Статья только в электронной версии журнала
Проблемы с алгоритмом заставляют Ntru перестраиваться
Деннис Фишер
Новое руководство Ntru Cryptosystems надеется, что пересмотр перечня оказываемых ею услуг и направлений консультационной деятельности поможет свести к минимуму урон, который фирма понесла из-за проблем с основным своим алгоритмом шифрования.
В прошлом Ntru была одной из ведущих криптографических компаний США, однако за последние полгода ей пришлось почти полностью перестроить свой бизнес. У нее появился новый исполнительный директор, фирма отказалась от лицензирования своих алгоритмов шифрования, на треть сократила численность сотрудников, а многих из оставшихся в штате перевела на неполный рабочий день.
Все эти шаги имеют самое непосредственное отношение к главной интеллектуальной собственности Ntru - алгоритму шифрования NtruEncrypt, лежащему в основе линии инструментальных комплектов безопасности Neo и ее же криптосистем с открытым ключом. Прошлой осенью фирма выявила, что ее рекомендации по настройке системы на лучшую пропускную способность при использовании этого алгоритма создают ряд проблем. В результате, как оказалось, при передаче случайного набора сообщений некоторые из них не поддаются расшифровке. Зная это, злоумышленник получает шанс провести так называемую атаку с выборкой шифротекстов. Собирая мало-помалу информацию из нерасшифрованных пакетов, хакер со временем может накопить достаточно данных, чтобы дешифровать целое сообщение, а это, в свою очередь, ставит под сомнение стойкость защиты всех остальных сообщений, зашифрованных тем же ключом.
Проблему со своим алгоритмом Ntru обнаружила самостоятельно, однако примерно в то же время на нее натолкнулось сразу несколько групп экспертов в области безопасности, которые сразу же уведомили о своем открытии фирму.
На первый взгляд проблема выглядит не слишком значительной и проявляется в одном случае на триллион. Однако этого оказалось достаточно, чтобы Ntru сообщила о ней всем своим потребителям и партнерам, а инженеры компании тут же приступили к работе над новым инструментальным комплектом. Руководство Ntru утверждает, что не потеряло из-за этого ни одного клиента, пользователи же, к которым обратились сотрудники eWeek, отказались комментировать произошедшее. И все же, как это ни печально для фирмы, когда в отрасли безопасности происходит нечто подобное, помнят об этом долго.
"Технология Ntru стала получше, но все же не настолько, чтобы ради нее компании начали увольнять фанатов RSA Security", - отметил один из близких к Ntru пользователей.
А директор криптографических исследований и разработок этой фирмы Уильям Уайт рассказал, что уже создан новый инструментальный комплект и подготовлена документация по устранению отмеченной проблемы. "Мне кажется, что все прекрасно понимают происходящее, - заявил он. - Мы работаем с новыми параметрами и гарантируем высокую надежность".
Тем не менее нынешней весной, когда шумиха вокруг проблем с алгоритмом начала утихать, руководство Ntru все же решило перенацелить усилия на консалтинг. Результатом такой смены приоритетов стало сокращение штатов: после февральских увольнений в фирме осталось только 20 сотрудников, причем многие из них работают неполный день.
Самой высокопоставленной жертвой реорганизации стал бывший исполнительный директор компании Скотт Креншоу, которому в начале года предложили менее значимый пост. После этого он ушел из Ntru и сейчас повышает квалификацию в аспирантуре Массачусетского технологического института.
О том, как именно принималось решение о реорганизации, нам рассказал генеральный менеджер Ntru Эд Кинг: "Мы оценили свое финансовое положение и обнаружили, что лицензирование интеллектуальной собственности отнимает у нас слишком много сил. Нам нужно было развивать консультационный бизнес. Увольнения, насколько я понимаю, носили разовый характер, мы ни в коей мере не собирались преуменьшать значимость своей интеллектуальной собственности".
Консультационные услуги фирмы пока ограничиваются преимущественно разработкой и проверкой надежности создаваемых на заказ криптоалгоритмов, однако, как нам стало известно, Ntru уже начала активно сотрудничать с корпорацией Microsoft, а это значит, что вскоре можно ожидать и более масштабных проектов.