Si definimos las dudas acerca de lo que significa “privacidad” para la NSA, como una clase de cualquier lenguaje orientado a objetos, hoy tenemos otra instancia más que añadir a a la lista.
La NSA publicó en marzo el NIST Special Publication 800-90(pdf) que define cuatro formas de generación de números aleatorios, que son el equivalente en la criptografía a las claves en las construcciones romanas. Y en agosto, Dan Shomow y Niels Ferguson mostraron que uno de esos cuatro algoritmos, concretamente el que se basa en curvas elípticas, presenta una deficiencia que sólo puede ser considerada como una puerta trasera: hay una serie de números prefijados (constantes) que se usan para definir la curva elíptica del algoritmo y que nadie explica de donde salen. Y lo que es más importante, estos dos investigadores demostraron que esta serie de números guardaba reloación con otra segunda serie, secreta que podría usarse como una clave genérica con la que predecir el resultado de la generación aleatoria con tan sólo 32 bytes de su salida.
Lo preocupante de esta situación es que aun no siendo capaces de asegurar que esto sea una puerta trasera, tampoco se puede afirmar lo contrario. Lo cual podría ser un problema si alguien publica ese código una vez que el algoritmo este en uso; muchas organizaciones podrían quedar expuestas y el hardware de encriptación que use ese algoritmo quedaría automáticamente obsoleto.