- Angesichts der Sorge, dass Quantencomputer bestehende Verschlüsselung aushebeln könnten, kritisiert Daniel Bernstein, dass die Post-Quanten-Kryptografie-Standardisierung des NIST die Beteiligung der NSA und die Sicherheitsberechnungen nicht ausreichend offenlegt
- Das NIST arbeitet seit 2012 an der PQC-Standardisierung; Bernstein glaubt, die NSA versuche, geheime Schwächen in die neuen Standards einzubauen, was das NIST bestreitet
- Bei einem der Streitpunkte, Kyber512, behauptet Bernstein, das NIST habe die Sicherheit überschätzt; Dustin Moody vom NIST widerspricht und verweist auf einen Bereich ohne wissenschaftliche Gewissheit
- Das NIST sieht Kyber512 als konform mit dem Level-one-Kriterium auf dem Niveau von AES-128, empfiehlt für den praktischen Einsatz jedoch gemäß dem Vorschlag der Entwickler das stärkere Kyber768
- Nach den Snowden-Enthüllungen habe das NIST seine Transparenzrichtlinien verschärft, doch Bernsteins Informationsfreiheitsanfragen und Klagen werfen weiter die Frage auf, ob der Auswahlprozess für Kryptostandards von außen überprüfbar ist
Kontroverse um die Standardisierung von Post-Quanten-Kryptografie
- Daniel Bernstein von der University of Illinois Chicago ist der Ansicht, dass das NIST das Ausmaß der NSA-Beteiligung an der Entwicklung von Standards für Post-Quanten-Kryptografie absichtlich verschleiert
- Bernstein behauptet, auch bei der Berechnung des Sicherheitsniveaus der neuen Standards könne es Fehler oder absichtliche Falschberechnungen geben
- Das NIST weist diese Vorwürfe zurück und erklärt, Bernsteins Analyse nicht zuzustimmen
- Bernsteins zentrale Forderung ist, dass Organisationen, die Kryptostandards auswählen, öffentliche Regeln transparent und überprüfbar befolgen müssen
- Er meint, das NIST habe zwar Transparenz zugesagt, doch die Aussage, sämtliche Arbeiten offengelegt zu haben, sei nicht zutreffend
Warum PQC-Standards wichtig sind
- Die mathematischen Probleme, die derzeit zum Schutz von Daten verwendet werden, sind selbst mit den größten heutigen Supercomputern praktisch kaum zu knacken
- Wenn stabile und leistungsfähige Quantencomputer verfügbar werden, könnten sie heutige Verschlüsselung sehr schnell brechen
- Wann solche Computer entstehen, ist unklar; das NIST arbeitet jedoch seit 2012 an einem Standardisierungsprojekt für neue Algorithmen, die Angriffen durch Quantencomputer standhalten sollen
- Bernstein prägte 2003 den Begriff Post-Quantum Cryptography für diese Art von Algorithmen
- NIST-Standards können weltweit eingesetzt werden; enthalten sie Schwächen, könnte auch der Wirkungsbereich entsprechend groß sein
Konflikt um die Sicherheitsberechnung von Kyber512
- Bernstein behauptet, die NIST-Berechnungen zu Kyber512, einem der kommenden PQC-Standardkandidaten, seien „offensichtlich falsch“
- Sein zentraler Kritikpunkt lautet, dass das NIST eine Multiplikation verwendet habe, obwohl in der betreffenden Situation eine Addition zweier Zahlen genauer gewesen wäre; dadurch sei die Angriffsfestigkeit von Kyber512 höher bewertet worden, als sie tatsächlich sei
- Dustin Moody vom NIST stimmt dieser Analyse nicht zu
- Er sagt, es gebe in dieser Frage keine wissenschaftliche Gewissheit, und kluge Menschen könnten unterschiedliche Auffassungen vertreten
- Bernsteins Meinung respektiere er, seinen Schlussfolgerungen stimme er jedoch nicht zu
- Moody ist der Ansicht, dass Kyber512 das Level-one-Sicherheitskriterium des NIST erfüllt
- Dieses Kriterium bedeutet, dass es so schwer zu brechen ist wie der weit verbreitete bestehende Algorithmus AES-128
- Für den praktischen Einsatz empfiehlt er das stärkere Kyber768
- Die Empfehlung für Kyber768 sei ein Vorschlag der Algorithmenentwickler gewesen
Zeitplan für die Standardfestlegung und Kybers Rolle
- Das NIST befindet sich derzeit in einer Phase der öffentlichen Kommentierung
- Die endgültigen Standards für PQC-Algorithmen sollen hoffentlich im kommenden Jahr veröffentlicht werden
- Sobald die Standards festgelegt sind, können Organisationen mit der Einführung der neuen Algorithmen beginnen
- Da Kyber bereits mehrere Auswahlstufen durchlaufen hat, scheint es wahrscheinlich, dass es in den endgültigen Standard aufgenommen wird
Vertrauensprobleme durch frühere Fälle
- Welchen Einfluss die NSA tatsächlich auf PQC-Standards hatte, lässt sich wegen der Geheimhaltung der Organisation schwer sicher sagen
- Vorschläge und Gerüchte, dass die NSA kryptografische Algorithmen absichtlich schwächt, gibt es seit Langem
- 2013 berichtete The New York Times, die NSA habe für solche Arbeiten ein Budget von 250 Millionen US-Dollar gehabt
- Im selben Jahr enthielten von Edward Snowden geleakte Dokumente der Nachrichtendienste Hinweise darauf, dass die NSA absichtlich Backdoors in kryptografische Algorithmen eingebaut hatte
- Der betreffende Algorithmus wurde später aus den offiziellen Standards entfernt
NISTs Erwiderung und Transparenzanspruch
- Moody sagt, das NIST habe nie zugestimmt, Standards auf Wunsch der NSA absichtlich zu schwächen
- Falls es eine geheime Schwachstelle gegeben habe, müsse sie laut Moody ohne Wissen des NIST eingebaut worden sein
- Nach den Snowden-Enthüllungen habe das NIST seine Transparenz- und Sicherheitsrichtlinien verschärft, um das Vertrauen von Kryptografie-Experten zurückzugewinnen
- Moody sagt, es gebe Kryptografen, die jedes Mal besorgt seien, wenn die NSA erwähnt werde, und das NIST habe versucht, den Umgang mit der NSA offener zu gestalten
- Auch die NSA habe im Rahmen der Grenzen einer geheimen Nachrichtendienstorganisation versucht, offener zu sein, erklärt Moody
- Die NSA reagierte nicht auf die Bitte von New Scientist um einen Kommentar
- Moody räumt ein, man könne zwar sagen, dass das NIST die Entscheidungen treffe, doch wer nicht innerhalb des NIST sei, habe keine Möglichkeit, dies zu überprüfen
Durch Informationsfreiheitsanfragen offengelegte Dokumente
- Bernstein behauptet, das NIST habe das Ausmaß der NSA-Eingaben nicht offengelegt und seine Informationsanfragen blockiert
- Er stellte Informationsfreiheitsanfragen und klagte gegen das NIST, wodurch Details zur NSA-Beteiligung offengelegt wurden
- In den Bernstein übergebenen Dokumenten heißt es, dass eine als „Post Quantum Cryptography Team, National Institute of Standards and Technology“ bezeichnete Gruppe mehrere NSA-Mitglieder umfasste
- Die Dokumente enthalten außerdem Angaben, dass das NIST sich mit Vertretern des GCHQ, dem britischen Gegenstück zur NSA, getroffen hat
Einschätzung externer Experten
- Alan Woodward von der University of Surrey sieht Gründe, bei kryptografischen Algorithmen vorsichtig zu sein
- Als Beispiel nennt er den GEA-1-Code, der in den 1990er- und 2000er-Jahren in Mobilfunknetzen verwendet wurde
- Bei diesem Code wurde eine Schwachstelle entdeckt, durch die er mit millionenfach geringerem Rechenaufwand als ursprünglich angenommen gebrochen werden konnte
- Wer diese Schwachstelle eingebaut hat, ist nicht geklärt
- Woodward sagt, die aktuellen PQC-Kandidaten seien von Wissenschaft und Industrie intensiv geprüft worden und hätten sich bislang nicht als unzureichend erwiesen
- Andere Algorithmen aus früheren Wettbewerbsphasen seien ausgeschieden, nachdem Schwächen nachgewiesen wurden
- Woodward meint, Geheimdienste hätten zwar eine Geschichte der Schwächung von Kryptografie, doch angesichts der sehr umfangreichen Sicherheitsanalysen der Kandidaten wäre er überrascht, wenn in Kyber eine Falle eingebaut wäre
1 Kommentare
Kommentare auf Hacker News
Moodys Aussage, „wir können nur sagen, dass NIST die Instanz ist, die im Raum die Entscheidungen trifft, und wenn man das nicht glaubt, gibt es keine Möglichkeit, es zu überprüfen, ohne bei NIST selbst zu sein“, ist genau das Problem.
Wenn eine so wichtige Institution wie NIST nicht so transparent ist, dass jede interessierte Person alle Sitzungen, Memos und Gespräche in Pausen durchsehen kann, sollte sie aufgelöst und durch eine Organisation ersetzt werden, die der Öffentlichkeit wirklich dient.
Wir haben Technologie verzerrt, um eine Welt der Rundumüberwachung zu schaffen, und sie missbraucht, um in die Privatsphäre normaler Bürger hineinzuschauen.
Wenn Überwachungs- und Audit-Technologien legitime Zwecke haben, dann sind diejenigen, die moralisch betrachtet einen Teil ihrer Privatsphäre aufgeben sollten, Menschen, die öffentlich in Parlamenten, Kommunalparlamenten, Regierungsbehörden und Standardisierungsgremien arbeiten.
Es reicht nicht, es „nur zu sagen“; sie müssen es beweisen. Und wenn sie es nicht beweisen können, sollten sie den Platz einer Führung überlassen, die dem öffentlichen Interesse besser entspricht.
Die Belastung wäre enorm, aber in einem Paralleluniversum könnte es sich selbstverständlich anfühlen. Schließlich müssen unsere Vertreter uns gegenüber verantwortlich sein.
Man muss Verschlüsselung nicht schwächen, um Menschen zu überwachen. Man zeigt ihnen ein tanzendes Kaninchen und bringt sie dazu, auf „Zugriff auf Kontakte erlauben“, „Zugriff auf Kamera erlauben“, „Zugriff auf Mikrofon erlauben“ und „Zugriff auf Dokumente erlauben“ zu tippen, wenn sie dieses Kaninchen sehen wollen.
Etwas gehobener formuliert: Man ersetzt das tanzende Kaninchen durch einen kostenlosen Dienst.
Je stärker man dazu Cloud-Command-and-Control-Strukturen übernimmt, desto einfacher wird die Überwachung. Jeder, der intern beim Cloud-Anbieter Zugriff hat, kann nahezu in Echtzeit das Verhalten aller anzapfen, möglicherweise sogar ohne Wissen des Anbieters selbst. Je mehr solcher Dienste man nutzt, desto mehr Datenpunkte gibt man ab, und zusammengenommen erzeugen sie nahezu in Echtzeit eine beträchtliche Menge an Informationen über uns.
Ethisch ist wohl klar, wie alle das sehen würden, aber nehmen wir der Diskussion halber einmal die Perspektive von NIST oder NSA ein: Man könnte glauben, dass NIST oder NSA wegen einer bestimmten Bedrohung eine Backdoor einbauen müssten.
Dafür müsste NIST ein großes soziales Vertrauenskapital und Branchenvertrauen bewahren, das sich für einen sehr engen Fall einsetzen lässt.
Aber über die Jahre gab es genug merkwürdige Vorfälle wie Dual EC DRBG, und besonders beim Kryptodesign ist von diesem Vertrauen kaum noch etwas übrig. Mein Eindruck ist, dass die neuesten von NIST vorangetriebenen ECC-Standards deutlich weniger Vertrauen genießen als AES bei seiner Veröffentlichung, und mir fallen mehrere größere Ereignisse ein, die dieses Misstrauen erklären.
Am Ende wird NIST viel Einfluss auf die Branche verlieren, und das nützt auch NIST selbst nicht.
Ehrlich gesagt halte ich moderne Kryptografie grundsätzlich für kompromittiert. Die Wette hängt davon ab, wer sie auf welche Weise kompromittiert hat und wie wahrscheinlich es ist, dass diese Leute versuchen, auf meine Daten zuzugreifen.
Der Artikel ist etwas seltsam; aus Sicht von jemandem aus der Sicherheitsbranche lässt sich die Lage so zusammenfassen:
Bernstein, ein angesehener Sicherheitsforscher, veröffentlichte letzte Woche einen langen Blogbeitrag, in dem er den NIST-Standardisierungsprozess für neue postquantenkryptografische Algorithmen kritisierte. Im Fokus stehen Key-Encapsulation-Mechanismen, also Bereiche wie der TLS-Schlüsselaustausch; die großen Kandidaten sind Kyber und NTRU, bei dem Bernstein Mitautor ist.
Die zentrale Beschwerde lautet, dass NIST das Auswahlverfahren locker gehandhabt und dabei eine schnelle NTRU-Variante ausgeschlossen habe, die einen bestimmten Sicherheitsschwellenwert ganz knapp verfehlt. Ohne diese Variante wirkt NTRU langsamer und weniger flexibel, als es tatsächlich ist.
Gleichzeitig akzeptierte NIST eine ähnlich schnelle Kyber-Variante auf Grundlage instabiler Annahmen. Bernstein argumentiert ausführlich, dass auch sie den Sicherheitsschwellenwert nicht erfüllt und daher ausgeschlossen werden müsste. Interessanterweise hat NIST Bernsteins eigene Forschung offenbar auf fehlerhafte Weise genutzt, um die Sicherheit von Kyber zu begründen.
Es gibt den Anschein von Unangemessenheit, als hätte NIST aus unbekannten Gründen einen Algorithmus gegenüber einem anderen bevorzugt. Zu Beginn des Beitrags zeigt Bernstein außerdem Ergebnisse einer jüngsten Klage, mit der er mehr Informationen über interne NIST-Prozesse offenlegen lassen wollte; NIST und NSA scheinen sich häufiger getroffen zu haben als bislang bekannt.
Meine Interpretation tendiert eher dahin, dass NIST bei der Algorithmusbewertung interne Fehler gemacht hat, statt dass die NSA eine Agenda durchgesetzt hätte. Man könnte es auch so sehen, dass Bernstein aus Frust, dass sein Algorithmus nicht ausgewählt werden könnte, indirekte Taktiken einsetzt; aber er hat einen hervorragenden Ruf und argumentiert überzeugend, dass NIST wichtige Fehler gemacht hat und nicht transparent genug ist.
https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
https://blog.cr.yp.to/20231003-countcorrectly.html
https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
Ich bin selbst Wissenschaftler, und auch diesen Text sollte man so betrachten.
Ich war die ganze letzte Woche in Runden, in denen Kryptografen versucht haben herauszufinden, was Bernsteins Blogbeitrag genau bedeutet, und es fällt mir schwer zu glauben, dass Matthew Sparkes vom New Scientist ihn besser verstanden hat als sie.
Wenn Sparkes Bernstein nicht direkt interviewt hat und sich hier auch niemand für das NIST-Zitat interessiert, dann scheint dieser Artikel zu Recht als Duplikat behandelt zu werden.
Immer wenn die Geschichte „DJB gegen NIST“ aufkommt, kommt unweigerlich die Reaktion: „Das mag kleinlich wirken, aber er hat eine makellose Erfolgsbilanz, also sollte man ihm glauben.“
Dem möchte ich ein wenig widersprechen und verlinke deshalb diesen Twitter-Thread:
https://nitter.net/FiloSottile/status/1555669786826244096
Er zeigt, dass es ein Muster der Einschüchterung anderer Kryptografen durch Bernstein und seine Kollegen gibt.
Man kann ein brillanter Kryptograf und zugleich ein kleinlicher Mensch sein; beides schließt sich nicht aus.
Die Tweets sagen, DJB habe angedeutet, die Wissenschaftler, die Algorithmen eingereicht haben, seien von der NSA gekauft worden. Das ist aber ein völliges Missverständnis dessen, was DJB geschrieben hat. Sein Argument war vielmehr, dass die NSA solche Wissenschaftler gar nicht bestechen müsse. Da sie schon vor Jahren die besten Experten des Fachgebiets eingestellt habe, könne sie den eingereichten Verfahren weit voraus sein; dann müsse sie NIST nur noch dazu drängen, einen Algorithmus auszuwählen, von dem sie wisse, wie man ihn bricht.
Ich weiß über diese Sache nicht genug, um zu beurteilen, ob DJBs Behauptung wirklich so verrückte Paranoia ist, wie der Thread-Autor mit dem GIF im dritten Tweet andeutet. Was ich aber sehe: Die Darstellung des Autors verzerrt das, was DJB geschrieben hat, massiv.
Eine der als Beleg dafür verwendeten Referenzen, dass DJB böse sei, beklagt sich zum Beispiel darüber, dass die Person es als Beleidigung empfand, als ihr Arbeitgeber nach einer längeren Krankschreibung vorschlug, sie solle einen Betriebsarzt aufsuchen. In den Niederlanden ist das jedoch zu 100 % Standardverfahren; dieser Arzt gehört nicht zum Unternehmen, sondern ist unabhängig und zur Vertraulichkeit verpflichtet.
So löst man den Konflikt, dass man nicht unbegrenzt ohne Angabe von Gründen krank sein und weiter Gehalt erwarten kann, der Arbeitgeber aber auch kein Recht auf Einsicht in die Krankenakte hat. Medizinische Vertraulichkeit und längere Krankschreibungen werden zugleich gewährleistet, während der Arbeitgeber darauf vertrauen kann, dass ein unparteiischer Arzt prüft, ob angemessene Maßnahmen ergriffen werden.
Dieser Fall taucht als Teil eines Konflikts zwischen DJB, dem Autor und der Universität auf, an der sie arbeiten. Auch in den übrigen Vorwürfen, DJB und andere hätten Missbrauch geduldet, werden Punkte angedeutet, die offenbar aus Unkenntnis des lokalen Systems entstanden sind.
Ich glaube den größten Teil dessen, was geschrieben wurde, aber gleichzeitig scheint klar, dass die Probleme dadurch größer wurden, dass die betroffene Person sich nicht bei Kollegen, Freunden oder per Google/DDG über das Rechtssystem informierte, in das sie neu gewechselt war. Auch DJB schlug vor, rechtliche Schritte einzuleiten, und HR bot Mediation an, aber die betroffene Person lehnte beides ab. Daher bestehen die Belege derzeit nur aus den Aussagen dieser Person im Blog, und die als Täter Benannten haben keinerlei Konsequenzen erfahren.
Solche Referenzen überzeugen zwar in Richtung „DJB = böse“, lassen aber zugleich vermuten, dass es mehr Kontext geben könnte als nur die Darstellung einer Seite.
Dass er curve25519 entworfen hat, ist meiner Ansicht nach in Bezug auf die praktische Wirkung eine Leistung in derselben Kategorie wie die Erfindung von RSA oder Diffie-Hellman. Nicht weil die Idee neu war, sondern weil sie so kombiniert wurde, dass sie in der Praxis „einfach funktioniert“. Man muss sich keine Sorgen über ungültige Kurvenpunkte, Twist-Angriffe oder darüber machen, versehentlich Additionsformeln für Punktverdopplungen zu verwenden.
Die Vorstellung, dass man eine Kryptobibliothek bauen kann, die eine Sache gut macht, statt ein Framework zu haben, in das man Parameterwahlen hineinsteckt, von denen nur einige sicher sein könnten, war damals neu genug, dass es praktisch niemand so machte. Dass die meisten Leute, wenn sie echte Schlüssel brauchen,
ssh-keygen -t ed25519oder den entsprechenden Befehl anderer Systeme verwenden, spricht für sich.Dass GitHub den Schlüsseltyp ssh-dss auslaufen lässt und ed25519 sowie die Defaults empfiehlt, ebenfalls. Bei digitalen Signaturen ist der Wettbewerb zwischen Ed25519 und DSA/ECDSA ein kompletter Sieg Bernsteins, und NIST hat sein Gesicht verloren. Es gibt keinen Beweis für Böswilligkeit, aber ich habe noch keine plausible Erklärung gehört, warum ECDSA das Schnorr-Protokoll derart stark verunstaltet hat, dass viele Implementierungen schreckliche Sicherheitslücken erzeugten.
Dann gibt es noch die Snowden-Leaks und DUAL_EC. Die Aussage „Die NSA hat sich in der Vergangenheit in Kryptostandards eingemischt, glaubwürdige Leaks zeigen, dass dies Teil ihres Auftrags war, und sie könnte es wieder tun“ ist für mich weit entfernt von einer gewöhnlichen Verschwörungstheorie; sie ist eine plausible, durch Belege gestützte Aussage. Das ist nicht dieselbe Kategorie wie die Behauptung, die Mondlandung sei gefälscht gewesen.
Außerdem gibt es viele Arten, wie Bernstein böse sein könnte, die ihm meines Wissens nie vorgeworfen wurden. Es gibt keine Vorwürfe wegen sexueller Übergriffe oder Vergewaltigung, und ich wüsste nicht, dass er sich besonders rassistisch geäußert oder rechtsextreme Ideologien vertreten hätte. Es gibt Vorwürfe, dass er Menschen beleidigt und gelegentlich eingeschüchtert hat, die ihm in technischen Fragen widersprachen, aber das ist nicht dasselbe wie die übliche Bedeutung von „ein schlechter/böser Mensch, den man möglichst meiden sollte“.
Ich würde sagen: Bei der Gestaltung kryptografischer Protokolle hat er eine ziemlich makellose Bilanz, in zwischenmenschlichen Beziehungen eine ziemlich befleckte. Wenn es tatsächlich darum geht, sich dummen oder böswilligen Designentscheidungen entgegenzustellen, ist das ein Vorteil; in vielen anderen Fällen nicht.
Der entscheidende Punkt ist: „Wenn sein Verfahren nicht von NIST übernommen wird, werden die Leute denken, es liege daran, dass es keine Backdoor hat, und die FOIA-Klage als Beleg anführen.“
Wenn man über die Motive des Autors spricht, übersieht man leider leicht den Rechenfehler von NIST.
Der Kernfehler von NIST besteht darin, zwei Kosten, die addiert werden müssten, fälschlich miteinander multipliziert zu haben. Wenn diese Behauptung stimmt, wäre es umsichtig, den Entwurf zumindest erneut zu prüfen und zu korrigieren.
Frühere Diskussion: https://news.ycombinator.com/item?id=37756656
Ironischerweise dürften die Art und Weise und der Inhalt, mit denen DJB mit seinen Kollegen und NIST umgeht, beide Seiten dazu bringen, sich von seiner Argumentation abzuwenden – auch wenn sie glaubwürdig sein könnte.
Was DJB als „Aussitzen“ seitens NIST empfindet, könnte auch eine Zurückhaltung sein, sich mit einem feindseligen und zunehmend merkwürdig auftretenden Privatmann einzulassen.
Dass Dustin Moody vom NIST sagte: „Wir stimmen seiner Analyse nicht zu. Es ist eine Frage ohne wissenschaftliche Gewissheit, und kluge Menschen können unterschiedlicher Meinung sein. Wir respektieren Dans Ansicht, stimmen ihr aber nicht zu“, ist gut für einen populärwissenschaftlichen Artikel, aber ich und viele andere würden gern sehen, dass die Details dieser Analyse ordentlich geprüft werden.
DJB hätte diese Gelegenheit schaffen können, hat sie aber vermasselt. Das heißt jedoch nicht, dass seine Fragen zur Berechnung des Sicherheitsniveaus von Kyber-512 unbeantwortet bleiben dürfen.
Darum geht es nicht. DJB sagt im Grunde, die NSA stelle eine Behauptung auf, die etwa „3 + 3 = 9“ gleicht, und diese Behauptung ist entweder richtig oder falsch.
Der Artikel ist hinter einer Paywall, und nachdem ich die Kommentare gesehen habe, habe ich keine Lust, sie zu umgehen, aber ein solcher Satz, der vor der Paywall zu sehen war, ist völlig unehrlich.
Dan Bernstein hat Qmail, DJBDNS und Kryptografie-Algorithmen entwickelt.
https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
Qmail
https://en.m.wikipedia.org/wiki/Qmail
Djbdns
https://en.m.wikipedia.org/wiki/Djbdns
https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein
Verschlüsselung ist, wie vieles andere, zu wichtig, um sie dem Staat zu überlassen