Juniper Networks надеется окончательно рассеять сомнения в отсутствии в ее сетевом оборудовании бэкдоров, способных облегчить прослушивание трафика для АНБ и хакеров.

На прошлой неделе разработчик завершил обновление механизмов шифрования, присутствующих в ScreenOS. Согласно заявлению Juniper, она заменила вызвавший острую дискуссию компонент этой ОС, заменив его генератором произвольных чисел, широко используемым в других ее продуктах.

Напомним, летом прошлого года криптоалгоритм Dual_EC, который до сего момента использовался в защитных комплексах линейки NetScreen, работающих под управлением ScreenOS, был окончательно удален из списка рекомендованных NIST. Это решение было принято в связи с открывшимися обстоятельствами; как оказалось, Dual_EC был некогда намеренно ослаблен с подачи АНБ, чтобы обеспечить спецслужбам доступ к каналам шифрованной связи.

В то же время Juniper продолжала его использовать, пока не разразился громкий скандал: в устройствах NetScreen был найден бэкдор, позволяющий расшифровывать защищенный трафик. Этот бэкдор к тому же кто-то попытался реанимировать, а пароль к нему в итоге оказался в паблике. Juniper выпустила патчи, устраняющие чужеродный код, и пообещала, что вообще удалит проблемный ГПСЧ из ScreenOS-продуктов.

В минувший четверг в блоге компании появилось короткое уведомление о завершении процесса обновления ScreenOS, с заменой сомнительных компонентов Dual_EC_DRBG и ANSI X9.31 PRNG. Новейшая версия ScreenOS 6.3.0r22, уже доступная для скачивания, использует HMAC-DRBG — гораздо более надежный ГПСЧ, которому доверяют многие вендоры.

«Это абсолютно правильный шаг со стороны Juniper, — заявил Стивен Чековей (Stephen Checkoway), доцент кафедры информатики Иллинойсского университета в Чикаго. — Нерешенные вопросы еще остались, но отказ от плохого генератора произвольных чисел в пользу лучшего — это верное техническое решение». Тем не менее представитель академических кругов не преминул отметить, что этот шаг не освобождает компанию от ответственности за прежние прегрешения.

«Juniper долго решала эту проблему, — подчеркнул Чековей, — однако ей следует вести себя более прозрачно и объяснить наконец, зачем она вообще решила реализовать Dual_EC и ANSI X9.31 RNG в ScreenOS».

Категории: Кибероборона, Уязвимости