Mở đầu
Dual EC DBRG (Dual Elliptic Curve Deterministic Random Bit Generator) là một bộ tạo số giả ngẫu nhiên được NIST coi là an toàn về mật mã. Nó dựa trên bài toán logarithm rời rạc đường cong elliptic (elliptic curve discrete logarithm problem-ECDLP) và là một trong bốn bộ tạo số giả ngẫu nhiên an toàn mật mã đã được chuẩn hóa trong tài liệu SP 800-90A của NIST. Không lâu sau khi NIST công bố tài liệu này, chuyên gia về mật mã Bruce Schneier dựa trên một số nghiên cứu của đồng nghiệp đã suy đoán rằng, bộ tạo số giả ngẫu nhiên này có thể chứa một cửa hậu có tính chất Kleptography của NSA. Kleptography là một chuyên ngành hẹp của mật mã học và Virus mật mã học (Cryptovirology), nghiên cứu việc đánh cắp thông tin một cách bí mật và tinh vi, được phát triển từ lý thuyết về các kênh ngầm của Gus Simmons (làm việc ở Phòng thí nghiệm tại Sandia National Sandria).
Độ an toàn
Mục tiêu để đưa Dual EC DRBG vào trong chuẩn NIST SP 800-90A là độ an toàn của nó dựa trên một bài toán khó từ lý thuyết số, chẳng hạn như giả thuyết Diffie-Hellman quyết định (decisional Diffie–Hellman assumption) đường cong elliptic. Mặc dù tốc độ của bộ tạo số giả ngẫu nhiên này chậm hơn (3 lần) so với 3 thuật toán khác cũng đã được chuẩn hóa, nhưng do tầm quan trọng của các bộ tạo số ngẫu nhiên an toàn trong mật mã, nên trong một số trường hợp người ta vẫn phải sử dụng, theo nghĩa là “hy sinh” tốc độ xử lý vì độ an toàn.
Tiếp theo việc công bố thuật toán Dual EC BRBG, nhiều nhà nghiên cứu đã công bố vấn đề an toàn liên quan đến các tính chất của Dual EC BRBG như sau:
- Các giá trị trung gian mà nó tạo ra (một dãy các điểm trên đường cong elliptic, dưới các giả thuyết hợp lý nào đó, chẳng hạn như bài toán Quyết định Diffie-Hellman) sẽ là không phân biệt được với các điểm đường cong elliptic ngẫu nhiên đều.
- Dãy của các bit được tạo ra từ Dual EC DBRG, với các lựa chọn tham số nào đó, có thể phân biệt được với các bit ngẫu nhiên đều, làm cho đầu ra thô của nó không thích hợp để sử dụng như một mã pháp dòng.
- Độ an toàn của nó được thiết kế dựa trên một bài toán khó, chẳng hạn như Bài toán Diffie-Hellman tính toán (computational Diffie–Hellman problem), nhưng một trong những cấu hình đã được khuyến cáo của Dual EC DRBG đã cho phép tồn tại một khóa bí mật hỗ trợ để giải bài toán này.

Một số điểm còn vướng mắc
Bộ tạo số giả ngẫu nhiên Dual EC DRBG gây tranh cãi bởi vì nó đã được công bố trong một chuẩn của NIST. Nó được lựa chọn, mặc dù tốc độ xử lý chậm hơn các thuật toán đã được chuẩn hóa khác và chứa một số điểm yếu đã được nhận thấy từ khi chuẩn hóa nó.
Vào tháng 3/2006, nhà nghiên cứu mật mã Daniel Brown đã phát hiện ra một điểm yếu của bộ tạo này. Theo thiết kế, một tham số đầu vào của nó (Q) phải là ngẫu nhiên. Nếu Q không ngẫu nhiên, người ta có thể suy ra một tham số mật (d) của quá trình thực hiện thuật toán, như vậy có thể khôi phục được thông tin bí mật ban đầu từ giá trị đầu ra.
Tháng 8/2007, Dan Shumow và Niels Ferguson cũng đã phát hiện điểm yếu  của bộ tạo số giả ngẫu nhiên này có thể được sử dụng như một cửa hậu. Với các ứng dụng rộng rãi của bộ tạo số giả ngẫu nhiên trong mật mã, điểm yếu này có thể được sử dụng để phá hệ mật bất kỳ có sử dụng bộ tạo số giả ngẫu nhiên này. Thuật toán của bộ tạo này sử dụng một số hằng số để xác định đầu ra. Những hằng số này có thể được đưa vào một cách có chủ ý, cho phép người thiết kế dự đoán được đầu ra của nó.
Đáp lại mối quan tâm đó, tháng 9/2013, Phòng thí nghiệm công nghệ thông tin của NIST thông báo rằng, NIST đã phát hành lại tài liệu SP 800-90A như một tiêu chuẩn dự thảo và đưa ra hai tài liệu SP800-90B/C để lấy ý kiến góp ý công khai. Hiện nay, NIST lại đang “tích cực khuyến cáo” chống lại việc sử dụng Dual EC DBRG. Trong tuyên bố ngày 10/9/2013, giám đốc NIST đã khẳng định rằng “NIST không chủ ý làm yếu chuẩn mật mã”.