SP 800-90에 대한 코멘트, 2005년 12월 초안 Kristian Gjösteen의 2006년 3월 문서에서는 Dual_을 결론짓고 있습니다.EC_DRBG는 예측 가능하기 때문에 안전하지 않습니다.
• NIST SP 800-90 타원곡선 난수발생기 Daniel R. L. Brown과 Christian Gjösteen의 2007년 Dual_ 보안해석EC_DRBG적어도 브라운은 (2005년 특허에서) 백도어를 알고 있었지만 백도어는 명시적으로 언급되지 않았다.비백도어 상수 사용 및 Dual_보다 큰 출력 비트 잘라내기EC_DRBG 지정이 상정됩니다.
• NIST SP800-90 Dual Ec Prng Dan Shumow와 Niels Ferguson의 프레젠테이션에서 백도어의 가능성에 대해. 이 프레젠테이션은 백도어의 가능성을 널리 알렸다.
• 듀얼의 많은 결점EC_DRBG – Matthew Green이 백도어의 동작 원리와 원인에 대해 간단히 설명합니다.
• NSA 난수 생성기에 대한 몇 가지 메모– Matthew Green
• 죄송합니다. RSA, Dual_의 개요와 스케줄은 납득할 수 없습니다.EC_DRBG 및 일반 지식.
• [Cfrg] 듀얼_EC_DRBG... [WAS RE: CFRG 공동 의장 해임 요청] Daniel R. L. Brown이 Dual_을 옹호하는 2013년 12월 이메일EC_DRBG 및 표준 프로세스.
• DUAL_EC_DRBG에 대한 결투: DUAL EC DRBG에도 불구하고 NIST에 대한 국제 암호 커뮤니티의 신뢰에 관한 암호화 표준화 프로세스 Kostsyuk 및 Landau의 문서 훼손의 결과.