Porosité des standards : le Nist dément

La qualité des standards de cryptographie validés par le Nist a été mise en cause par les dernières révélations sur les capacités de déchiffrement de la NSA. Dans un communiqué de presse, l’organisme chargé de valider ces standards répond : «nous voulons assurer la communauté de la cybersécurité que le processus transparent et public utilisé pour examiner nos standards est toujours en place.»

Plus loin, le Nist assure qu’il «n’affaiblirait pas volontairement un standard de cryptographie ». Pour lui, l’objectif affirmé est de fournir les «standards de chiffrement les plus sûrs possibles pour le gouvernement US et pour l’industrie en général ». Dès lors, l’organisme estime qu’il y a «eu de la confusion» au sujet des processus de développement des standards et «du rôle des différentes organisations en son sein ». Et de souligner que son rôle premier consiste à travailler à la définition des standards et des recommandations «pour protéger les systèmes d’information fédéraux ». Il réfute ainsi toute idée d’imposer ceux-ci à l’industrie : «en raison du haut niveau de confiance dans les standards du Nist, de nombreux groupes industriels privés adoptent volontairement ces standards.» Et si la NSA est impliquée dans les travaux du Nist, c’est en raison pour « son expertise reconnue», d’une part, mais aussi parce que «le Nist est obligé, par son statut, de consulter la NSA ».

Et compte tenu des questions posées tant par les révélations faites par la presse que par la communauté de la cryptographie, le Nist a décidé de rouvrir les débats publics sur trois de ses publications de référence relatives aux générateurs de nombres aléatoires, indiquant que «si des vulnérabilités sont trouvées dans ces ou d’autres standards du Nist, nous travaillerons avec la communauté de la cryptographie pour les traiter aussi vite que possible ».