Bullrun and EDGEHILL

Lectura en audio de esta entrada.

Antecedentes y contexto

El contexto institucional en el que surgieron Bullrun y EDGEHILL fue la expansión posterior al año 2000 de las comunicaciones encriptadas basadas en Internet y el reconocimiento dentro de NSA de que la amplia adopción por parte de los consumidores de la protección criptográfica en Internet constituiría una amenaza significativa para la empresa de recopilación SIGINT.

A lo largo del período 1947-2000 los principales desafíos criptoanalíticos de NSA habían sido los sistemas de grado militar de los adversarios soviéticos, chinos y adyacentes de los actores estatales, categorías contra las que la capacidad criptoanalítica de la agencia se había desarrollado durante décadas. El entorno posterior a 2000 era diferente en especie. La adopción masiva de protección criptográfica de grado consumidor, especialmente el protocolo SSL / TLS subyacente al tráfico web HTTPS, el transporte de correo electrónico SMTP sobre TLS y el ecosistema más amplio de la capa de aplicación, colocó el cifrado entre la Agencia y una proporción sustancial del tráfico de Internet que, antes de la adopción general del protocolo, se había recopilado en texto sin formato.

La respuesta institucional NSA fue el programa coordinado que se convirtió en Bullrun. La respuesta emparejada GCHQ fue EDGEHILL. La sustancia operativa de ambos fue el esfuerzo sistemático por socavar la infraestructura criptográfica de grado consumidor para preservar la capacidad de recopilación de SIGINT que amenazaba la amplia adopción criptográfica.[1]

Influencia en los organismos de normalización criptográfica

La categoría operativa más documentada fue la influencia coordinada de NSA en los organismos de estándares criptográficos el Instituto Nacional de Estándares y Tecnología (NIST), el Grupo de Trabajo de Ingeniería de Internet (IETF), la Organización Internacional de Normalización (ISO) y los organismos internacionales adyacentes de desarrollo de normas.

El caso canónico es el algoritmo del generador de números aleatorios Dual_EC_DRBG en la Publicación Especial NIST 800-90A. El Generador aleatorio determinista de bits de curva elíptica dual se introdujo en la versión 2006 de SP800-90A como uno de los cuatro algoritmos de generadores de números al azar aprobados dentro del estándar más amplio.

La esencia de la pregunta de Dual_EC_DRBG era que NSA había conocido el valor específico de dy, por lo tanto, podía descifrar operaciones criptográficas cuyo material clave se derivó de la salida del sistema. El informe de septiembre de 2013 deNew York Times y ProPublica confirmó el papel de la agencia en la colocación del algoritmo en el estándar.

La respuesta del NIST fue la eliminación en 2014 de Dual_EC_DRBG de SP 800-90A Revisión 1 (publicado en junio de 2015) y una reforma institucional más amplia del proceso de desarrollo de estándares criptográficos requisitos de transparencia mejorados, procesos de comentarios públicos ampliados y compromiso sostenido con la comunidad criptográfica académica. [1]

Intervención encubierta con proveedores de tecnología de EE.UU.

La segunda categoría operativa fue la intervención coordinada NSA con proveedores de tecnología con sede en los Estados Unidos para modificar sus implementaciones criptográficas.

El caso canónico es el pago de aproximadamente $ 10 millones de NSA a RSA Security en aproximadamente 2004 a cambio de la adopción por parte de RSA de Dual_EC_DRBG como el generador de números aleatorios predeterminado en la biblioteca criptográfica RSA BSAFE la biblioteca de criptografía comercial utilizada en una parte sustancial de la implementación de cifrado comercial en el período posterior a 2006. El pago fue revelado por Joseph Menn en Reutersel 20 de diciembre de 2013, enExclusivo: Secreto: contrato vinculado a NSA y pionero de la industria de la seguridad. La respuesta de Rsa Security fue una negación del conocimiento de la puerta trasera Dual _EC_ DRBG una posición que los criptógrafos académicos han disputado sustancialmente en la literatura posterior.

El patrón más amplio de la intervención del proveedor NSA ha sido objeto de literatura académica y de políticas en todo el período posterior a 2013. El modelo documentado ha incluido intervenciones con múltiples proveedores de tecnología con sede en los Estados Unidos para alterar las implementaciones criptográficas, introducir vulnerabilidades operativas específicas y favorecer los estándares de criptografía contra los que la agencia tenía capacidad criptoanalítica.

Capacidad de descifrado masivo

La tercera categoría operativa fue la capacidad criptoanalítica contra el tráfico cifrado que NSA ya estaba recopilando a través de otros programas de acceso. La capacidad documentada se extendió a través del principal protocolo entonces prevalente SSL / TLS, los principales protocolos VPN (PPTP, IPsec / IKE, SSL VPN), SSH y sistemas criptográficos de capa de aplicación adyacentes.

Las revelaciones específicas de la capacidad criptoanalítica han sido objeto de comentarios académicos y periodísticos posteriores. La capacidad documentada incluía tres categorías. Primero, explotación de vulnerabilidades a nivel de implementación la explotación documentada de implementaciones pobres de generadores de números aleatorios en múltiples categorías de productos. Segundo, exploración de parámetros de grupo Diffie-Hellman mal elegidos el ataque académico Logjam de 2015 y su documento asociado Imperfect Forward Secrecy: How Diffie - Hellman Fails in Practice (Adrian y colegas, Comunicaciones de la ACM, enero de 2019, 106114) explicaron cómo la agencia podría descifrar porciones sustanciales de VPN entonces activo a través de precomputación contra valores de tráfico ampliamente desplegados del parámetro Diffie Hellman. Tercero, una explotación más amplia de los patrones débiles de implantación criptográfica a través del paisaje criptográfico de productos comerciales.

Alcance operativo específico de SSL/TLS

El patrón institucional del alcance de NSA en el ecosistema SSL / TLS el principal marco de protección criptográfica para las comunicaciones por Internet en el período posterior a 2000 se ha documentado en tres formas principales.

El primero es el compromiso de la autoridad de certificado. La cohorte sustancial de autoridades de certificado confiables institucionalmente por los principales navegadores significa que cualquier autoridad de certificación comprometida puede emitir certificados SSL / TLS fraudulentos en los que los principales navegador confiarán. La consecuencia operativa es la capacidad de montar la interceptación man-in-the-middle contra sesiones TLS cuyos usuarios no tienen indicación de que el certificado no fue emitido por la CA nombrada.

El segundo es la interceptación del hombre en el medio en la infraestructura de enrutamiento de Internet estratégicamente ubicada. El patrón emparejado de Bullrun y Upstream operó en la principal infraestructura nacional de puntos de intercambio de Internet de los Estados Unidos, donde el acceso de recolección de la agencia se combinó con la capacidad de degradación de TLS contra implementaciones específicas.

El tercero es la capacidad criptoanalítica contra implementaciones SSL / TLS débiles específicas el mismo patrón que la categoría de descifrado masivo, específicamente para TLS.

La respuesta institucional a lo largo del período posterior a 2013 ha incluido una reforma sustancial del panorama SSL / TLS. El marco de transparencia de certificados el programa iniciado por Google que requiere que las autoridades de certificación publiquen todos los certificados emitidos a registros auditables públicos, implementado a partir de 2013 2014 en adelante aborda directamente el patrón de compromiso de CA. El cambio HTTPS por defecto en las principales plataformas web expandió la superficie cifrada más allá de lo que había alcanzado el nivel de implementación posterior a 2000. El proceso de desarrollo de estándares de criptografía postcuántica es la respuesta institucional en curso a la cuestión de mayor horizonte de la durabilidad criptográfica.

Divulgación y consecuencias

La divulgación institucional de Bullrun y EDGEHILL procedió a través de los informes conjuntos del 5 al 6 de septiembre de 2013 New York Times, Guardian y ProPublica extraídos del archivo de Snowden.

Los artículos principales fueron: N.S.A. Capaz de frustrar las salvaguardas básicas de privacidad en la Web por Nicole Perlroth, Jeff Larson y Scott Shane (The New York Times, 5 de septiembre de 2013); Revelado: cómo las agencias de espionaje de los Estados Unidos y el Reino Unido derrotan la privacidad y seguridad de Internet por James Ball, Julian Borger y Glenn Greenwald (The Guardian, 05 de septiembre del 2013) y Revealed: La campaña secreta de NSA para descifrar y socavar la seguridad de internet por Jeff Larsen, Nicole Perroth, y Shane Scott (ProPublica, 5 de setiembre del 2013).[1]

La divulgación documentó detalles operativos que incluían el presupuesto de aproximadamente $ 250 millones por año de NSA para el programa de derrota criptográfica; el patrón coordinado de influencia de los organismos de estándares y la intervención del proveedor; la identificación específica de Dual_EC_DRBG; y un patrón operativo más amplio de descifrado a granel contra el tráfico encriptado recolectado. La revelación de pagos de RSA-Security siguió en el informe Reutersde diciembre de 2013; el trabajo técnicoLogjamyImperfect Forward Secrecy siguió en 2015.

El legado y las implicaciones

Las consecuencias institucionales de Bullrun y EDGEHILL en el período posterior a 2013 han sido sustanciales.

La reforma del proceso de desarrollo de estándares criptográficos del NIST ha producido un cambio institucional duradero: la eliminación de Dual_EC_DRBG en 2015, el proceso ampliado de comentarios públicos, el compromiso formalizado de la comunidad académica y las normas de transparencia posteriores a 2016 para el desarrollo de los algoritmos criptografías post-cuánticos han cambiado el panorama institucional hacia una mayor transparencia en el trabajo de normas de criptografía.

La reforma del panorama SSL / TLS ha sido igualmente sustancial. El marco de transparencia de certificados, el cambio HTTPS por defecto en las principales plataformas web y el proceso de desarrollo de estándares criptográficos post-cuánticos han cambiado el panorama institucional hacia una mayor resistencia contra el patrón operativo de derrota criptográfica documentado por Bullrun.

La pregunta institucional continua que Bullrun y EDGEHILL plantean si el patrón de los servicios de inteligencia de la derrota criptográfica sirve al interés público más amplio en la protección cifrada de las comunicaciones civiles en Internet ha sido objeto de comentarios académicos, políticos y políticos sostenidos.

Agencias relacionadas

• Agencia de Seguridad Nacional{/united-states/nsa} el principal operador institucional de Bullrun - Cuartería General de Comunicaciones del Gobierno}/unido-reino Unido/gchq) la principal operadora institucional de EDGEHILL

Fuentes y lecturas adicionales

1. Nicole Perlroth, Jeff Larson y Scott Shane, N.S.A. Able a Foil Basic Safeguards of Privacy on Web, The New York Times, 5 de septiembre de 2013 el principal divulgador inicial de Bullrun.
2. Dan Shumow y Niels Ferguson, *Sobre la posibilidad de una puerta trasera en el NIST SP800-90 Dual Ec Prng*, presentación en la sesión posterior de CRYPTO 2007 la identificación académica previa de la vulnerabilidad de la seguridad en el RDR_EC.