1 pontos por GN⁺ 2023-10-15 | 1 comentários | Compartilhar no WhatsApp
  • Em meio às preocupações de que computadores quânticos possam neutralizar a criptografia atual, Daniel Bernstein critica a padronização de criptografia pós-quântica do NIST por não deixar suficientemente claro o envolvimento da NSA nem os cálculos de segurança
  • O NIST vem conduzindo a padronização de PQC desde 2012, e Bernstein acredita que a NSA tenta inserir fraquezas secretas no novo padrão, algo que o NIST nega
  • Sobre o Kyber512, um dos pontos centrais da disputa, Bernstein afirma que o NIST superestimou sua segurança, enquanto Dustin Moody, do NIST, discorda e diz que se trata de uma área sem certeza científica
  • O NIST considera que o Kyber512 atende ao critério level one, equivalente ao nível do AES-128, mas para uso real recomenda o mais forte Kyber768, seguindo sugestão dos desenvolvedores
  • Embora o NIST diga ter reforçado as diretrizes de transparência após as revelações de Snowden, os pedidos com base na lei de acesso à informação e o processo movido por Bernstein deixam em aberto se a escolha dos padrões criptográficos pode ser verificada externamente

Controvérsia sobre a padronização da criptografia pós-quântica

  • Daniel Bernstein, da University of Illinois Chicago, considera que o NIST está deliberadamente obscurecendo o nível de envolvimento da NSA no desenvolvimento de padrões de criptografia pós-quântica
  • Bernstein também afirma que os cálculos do nível de segurança dos novos padrões podem conter erros ou até falhas intencionais
  • O NIST nega essas alegações e diz que não concorda com a análise de Bernstein
  • O ponto central defendido por Bernstein é que a organização que escolhe padrões criptográficos deve seguir regras públicas de forma transparente e verificável
    • Na visão dele, embora o NIST tenha prometido transparência, não é verdade que tenha tornado todo o trabalho público

Por que os padrões de PQC são importantes

  • Os problemas matemáticos usados hoje para proteger dados são, na prática, difíceis demais de quebrar até para os maiores supercomputadores atuais
  • Se surgirem computadores quânticos estáveis e poderosos, eles poderão quebrar a criptografia atual muito rapidamente
  • Não se sabe quando essas máquinas estarão disponíveis, mas o NIST conduz desde 2012 um projeto de padronização de novos algoritmos resistentes a ataques de computadores quânticos
  • Bernstein foi quem cunhou, em 2003, o termo post-quantum cryptography para se referir a esse tipo de algoritmo
  • Como os padrões do NIST podem ser usados no mundo todo, qualquer falha neles pode ter impacto muito amplo

Conflito sobre os cálculos de segurança do Kyber512

  • Bernstein afirma que os cálculos do NIST para o Kyber512, um dos candidatos ao futuro padrão de PQC, estão “claramente errados”
  • Sua crítica principal é que o NIST usou multiplicação em uma situação em que somar dois números daria um resultado mais preciso, o que teria levado a uma avaliação acima da real da resistência do Kyber512 a ataques
  • Dustin Moody, do NIST, discorda dessa análise
    • Segundo ele, não há certeza científica nesse tema, e pessoas inteligentes podem chegar a opiniões diferentes
    • Ele diz respeitar a opinião de Bernstein, mas não concorda com suas conclusões
  • Moody considera que o Kyber512 atende ao critério de segurança level one do NIST
    • Esse critério equivale a ser tão difícil de quebrar quanto o algoritmo amplamente usado AES-128
    • Para uso prático, ele recomenda o Kyber768, mais forte
    • Segundo Moody, a recomendação do Kyber768 partiu dos desenvolvedores do algoritmo

Cronograma de definição do padrão e o lugar do Kyber

  • O NIST está atualmente em período de consulta pública
  • A expectativa é publicar os padrões finais de algoritmos de PQC no próximo ano
  • Quando os padrões forem definidos, as organizações poderão começar a adotar os novos algoritmos
  • O Kyber já passou por várias etapas do processo de seleção, por isso parece ter alta chance de ser incluído no padrão final

Problemas de confiança criados por casos passados

  • É difícil dizer com certeza qual influência real a NSA teve sobre os padrões de PQC, devido ao sigilo da organização
  • Há suspeitas e rumores antigos de que a NSA enfraquece algoritmos criptográficos de forma intencional
  • Em 2013, o The New York Times informou que a NSA tinha um orçamento de US$ 250 milhões para esse tipo de trabalho
  • No mesmo ano, documentos de inteligência vazados por Edward Snowden incluíam a informação de que a NSA havia inserido deliberadamente backdoors em algoritmos criptográficos
    • Esse algoritmo acabou sendo removido de padrões oficiais depois

A resposta do NIST e sua defesa da transparência

  • Moody afirma que o NIST nunca concordou em enfraquecer deliberadamente um padrão a pedido da NSA
  • Segundo ele, se existisse alguma fraqueza secreta, ela teria sido inserida sem que o NIST soubesse
  • Após as revelações de Snowden, o NIST afirma ter reforçado as diretrizes de transparência e segurança para recuperar a confiança dos especialistas em criptografia
  • Moody diz que sempre há criptógrafos preocupados quando a NSA é mencionada, e que o NIST tentou tratar de forma aberta suas interações com a agência
  • Ele também afirma que a própria NSA tentou ser mais aberta, dentro dos limites de uma agência de inteligência secreta
  • A NSA não respondeu ao pedido de comentário da New Scientist
  • Moody reconhece que pode dizer que as decisões são tomadas pelo NIST, mas que, para quem está de fora, não há como verificar isso

Documentos revelados por pedidos de acesso à informação

  • Bernstein afirma que o NIST não revelou o nível de contribuição da NSA e bloqueou seus pedidos de informação
  • Ele apresentou um pedido com base na lei de acesso à informação e moveu uma ação contra o NIST, forçando a divulgação de detalhes do envolvimento da NSA
  • Os documentos entregues a Bernstein mostram que um grupo descrito como “Post Quantum Cryptography Team, National Institute of Standards and Technology” incluía vários integrantes da NSA
  • Os documentos também dizem que o NIST se reuniu com representantes do GCHQ, equivalente britânico da NSA

Avaliação de especialistas externos

  • Alan Woodward, da University of Surrey, considera que há motivo para cautela com algoritmos criptográficos
  • Como exemplo, ele cita o código GEA-1, usado em redes de telefonia móvel nas décadas de 1990 e 2000
    • Foi descoberta uma falha que permitia quebrá-lo com um volume de computação milhões de vezes menor do que o previsto originalmente
    • Não se sabe quem inseriu essa falha
  • Woodward afirma que os candidatos atuais de PQC foram fortemente examinados pela academia e pela indústria, e que até agora não foi demonstrado que sejam insuficientes
  • Outros algoritmos de fases anteriores da competição já foram eliminados após falhas serem comprovadas
  • Woodward diz que serviços de inteligência têm histórico de enfraquecer criptografia, mas que ficaria surpreso se o Kyber tivesse uma armadilha embutida, dado o enorme volume de análises de segurança já realizadas

1 comentários

 
GN⁺ 2023-10-15
Comentários do Hacker News
  • A fala de Moody — “o que podemos fazer é apenas dizer que o NIST é quem toma as decisões dentro da sala; se você não acredita, não há como verificar a menos que esteja dentro do NIST” — é justamente o problema
    Se uma instituição tão importante quanto o NIST não é transparente a ponto de qualquer pessoa interessada poder examinar todas as reuniões, memorandos e até conversas nos intervalos, ela deveria ser desmantelada e substituída por uma organização que sirva adequadamente ao público
    Temos distorcido a tecnologia para criar um mundo de vigilância em todas as frentes e a usado indevidamente para espiar a privacidade de cidadãos comuns
    Se tecnologias de vigilância e auditoria têm usos legítimos, então as pessoas que, moralmente, deveriam abrir mão de parte de sua privacidade são aquelas que trabalham publicamente no Congresso, em câmaras locais, órgãos governamentais e organismos de padronização
    Não basta “dizer”; é preciso provar. E, se não conseguem provar, deveriam ceder o lugar a uma liderança mais adequada ao interesse público

    • Isso me faz imaginar um governo um pouco diferente do nosso, em que um órgão de fiscalização verifica que servidores públicos não conversem entre si fora das reuniões abertas
      O ônus seria enorme, mas, em um universo paralelo, talvez parecesse óbvio. Afinal, representantes devem prestar contas a nós
    • A vigilância em todas as frentes moderna não é implantada enfraquecendo a criptografia; ela é embutida em plataformas e apps, e as pessoas a instalam voluntariamente por causa de serviços gratuitos e feeds de redes sociais viciantes
      Não é preciso enfraquecer a criptografia para vigiar pessoas. Basta mostrar um coelho dançante e fazer com que, para vê-lo, a pessoa toque em “permitir acesso aos contatos”, “permitir acesso à câmera”, “permitir acesso ao microfone” e “permitir acesso aos documentos”
      Em termos um pouco mais sofisticados, substitua o coelho dançante por um serviço gratuito
      Quanto mais se adota uma estrutura de comando e controle em nuvem, mais fácil fica a vigilância. Qualquer pessoa com acesso interno ao provedor de nuvem pode grampear, quase em tempo real, as ações de todos, e talvez até sem que o próprio provedor saiba. Quanto mais usamos esses serviços, mais pontos de dados entregamos, e eles, combinados, produzem uma quantidade considerável de informações sobre nós quase em tempo real
    • A proposta é fazer uma vigilância 24 horas sobre as pessoas que fazem esse trabalho, com tudo o que for coletado visível para qualquer um? Fico me perguntando quem aceitaria um emprego assim
    • Do ponto de vista do NIST, isso também parece extremamente míope
      Eticamente, está claro como todos enxergariam a questão, mas, para fins de discussão, olhando pela perspectiva do NIST ou da NSA, alguém poderia acreditar que, por causa de uma ameaça específica, o NIST ou a NSA precisaria inserir um backdoor
      Para isso, o NIST teria de manter um grande capital de confiança social e a confiança da indústria para usar em uma questão muito restrita
      Só que, ao longo dos anos, houve esquisitices suficientes como o Dual EC DRBG e, especialmente no projeto de criptografia, quase não resta essa confiança. Tenho a impressão de que os padrões ECC mais recentes promovidos pelo NIST são muito menos confiáveis do que o AES era quando foi publicado, e me vêm à mente vários incidentes importantes capazes de gerar essa desconfiança
      No fim, o NIST acaba perdendo muita influência sobre a indústria, o que também não é bom para o próprio NIST
    • O simples fato de o NIST não ser transparente já é suficiente para presumir que qualquer trabalho relacionado a criptografia em que o NIST tenha mexido está comprometido
      Sinceramente, vejo a criptografia moderna como basicamente comprometida. A aposta depende de quem a comprometeu, de que forma, e de qual é a probabilidade de tentarem acessar meus dados
  • O artigo está meio estranho, então, como alguém que trabalha no setor de segurança, eu resumiria a situação assim
    Bernstein, um pesquisador de segurança respeitado, publicou na semana passada um longo post de blog criticando o processo de padronização do NIST para novos algoritmos de criptografia pós-quântica. O foco são mecanismos de encapsulamento de chaves, ou seja, áreas como troca de chaves em TLS; os grandes candidatos são Kyber e NTRU, do qual Bernstein é coautor
    A principal reclamação é que o NIST conduziu o processo de seleção de forma frouxa e eliminou uma variante rápida do NTRU que ficou apenas um pouco abaixo de um determinado limiar de segurança. Sem essa variante, o NTRU parece mais lento e menos flexível do que realmente é
    Por outro lado, o NIST aceitou uma variante igualmente rápida do Kyber com base em uma suposição instável. Bernstein argumenta longamente que ela também não satisfaz o limiar de segurança e deveria ser eliminada. Curiosamente, o NIST usou a própria pesquisa de Bernstein para defender a segurança do Kyber, aparentemente de uma forma incorreta
    Há uma atmosfera de impropriedade, como se o NIST tivesse favorecido um algoritmo em detrimento de outro por motivos desconhecidos. No início do texto, Bernstein também mostra os resultados de uma ação judicial recente que moveu para forçar a divulgação de mais informações sobre os procedimentos internos do NIST, e parece que o NIST e a NSA se reuniram com mais frequência do que se sabia anteriormente
    Minha interpretação se inclina mais para a ideia de que o NIST cometeu erros internos na avaliação dos algoritmos do que para a de que a NSA empurrou uma agenda. Também dá para ver isso como Bernstein usando táticas indiretas por estar ressentido com a possibilidade de seu algoritmo não ser escolhido, mas ele tem uma excelente reputação e argumenta de forma convincente que o NIST cometeu erros importantes e não foi transparente o bastante
    https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
    https://blog.cr.yp.to/20231003-countcorrectly.html

    • Fico curioso para saber por que você vê assim. A NSA já fez exatamente esse tipo de coisa antes; por que deveríamos presumir boa-fé desta vez?
      https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
    • Se “um acadêmico está chateado por não receber crédito” e “um acadêmico quer ajudar o mundo” aparecem ambos como possibilidades, deve-se sempre olhar por bastante tempo para a primeira possibilidade
      Eu também sou acadêmico, e é assim que este texto também deve ser visto
  • Passei a semana passada inteira em espaços onde criptógrafos tentavam entender o que exatamente aquele post de blog de Bernstein queria dizer, e é difícil acreditar que Matthew Sparkes, da The New Scientist, tenha entendido melhor do que eles
    Sparkes nem sequer entrevistou Bernstein diretamente e, se ninguém aqui se interessa pelas citações do NIST, então parece correto tratar este artigo como uma duplicata

  • Sempre que surge a história de DJB versus NIST, aparece inevitavelmente a reação: “pode parecer algo pequeno, mas ele tem um histórico impecável, então devemos confiar nele”
    Quero contestar um pouco isso, por isso linko esta thread no Twitter
    https://nitter.net/FiloSottile/status/1555669786826244096
    Ela mostra que Bernstein e seus colegas têm um padrão de intimidar outros criptógrafos
    É possível ser um criptógrafo brilhante e, ao mesmo tempo, uma pessoa mesquinha; as duas coisas não são mutuamente exclusivas

    • Não investiguei todos os links daquela thread do Twitter, mas alguns dos primeiros tuítes são bastante enganosos
      Os tuítes dizem que DJB insinuou que os cientistas que submeteram algoritmos foram comprados pela NSA, mas isso entende de forma completamente errada o que DJB escreveu. O argumento dele era que a NSA nem precisaria subornar esses cientistas. Como ela já havia contratado, anos antes, os maiores especialistas da área, poderia estar muito à frente do que foi submetido; então bastaria pressionar o NIST a escolher algoritmos que ela soubesse quebrar
      Não sei o bastante sobre esse assunto para julgar se a alegação de DJB é uma paranoia maluca, como o autor da thread sugere com o GIF no 3º tuíte. O que dá para ver, porém, é que a alegação do autor distorce bastante o que DJB escreveu
    • Há coisa demais a destrinchar naquela thread e nas referências, e boa parte é do tipo em que as versões se contradizem
      Por exemplo, uma das referências usadas como prova de que DJB é mau reclama que, depois de tirar licença médica por um tempo, a sugestão do empregador de consultar um médico da empresa foi recebida como um insulto. Mas, na Holanda, isso é 100% procedimento padrão, e esse médico não é da empresa: é independente e mantém sigilo
      É a forma de resolver o conflito em que você não pode continuar alegando estar doente por tempo indeterminado, sem informar o motivo, e ainda esperar receber salário, mas o empregador também não tem direito de conhecer seu prontuário médico. Isso garante ao mesmo tempo o sigilo médico e a licença médica prolongada, enquanto o empregador pode confiar que um médico imparcial está verificando se as medidas adequadas estão sendo tomadas
      Esse caso aparece como parte de um conflito entre DJB, o autor e a universidade onde trabalham. Além disso, nas alegações de que DJB e outras pessoas ignoraram abusos, há trechos que parecem decorrer de desconhecimento do sistema local
      Acredito na maior parte do que foi escrito, mas, ao mesmo tempo, também parece claro que a falta de consulta a colegas, amigos ou ao Google/DDG sobre o sistema jurídico para o qual a pessoa havia acabado de se mudar agravou o problema. DJB também sugeriu tomar medidas legais, e o RH sugeriu mediação, mas a pessoa recusou ambas. Por isso, as evidências agora se resumem ao relato da própria pessoa no blog, e os acusados não sofreram consequência alguma
      Essas referências até convencem na direção de DJB = mau, mas ao mesmo tempo também sugerem que pode haver mais contexto do que apenas a história de um lado
    • Concordo fortemente. Bernstein já foi descrito antes como alguém “com tanta sutileza quanto o Incrível Hulk”. Talvez certas coisas passem porque ele é um criptógrafo brilhante
      Projetar a curve25519 é, em termos de impacto prático, uma conquista que eu colocaria na mesma categoria da invenção do RSA ou do Diffie-Hellman. Não porque a ideia fosse nova, mas porque foi combinada de uma forma que, na prática, “simplesmente funciona”. Você não precisa se preocupar com pontos inválidos da curva, ataques de twist, ou com usar por engano fórmulas de adição no lugar de duplicação de ponto
      A ideia de que se podia criar uma biblioteca criptográfica que faz bem uma única coisa, em vez de um framework no qual você encaixa escolhas de parâmetros e só algumas delas talvez sejam seguras, era nova o suficiente na época, já que ninguém fazia isso dessa forma. O fato de que, quando precisam de chaves reais, a maioria das pessoas usa ssh-keygen -t ed25519 ou o comando equivalente em outro sistema diz muito
      O mesmo vale para o GitHub abandonar o tipo de chave ssh-dss e recomendar ed25519 e os padrões atuais. Em assinaturas digitais, a disputa entre Ed25519 e DSA/ECDSA foi uma vitória completa de Bernstein, e o NIST saiu mal na foto. Não há prova de má-fé, mas ainda não ouvi uma explicação razoável para ECDSA ter estragado tanto o protocolo de Schnorr a ponto de muitas implementações criarem brechas de segurança horríveis
      Também há os vazamentos de Snowden e o DUAL_EC. Dizer que “a NSA interferiu em padrões criptográficos no passado, vazamentos confiáveis mostram que isso fazia parte de sua declaração de missão, e ela pode fazer isso de novo” me parece uma afirmação plausível, respaldada por boas evidências, muito distante de uma teoria da conspiração comum. Não é do mesmo campo que dizer que o pouso na Lua foi encenado
      Além disso, entre as muitas formas pelas quais Bernstein poderia ser mau, há várias que, até onde sei, nunca foram alegadas contra ele. Não há acusações de agressão sexual ou estupro, e não sei de falas especialmente racistas nem de promoção de ideologia de extrema direita. Há acusações de que ele insulta e às vezes ameaça pessoas que discordam dele em questões técnicas, mas isso não é a mesma coisa que o sentido comum de “uma pessoa ruim/má, que se deve evitar se possível”
      Eu diria que ele tem um histórico bastante impecável em design de protocolos criptográficos, e um histórico bastante manchado nas relações humanas. Isso é um trunfo quando se enfrenta decisões de projeto realmente tolas ou maliciosas, mas não em muitos outros casos
    • Esse contexto é importante
      O trecho-chave é: “se a abordagem dele não for adotada pelo NIST, as pessoas vão pensar que é porque ela não tem backdoor e vão citar o processo FOIA como prova”
  • Ao falar sobre as motivações do autor, infelizmente pode-se acabar deixando passar o erro de cálculo do NIST
    O erro central do NIST está em ter multiplicado indevidamente dois custos que deveriam ser somados. Se essa alegação estiver correta, o mais prudente é pelo menos revisar e corrigir o rascunho

  • Discussão anterior: https://news.ycombinator.com/item?id=37756656

  • Ironicamente, a forma e o conteúdo com que DJB lida com seus colegas e com o NIST provavelmente fazem ambos os lados virarem as costas para seus argumentos, mesmo que eles possam ser plausíveis
    A “resistência” do NIST que DJB percebe pode ser uma relutância em se envolver com um civil hostil e cada vez mais estranho
    Quando Dustin Moody, do NIST, disse “não concordamos com a análise dele. É uma questão sem certeza científica, e pessoas inteligentes podem ter opiniões diferentes. Respeitamos a opinião de Dan, mas não concordamos”, isso funciona bem para um artigo de divulgação científica, mas eu e muitas outras pessoas gostaríamos de ver os detalhes dessa análise serem devidamente examinados
    DJB poderia ter criado essa oportunidade, mas estragou tudo. Isso não quer dizer que as perguntas sobre seu cálculo do nível de segurança do Kyber-512 possam ficar sem resposta

    • “É uma questão sem certeza científica, e pessoas inteligentes podem ter opiniões diferentes” — que diabos isso quer dizer?
      Não é esse tipo de questão. DJB está basicamente dizendo que a NSA faz uma afirmação parecida com “3 + 3 = 9”, e essa afirmação ou está certa ou está errada
      O artigo está atrás de paywall, então depois de ver os comentários não pretendo me dar ao trabalho de contorná-lo, mas uma frase como essa, que aparece antes do paywall, é completamente desonesta
  • Dan Bernstein criou Qmail, DJBDNS e algoritmos criptográficos
    https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
    Qmail
    https://en.m.wikipedia.org/wiki/Qmail
    Djbdns
    https://en.m.wikipedia.org/wiki/Djbdns
    https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein

  • A criptografia, como muitas outras coisas, é importante demais para ser deixada nas mãos do Estado