NSA e IETF: atacantes podem comprar a padronização de uma criptografia enfraquecida?

 (blog.cr.yp.to)
2 pontos por GN⁺ 2025-10-06 | 1 comentários | Compartilhar no WhatsApp
  • Agências de vigilância como a NSA e a GCHQ estão tentando promover um enfraquecimento da padronização, saindo da criptografia dupla existente ECC+PQ para criptografia somente PQ
  • Essa mudança está ligada aos procedimentos internos de organizações de padronização como o grupo de trabalho TLS da IETF, a orçamentos militares e a requisitos de compras de grandes empresas
  • Muitos especialistas em segurança e profissionais da área enfatizam que manter a criptografia dupla é a escolha sensata, considerando ameaças reais e a possibilidade de falhas
  • Em torno da adoção de um padrão de PQ única, também surgiram sérios problemas de procedimento, como exigências legais e processuais, definição de consenso e tratamento insuficiente de objeções
  • O poder de compra e a influência de algumas organizações, como a NSA, acabam normalizando padrões frágeis e aumentando o risco em todo o ecossistema de segurança

Introdução: a necessidade da criptografia dupla (híbrida) e o contexto real

  • A criptografia pós-quântica (PQ) está sendo introduzida como uma camada adicional de segurança sobre a criptografia tradicional baseada em ECC
  • Exemplos: Google CECPQ1 (ECC tradicional X25519 + PQ NewHope1024), CECPQ2 (ECC+NTRUHRSS701), CECPQ2b (ECC+SIKEp434)
  • Nos navegadores mais recentes, mais da metade já usa PQ segundo a Cloudflare, e a maioria aplica isso simultaneamente com ECC (de forma dupla)
  • Mesmo que a PQ seja teoricamente forte, novas vulnerabilidades ou colapsos de algoritmos podem surgir, e de fato já houve problemas como o colapso público do SIKE
  • A criptografia dupla funciona como um cinto de segurança no carro: um amortecedor prático contra riscos desconhecidos ou falhas

A influência e os objetivos de padronização da NSA e da GCHQ

  • A NSA e a GCHQ estão tentando enfraquecer o padrão, não para ECC+PQ híbrido, mas para criptografia somente PQ (sem híbrido)
  • Repetem raciocínios falhos, como no caso do Dual EC, sob o pretexto de “reforçar a segurança”, quando na prática o objetivo é introduzir vulnerabilidades e ampliar influência
  • A NSA usa critérios de compras militares e de infraestrutura nacional crítica para induzir produtos e serviços, via execução orçamentária, a seguirem PQ única
  • Grandes empresas como Cisco, Google, IBM e Microsoft estão formalizando ou apoiando implementações de criptografia PQ única em linha com exigências de órgãos como a NSA

A alegação de “usar os próprios produtos” (dogfooding) e a realidade

  • A NSA já usou marketing de apelo à confiabilidade reforçada ao enfraquecer o DES (56 bits) e no processo de padronização, com algo como “nós também usamos DES para informações nacionais sigilosas”
  • Na prática, porém, protegia informações importantes com abordagens em múltiplas camadas, como Triple-DES
  • Ainda hoje, a NSA opera duas camadas independentes de criptografia para proteger dados importantes, tentando evitar cenários de falha única

O processo de adoção de padrões e o caso da IETF

  • Na IETF, o rascunho para introdução de híbrido (ECC+PQ) no TLS foi adotado em março de 2025 sem oposição relevante
  • Já o rascunho de PQ única recebeu críticas de vários especialistas em segurança sobre segurança, charter do WG, aumento de complexidade e outros pontos
    • Como no caso do SIKE, se apenas um elemento for quebrado, toda a segurança pode ruir
    • A condução da NSA por meio de compras violaria o BCP 188 e o objetivo do WG de “melhorar a segurança”
  • O híbrido é a escolha prática ideal, pois aumenta a segurança sem desvantagens concretas relevantes

Requisitos legais/políticos de procedimento e de consenso

  • Pela legislação dos EUA, organizações de padronização devem cumprir abertura, equilíbrio entre interesses, devido processo, resposta a objeções e consenso (concensus)
  • Segundo decisões da Suprema Corte e normas do OMB, “consenso” não significa mera votação, mas análise justa de cada objeção, oferta de informação e concordância ampla genuína
  • No caso real da IETF, é difícil considerar a proporção de 22 a favor e 7 contra como um consenso amplo em sentido geral
  • Muitas manifestações favoráveis dentro da IETF foram muito curtas, e faltaram respostas substanciais/específicas ou discussão suficiente sobre os argumentos contrários

Resumo dos fatores de risco

  • Órgãos altamente influentes, como a NSA, usam execução orçamentária e participação em organizações de padronização para induzir a incorporação de vulnerabilidades e a dependência da indústria
  • Falhas anteriores de padronização, como Dual EC e SIKE, podem se repetir e expor fraquezas de segurança importantes, com resultados catastróficos
  • Na prática, a criptografia dupla está se tornando o padrão, mas se padrões enfraquecidos forem adotados sob a justificativa de “economia” ou “simplificação”, todo o ecossistema pode ficar em risco

Conclusão e implicações

  • É necessário reforçar a imparcialidade e a transparência dos responsáveis pela padronização e incentivar a adoção de criptografia dupla que reflita as demandas reais do mercado
  • É preciso aumentar a vigilância sobre a possibilidade de enfraquecimento da segurança de todo o ecossistema por influência agressiva de órgãos como a NSA
  • Para disseminar práticas avançadas que possam reduzir riscos, como a universalização da criptografia dupla, é muito importante que desenvolvedores e empresas mantenham atenção ativa e mecanismos de fiscalização

Leituras relacionadas

1 comentários

 
GN⁺ 2025-10-06
Comentários do Hacker News

  • DJB vem criticando de forma consistente a posição da NSA desde 2022 (referência: post no blog do DJB). Fiquei muito surpreso ao ver que realmente existe a defesa de introduzir troca de chaves PQ não híbrida em aplicações reais. Se isso não for um arranjo feito para a NSA conseguir quebrar tudo facilmente, então de qualquer forma isso demonstra uma confiança enorme em mecanismos que só surgiram recentemente. A situação é parecida com dizer: "agora que conseguimos detectar vírus no esgoto, hospitais não precisam mais reportar possíveis surtos". É ainda mais perigoso porque o objetivo de algumas pessoas pode ser completamente oposto ao de todos os demais. No texto de 2022, DJB aponta que a NSA basicamente só citou publicamente "os pouquíssimos casos em que uma camada extra de segurança foi introduzida cedo demais e causou problemas", além de expressar confiança no processo de PQC do NIST.

    • Eu gostaria que explicassem de forma mais concreta o que seriam esses "mecanismos desenvolvidos recentemente".

  • Há muitos pontos para discutir sobre esse tema. A) Agências governamentais de cibersegurança nunca devem ser confiadas cegamente. B) A NSA não é exatamente aquilo que imaginamos; é realmente um faroeste muito estranho, digo isso por experiência própria. C) Criptografia envolve muito mais do que apenas segurança ou troca de mensagens; às vezes você nem sabe que algo (talvez um ser vivo) pode ser decifrado. D) A NSA é realmente, realmente baixa; dá para chamá-la de uma CIA digital, atuando como espiã cibernética em empresas de tecnologia, telecomunicações, fabricantes etc. E) Os conselhos da NSA nunca devem ser seguidos / a cultura deles é orientada à exploração.

    • Tenho curiosidade sobre o que significa "algo (talvez um ser vivo) pode ser decifrado".

    • Em vez de apenas dizer para não confiar na NSA, eu gostaria que você apresentasse uma lógica de por que deveríamos confiar em você.

  • Acho estranho levantar a questão publicamente sem mencionar que a reclamação foi oficialmente rejeitada há 3 dias (referência: documento oficial do IESG).

    • Respeito você e o autor, mas o documento de rejeição acaba sem responder de fato às questões principais; basicamente só diz "não houve problema processual" e "se quiser recorrer, reapresente corretamente dentro da forma exigida". Esse tipo de resposta só reduz ainda mais a confiança.

    • Acho bom que isso tenha sido tornado público para manter o registro completo. Em temas assim, nunca podemos esquecer a longa história de pessoas tentando enfraquecer a criptografia e não desistindo facilmente.

  • Isso tudo é bem preocupante, e respeito o fato de DJB estar enfrentando isso. Uma coisa que me pergunto é: quem seria, na prática, um alvo importante o bastante para justificar a atenção da NSA?

    • Alvos tecnicamente sofisticados de qualquer forma usariam troca de chaves híbrida,

    • usuários comuns ou alvos sem muito conhecimento técnico já praticamente perdem o valor da criptografia diante de vigilância como o PRISM,

    • então fica a dúvida sobre qual é a real intenção da NSA.

    • A maioria das organizações simplesmente usa o que vier como padrão nas configurações de segurança de roteadores Cisco ou navegadores web. A NSA primeiro exige que até protocolos (não totalmente seguros) sejam "suportados" e, quando isso se dissemina, transforma isso em "padrão" por meio até de verificações de conformidade.

    • Mesmo que não consigam cobrir todos os alvos com tecnologia de backdoor, se 30% do mercado usar isso já será um enorme sucesso. Coleta de inteligência é um jogo de números; se você lançar uma rede grande o bastante, mais cedo ou mais tarde vai capturar muitos alvos.

    • Em combinação com o QUANTUMINSERT, até quem originalmente usava criptografia mais forte pode acabar exposto a ataques de downgrade.

    • Eu gostaria que você explicasse de forma concreta o que exatamente quer dizer com isso ser preocupante.

    • Será que isso não significa que 99% do tráfego TLS global está em risco?

  • O entusiasmo em substituir RSA por ECC também me parece igualmente suspeito. Tenho a impressão de que, de repente, surgiram ao mesmo tempo e de forma padronizada argumentos de que algoritmos confiáveis há muito tempo já não eram mais confiáveis, eram difíceis de implementar, lentos e estavam ultrapassados. Isso me parece muito artificial.

  • Só de pensar que estão tentando isso, já me dá vontade de adicionar uma terceira camada por cima das duas camadas de criptografia que já uso.

    • Na verdade, na maioria dos esquemas/aplicações criptográficas, empilhar várias camadas de criptografia não custa tanto assim. Colocar umas 10 camadas dificilmente seria um prejuízo.

  • A afirmação de que "algoritmos pós-quânticos podem até ser quebrados pelos computadores de hoje" basicamente oferece "segurança pela ignorância (Security Through Ignorance)". Essa cifra é segura? Ninguém sabe! Vamos esperar para ver no que dá.

  • Parece haver toda uma trama dramática envolvendo vários eventos, mas, independentemente disso, este texto me fez pensar que padrões importantes deveriam ser decididos fora do governo. Que tipo de organização deveria conduzir esse processo de padronização? A Linux Foundation? Hoje parece que, no ecossistema Ethereum, o pessoal mais talentoso em matemática criptográfica está concentrado em provas de conhecimento zero (ZK proof). Se o Vitalik organizasse um concurso como o do NIST, certamente chamaria atenção. O mais necessário é criar uma estrutura que "recompense atacantes por tentarem quebrar a criptografia com dados falsos antes da adoção real". O ideal seria que a criptografia já fosse atacada antes de ser padronizada. O lado do Ethereum já opera bem esse tipo de bounty. Se especialistas em criptografia receberem recompensas reais por divulgação ética, haverá menos incentivo para vender descobertas ao lado antiético.

  • O assustador é que esse Wouters ameaçou banir Bernstein com uma mensagem de CoC extremamente rude e agressiva (referência: email original). Uma experiência ironicamente associada à ideia de "confie no processo".

  • FIPS é como a última linha de defesa dos padrões de segurança.

    • No começo eu li FIPS errado como "bassoon dos padrões de segurança" e fiquei confuso; meu cérebro começou a imaginar algo totalmente diferente.