El Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) de los Estados Unidos ha negado vehementemente las acusaciones de las cuales se dice que éste ha debilitado de manera deliberada los estándares de cifrado para ayudar a las actividades de monitoreo de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés).

“Queremos asegurarle a la comunidad TI de ciberseguridad que el proceso público y transparente, usado rigurosamente para aprobar nuestros estándares, aún está en pie”, dijo el Instituto en una declaración.

“El NIST no debilitaría deliberadamente un estándar de cifrado. Continuaremos en nuestra misión de trabajar con la comunidad criptográfica para crear los estándares de cifrado más fuertes posibles para el gobierno de los Estados Unidos y la industria en general”

De acuerdo a un memorándum publicado por el denunciante de la NSA, Edward Snowden, el presupuesto de la agencia de inteligencia incluye esfuerzos para “influir en las políticas, normas y especificaciones para tecnologías de clave publica comercial”. En particular se hizo referencia a la publicación especial del NIST 800-90, en la cual un estándar de cifrado adoptado por el instituto usa cuatro generadores de bits aleatorios deterministas.

Uno de esos generadores, Dual_EC_DRBG, se basa en la búsqueda de logaritmos discretos de las curvas elípticas que atrajeron la atención casi inmediatamente, sobre todo porque era considerablemente más lento que los otros métodos y fue defendido por la NSA.

Un año después de su publicación, dos investigadores de Microsoft, Dan Shumow y Niels Ferguson, dieron una presentación en la conferencia CRYPTO 2007 en la cual se indicó que el DUAL_EC_DRBG era crackeable. Ellos fueron cuidadosos al no acusar a la NSA de insertar de manera intencional una puerta trasera en el sistema,  pero señalaron que éste era potencialmente inseguro.

En el comunicado del martes, el NIST dijo que el trabajo con la NSA era un procedimiento operativo estándar, de hecho estaba por ley obligado a consultar a la NSA en materia de seguridad. Para tranquilizar a los usuarios, el NIST ha reabierto el estándar para comentarios del público y así éstos puedan ser revisados, sin embargo el experto en criptografía, Bruce Schneier, quien ha examinado algunos de los materiales de Snowden en la materia, advirtió que éstos no son lo bastante buenos.

“Desafortunadamente, el NIST tenía una gran credibilidad golpeada", dijo Schneier en un podcast. “Hay buenas personas que están haciendo un buen trabajo pero no conocemos cuales de sus normas están contaminadas, no sabemos qué tanta colaboración hay con la NSA”

“Y, por desgracia, porque la confianza se pierde cuando se levantan y dicen que la NSA no afecta nuestras normas, en realidad no les creemos. Necesitamos una manera de recuperar la confianza.”

Schneier comparó la situación cuando se traiciona al cónyugue, diciendo que en este tipo de situaciones, la única manera de recuperar la confianza de nuevo es por revelación completa. "No se puede decir: aquí está la mayor parte de las cosas que hice y tú puedes encontrar un poco más en unos meses. Ese tipo de estrategias no funciona."