【活用ガイド】

JVNDB-2013-005049

信頼できないパラメータを使用して生成した Dual_EC_DRBG の出力結果が推測可能な問題

概要

Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) には、楕円曲線を計算するためのパラメータの信頼性に関する問題が指摘されています。

Dual Elliptic Curve Deterministic Random Bit Generator (Dual_EC_DRBG) は、NIST Special Publication 800-90A で規定されています。以前から、Dual_EC_DRBG の信頼性について研究者らから疑問を投げかけられており、NIST はこの問題についてのコメントを求めています。

NIST は、ITL Security Bulletins で次のように述べています。

ITL Security Bulletins
http://csrc.nist.gov/publications/nistbul/itlbul2013_09_supplemental.pdf

  Concern has been expressed about one of the DRBG algorithms in SP 800-90/90A and ANS X9.82: the Dual Elliptic Curve Deterministic Random Bit Generation (Dual_EC_DRBG) algorithm. This algorithm includes default elliptic curve points for three elliptic curves, the provenance of which were not described. Security researchers have highlighted the importance of generating these elliptic curve points in a trustworthy way. This issue was identified during the development process, and the concern was initially addressed by including specifications for generating different points than the default values that were provided. However, recent community commentary has called into question the trustworthiness of these default elliptic curve points.

この問題は、次の CWE に分類されます。

 * CWE-327: Use of a Broken or Risky Cryptographic Algorithm
  http://cwe.mitre.org/data/definitions/327.html
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.8 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 中
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): なし
影響を受けるシステム

Dual_EC_DRBG を実装している製品が影響を受ける可能性があります。 詳しくは CERT/CC Vulnerability Note VU#274923 の Vendor Information をご確認ください。

(複数のベンダ)
  • (複数の製品)
日立
  • Cosminexus Developer's Kit for Java(TM)
  • Cosminexus HTTP Server
  • Hitachi Web Server
  • uCosminexus Application Server
  • uCosminexus Application Server (64)
  • uCosminexus Application Server -R
  • uCosminexus Application Server Express
  • uCosminexus Application Server Standard-R
  • uCosminexus Application Server Enterprise
  • uCosminexus Application Server Smart Edition
  • uCosminexus Application Server Standard
  • uCosminexus Client
  • uCosminexus Developer
  • uCosminexus Developer 01
  • uCosminexus Developer Professional
  • uCosminexus Developer Professional for Plug-in
  • uCosminexus Developer Light
  • uCosminexus Developer Standard
  • uCosminexus Operator for Service Platform
  • uCosminexus Primary Server Base
  • uCosminexus Primary Server Base(64)
  • uCosminexus Service Architect
  • uCosminexus Service Platform
  • uCosminexus Service Platform (64)
  • uCosminexus Service Platform - Messaging

想定される影響

Dual_EC_DRBG の出力を使用した共通鍵 (secret key material) などを推測される可能性があります。
対策

[Dual_EC_DRBG を使用しない]
NIST は、対策が出るまでの間、Dual_EC_DRBG の使用停止を強く推奨しています。

[独自の楕円曲線を使用する]
詳しくは NIST Special Publication 800-90A の Appendix A の A.2 節をご確認ください。

NIST Special Publication 800-90A
http://csrc.nist.gov/publications/nistpubs/800-90A/SP800-90A.pdf

[鍵を再生成する]
Dual_EC_DRBG の出力を使用した鍵 (secret key material) などがある場合は、他の安全なアルゴリズムで生成し直してください。
ベンダ情報

日立
  • Hitachi Software Vulnerability Information : HS14-002
  • Hitachi Software Vulnerability Information : HS14-003
  • ソフトウェア製品セキュリティ情報 : HS14-002
  • ソフトウェア製品セキュリティ情報 : HS14-003
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 暗号の問題(CWE-310) [NVD評価]
  2. その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2007-6755
参考情報

  1. JVN : JVNVU#92615138
  2. National Vulnerability Database (NVD) : CVE-2007-6755
  3. US-CERT Vulnerability Note : VU#274923
  4. 関連文書 : SUPPLEMENTAL ITL BULLETIN FOR SEPTEMBER 2013
  5. 関連文書 : On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng
  6. 関連文書 : Conjectured Security of the ANSI-NIST Elliptic Curve RNG
  7. 関連文書 : NIST Special Publication 800-90A
更新履歴

  • [2013年11月11日]
      掲載
    [2014年01月22日]
      影響を受けるシステム:日立 (HS14-002) の情報を追加
      影響を受けるシステム:日立 (HS14-003) の情報を追加
      ベンダ情報:日立 (HS14-002) を追加
      ベンダ情報:日立 (HS14-003) を追加
    [2015年07月01日]
      影響を受けるシステム:内容を更新