Omer Zohar

טלית שואלת שאלה מצויינת - מה יקרה אם חברות גדולות ואפילו ממשלות ישתמשו במודלי שפה סיניים שעלולים לתת תשובות שגויות אם הם מזהים אינטרס מסחרי או ביטחוני המנוגד לזה של הממשל הסיני? זו לא הפעם הראשונה שעולה חשש שמדינות עלולות להתערב במימוש של אלגוריתמים חשובים לטובתן, ואחת הדוגמאות המפורסמת ביותר לכך מגיעה דווקא מכיוון ארה"ב. השנה היא 2006, והמכון הלאומי לתקנים וטכנולוגיה של ארצות הברית (NIST) מפרסם תקן למחוללי מספרים פסאודו אקראיים קריפטוגרפיים. אחד האלגוריתמים שנכללו בתקן היה Dual_EC_DRBG, וגורמים מה-NSA היו מעורבים בעיצובו וקידומו לאימוץ כתקן רשמי. כמה נחמד מצידם. מבלי להכנס יותר מדי למתמטיקה, אלגוריתם Dual_EC_DRBG מייצר מספרים פסאודו אקראיים שנועדו להיות בטוחים לשימוש קריפטוגרפי ומתבסס על קיומן של שתי נקודות קבועות על עקום אליפטי, המסומנות P ו־Q. בעקום אליפטי ניתן לבצע פעולה של כפל: בחירת מספר שלישי d וחיבור הנקודה P לעצמה d פעמים. בפשטות, Q = d*P. בהינתן P ו־d, קל לחשב את Q. אבל בהינתן P ו־Q, קשה לחשב את d. בעיה זו נקראת בעיית הלוגריתם הדיסקרטי על עקומים אליפטיים, והיא אחת הבעיות הבסיסיות ביותר בקריפטוגרפיה מודרנית. ב־Dual_EC_DRBG, ידיעת הערך d מאפשרת לשחזר את המצב הפנימי של המחולל מתוך פלט חלקי, ולאחר מכן לחזות פלטים נוספים. היות ו-Dual_EC_DRBG הוא מחולל מספרים פסאודו אקראיים שאמור להיות בטוח לשימוש קריפטוגרפי, אם אנחנו יודעים את המספרים שהאלגוריתם הזה יפיק בעתיד, זה יקל עלינו לשחזר מפתחות קריפטוגרפיים ולפענח תקשורת מוצפנת שנוצרה באמצעותם. בשנת 2007 הציגו חוקרים ממיקרוסופט את האפשרות לקיומה של דלת אחורית ב־Dual_EC_DRBG ובשנת 2013, בעקבות הדלפות אדוארד סנואדן, התחזק משמעותית החשד שהחולשה ב־Dual_EC_DRBG לא הייתה מקרית אלא תוצאה של ניסיון מכוון להשפיע על תקני הצפנה. דיווחים נוספים העלו כי ה-NSA שילם לחברת RSA במסגרת הסכם הקשור לשימוש באלגוריתם החלש כברירת מחדל במוצריה, אבל הידיעות הללו הוכחשו על ידי RSA. רק בשנת 2015 פורסמה גרסה רשמית של התקן ללא Dual_EC_DRBG.