<div dir="ltr">There are plenty of ways to design an apparently random number generator so that you can predict the output (exactly or approximately) without causing any obvious flaws in the pseudorandom output stream. Even the smallest bias can significantly reduce security. This could be a critical failure, and we have no way to determine whether or not it is happening.<div>
<br></div><div>As for preventing potential security holes and making the backdoor deniable, that takes a little more thinking.</div><div class="gmail_extra"><br></div><div class="gmail_extra">And for legal issues, there are any number of hand-wavy blame-shifting schemes that Intel and whoever would want to backdoor their RNG could use.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">I contest the idea that we should ignore the fact that Intel's RNG could be backdoored. Just because other problems exist doesn't mean we should ignore this one. I agree that perhaps worrying about this constitutes being "too paranoid", but no cryptographer ever got hurt by being too paranoid, and not trusting your hardware is a great place to start.<br>
<br><div class="gmail_quote">On Fri, Jul 12, 2013 at 7:20 PM, Peter Gutmann <span dir="ltr"><<a href="mailto:pgut001@cs.auckland.ac.nz" target="_blank">pgut001@cs.auckland.ac.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="im">Nico Williams <<a href="mailto:nico@cryptonector.com">nico@cryptonector.com</a>> writes:<br>
<br>
>I'd like to understand what attacks NSA and friends could mount, with Intel's<br>
>witting or unwitting cooperation, particularly what attacks that *wouldn't*<br>
>put civilian (and military!) infrastructure at risk should details of a<br>
>backdoor leak to the public, or *worse*, be stolen by an antagonist.<br>
<br>
</div>Right.  How exactly would you backdoor an RNG so (a) it could be effectively<br>
used by the NSA when they needed it (e.g. to recover Tor keys), (b) not affect<br>
the security of massive amounts of infrastructure, and (c) be so totally<br>
undetectable that there'd be no risk of it causing a s**tstorm that makes the<br>
$0.5B FDIV bug seem like small change (not to mention the legal issues, since<br>
this one would have been inserted deliberately, so we're probably talking bet-<br>
the-company amounts of liability there).<br>
<div class="im"><br>
>I'm *not* saying that my wishing is an argument for trusting Intel's RNG --<br>
>I'm sincerely trying to understand what attacks could conceivably be mounted<br>
>through a suitably modified RDRAND with low systemic risk.<br>
<br>
</div>Being careful is one thing, being needlessly paranoid is quite another.  There<br>
are vast numbers of issues that crypto/security software needs to worry about<br>
before getting down to "has Intel backdoored their RNG".<br>
<span class="HOEnZb"><font color="#888888"><br>
Peter.<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
cryptography mailing list<br>
<a href="mailto:cryptography@randombit.net">cryptography@randombit.net</a><br>
<a href="http://lists.randombit.net/mailman/listinfo/cryptography" target="_blank">http://lists.randombit.net/mailman/listinfo/cryptography</a><br>
</div></div></blockquote></div><br></div></div>