El documento Cryptanalysis del generador de números aleatorios del sistema operativo de Windows describe algunos problemas Aspectos de la CSPRNG de Windows. Sin embargo, el documento se escribió en 2007 y examinó la versión del generador presente en Windows 2000. ¿Se describen los problemas aún más recientes en Windows (7 u 8, por ejemplo)?
De la página de Wikipedia :
Un documento de 2007 de la Universidad Hebrea sugirió problemas de seguridad en la implementación de CryptGenRandom en Windows 2000 (suponiendo que el atacante tiene el control de la máquina). Microsoft reconoció más tarde que los mismos problemas existen en Windows XP, pero no en Vista. Microsoft lanzó una solución para el error con el Service Pack 3 de Windows XP a mediados de 2008.
Entonces, la respuesta sería: no, los problemas descritos ya no están presentes en las versiones recientes de Windows.
Para ser justos, dichos problemas no eran críticamente graves para empezar. Eran más indicativos de diseño subóptimo; podrían convertirse en ataques reales solo en situaciones donde el atacante ya tiene un poder extenso (puede leer el espacio de memoria de la víctima ...). Al parecer, Microsoft trató de discutir con los autores del artículo (por lo que dice allí ) pero finalmente retrocedió, cuando se dieron cuenta de que "arreglar" el PRNG era más barato que discutir sobre él, y el proceso de admisión y revisión podría incluso darse un giro positivo desde el punto de vista de las relaciones públicas.