Principais ameaças três aplicativos móveis
NIST disse o que já sabíamos: o Gerador Bit Duplo Elliptic Curve determinística Aleatório, Dual_EC_DRBG, é um pato morto e deve ser abandonado por alguém ainda usá-lo.
Neste documento , o padrão-setter dos EUA está em busca de comentários sobre a versão final da sua recomendação para Random Number Generation Usando determinística Aleatório documento Geradores Bit.
Recomendação do NIST apenas formaliza o conselho que deu em 2013, quando o debate sobre os mais fracos gerador de números aleatórios primeiro surgiu , cortesia do "escândalo RSA", no qual foi alegado que a NSA não só tinha defendido o uso do fraco gerador de números aleatórios, mas que o RSA tinha sido pago para inserir Dual_EC_DRBG e usá-lo como padrão.
Apesar da natureza "notícia velha" do anúncio, que é algo que interessa a fornecedores, uma vez que NIST observa que amaragem Dual_EC_DRBG é obrigatória para todos os fornecedores que desejam que seus produtos em conformidade com a orientação do governo federal dos EUA. Os vendedores, o organismo de normalização diz, não deve aguardar novas revisões do documento recomendação.
Os usuários de produtos de criptografia que têm vivido sob uma rocha, e, portanto, não o tenha reconfigurado seus sistemas para utilizar um dos outros geradores de números aleatórios disponíveis, são lembrados para fazer isso agora.
Os módulos de números aleatórios alternativos aprovados pelo NIST são Hash_DRBG, HMAC_DRBG ou CTR_DRBG. ®
Nenhum comentário:
Postar um comentário