- 量子コンピューターが既存の暗号を無力化する可能性が懸念されるなか、Daniel Bernsteinは、NISTのポスト量子暗号標準化がNSAの関与やセキュリティ強度の計算を十分に明らかにしていないと批判している
- NISTは2012年からPQC標準化を進めており、BernsteinはNSAが新標準に秘密の弱点を仕込もうとしていると見ているが、NISTはこれを否定している
- 争点の一つであるKyber512について、BernsteinはNISTがセキュリティ強度を過大評価したと主張し、NISTのDustin Moodyは科学的な確実性がない領域だとして同意していない
- NISTはKyber512がAES-128相当のlevel one基準を満たすと見つつも、実際の利用には開発者の提案に従い、より強力なKyber768を推奨している
- Snowdenによる暴露以降、NISTは透明性ガイドラインを強化したとしているが、Bernsteinの情報公開請求と訴訟は、暗号標準の選定プロセスが外部から検証可能かという問題を残している
ポスト量子暗号標準化をめぐる論争
- University of Illinois ChicagoのDaniel Bernsteinは、NISTがポスト量子暗号標準の開発においてNSAの関与の度合いを意図的に曖昧にしていると見ている
- Bernsteinは、新標準のセキュリティレベル計算にもミス、または意図的な誤りがある可能性があると主張している
- NISTはこの主張を否定し、Bernsteinの分析には同意しないと述べている
- Bernsteinが求める核心は、暗号標準を選定する組織が公開ルールを透明かつ検証可能な形で守るべきだという点である
- NISTが透明性を約束したものの、すべての作業を公開したというのは事実ではないと見ている
なぜPQC標準が重要なのか
- 現在データ保護に使われている数学的問題は、今日最大級のスーパーコンピューターでも実質的に破るのが難しい
- 安定して強力な量子コンピューターが登場すれば、現在の暗号を非常に高速に破れる可能性がある
- そのようなコンピューターがいつ登場するかは不確実だが、NISTは2012年から量子コンピューターによる攻撃に耐える新しいアルゴリズムの標準化プロジェクトを進めてきた
- Bernsteinは2003年に、この種のアルゴリズムを指すpost-quantum cryptographyという用語を作った人物である
- NIST標準は世界中で使われる可能性があるため、欠陥が入り込めば影響範囲も大きくなり得る
Kyber512のセキュリティ計算をめぐる対立
- Bernsteinは、近く登場するPQC標準候補の一つであるKyber512に関するNISTの計算は「明らかに間違っている」と主張している
- 彼の主な批判は、NISTが2つの数値を足すべきでより正確になる状況で掛け算を使い、その結果Kyber512の攻撃耐性が実際より高く評価されたというものだ
- NISTのDustin Moodyはこの分析に同意していない
- この問題には科学的な確実性がなく、知的な人々が異なる見解を持ち得ると述べている
- Bernsteinの意見は尊重するが、その結論には同意しないという立場である
- MoodyはKyber512がNISTのlevel oneセキュリティ基準を満たしていると見ている
- これは広く使われている既存アルゴリズムであるAES-128と同程度に破るのが難しいという基準である
- 実際の利用には、より強力なKyber768を推奨している
- Kyber768の推奨はアルゴリズム開発者たちの提案だったと述べている
標準確定の予定とKyberの位置づけ
- NISTは現在、公開意見募集期間にある
- PQCアルゴリズムの最終標準は来年公開したいとしている
- 標準が確定すれば、組織は新しいアルゴリズムの採用を開始できる
- Kyberはすでに複数段階の選定手続きを通過しているため、最終標準に含まれる可能性が高いと見られる
過去の事例が生んだ信頼の問題
- NSAがPQC標準に実際にどのような影響を与えたのかは、組織の秘密性のため確実に言うのは難しい
- NSAが暗号アルゴリズムを意図的に弱体化させるという指摘や噂は、かなり以前から存在していた
- 2013年、The New York TimesはNSAがこうした作業に2億5000万ドルの予算を持っていたと報じた
- 同年、Edward Snowdenが流出させた情報機関の文書には、NSAが暗号アルゴリズムに意図的にバックドアを入れていたという内容が含まれていた
NISTの反論と透明性の主張
- Moodyは、NISTがNSAの要請により標準を意図的に弱体化させることに同意したことはないと述べている
- もし秘密の弱点があったとすれば、NISTが知らないうちに入り込んでいたはずだ、というのがMoodyの説明である
- Snowdenの暴露以降、NISTは暗号学専門家の信頼を回復するため、透明性とセキュリティのガイドラインを強化したとしている
- Moodyは、NSAが言及されるたびに懸念を抱く暗号学者がいる一方で、NISTはNSAとの相互作用をオープンに扱おうとしてきたと述べている
- NSAも秘密情報機関という制約の中で、よりオープンであろうとしたとMoodyは説明している
- NSAはNew Scientistのコメント要請に応じなかった
- Moodyは、意思決定はNISTが行うと言うことはできるが、NIST内部にいなければそれを検証する方法はないと認めている
情報公開請求で明らかになった文書
- Bernsteinは、NISTがNSAからのインプットの度合いを公開せず、自身の情報請求を妨げたと主張している
- 彼は情報公開請求を行い、NISTを相手取って訴訟を進め、NSAの関与の詳細を公開させた
- Bernsteinに公開された文書には、「Post Quantum Cryptography Team, National Institute of Standards and Technology」と表現されたグループに多数のNSAメンバーが含まれていたとの内容がある
- 文書には、NISTが英国版NSAに相当するGCHQの関係者と会合したとの内容も含まれている
外部専門家の評価
- University of SurreyのAlan Woodwardは、暗号アルゴリズムには慎重になる理由があると見ている
- 例として、1990年代と2000年代の携帯電話ネットワークで使われたGEA-1コードがある
- このコードには、本来より数百万分の一の計算量で破れる欠陥が見つかった
- その欠陥を誰が入れたのかは確認されていない
- Woodwardは、現在のPQC候補は学界と産業界で厳しく検討されており、まだ不十分だと証明されてはいないと述べている
- 以前の競争段階では、他のアルゴリズムが欠陥を証明されて脱落した例がある
- Woodwardは、情報機関が暗号を弱体化させてきた歴史はあるものの、候補に対して非常に多くのセキュリティ分析が行われてきたため、Kyberに罠が仕込まれているとすれば驚きだと見ている
1件のコメント
Hacker Newsのコメント
Moody氏の「私たちにできるのは、NISTが部屋の中で意思決定している主体だと伝えることだけで、信じないならNIST内部にいない限り確認する方法はない」という発言こそが問題
NISTのような重要な機関が、すべての会議、メモ、休憩時間の会話まで、関心のある誰もが目を通せるほど透明でないなら、解体して公共にきちんと奉仕する組織に置き換えるべき
私たちは技術を歪めて全方位監視の世界を作り、一般市民のプライバシーを覗き見るために悪用してきた
監視や監査技術に正当な用途があるなら、道徳的にプライバシーの一部を差し出すべき人々は、議会、地方議会、政府機関、標準化団体で公的に働く人々だ
「伝えるだけ」ではなく証明すべきであり、証明できないなら公益により適したリーダーシップに席を譲るべき
負担は途方もないだろうが、並行宇宙では当然に感じられるかもしれない。代表者は私たちに対して責任を負うべきなのだから
人を監視するのに暗号化を弱める必要はない。踊るウサギを見せて、そのウサギを見るには「連絡先へのアクセスを許可」「カメラへのアクセスを許可」「マイクへのアクセスを許可」「書類へのアクセスを許可」を押させればよい
もう少し上品に言えば、踊るウサギの代わりに無料サービスを入れればよい
ここにクラウドの指揮統制構造をより多く採用するほど、監視はさらに容易になる。クラウド提供者の内部にアクセスできる者なら誰でも、ほぼリアルタイムで全員の行動を盗聴でき、提供者自身にも気づかれずに可能な場合がある。こうしたサービスを多く使うほど、より多くのデータポイントを渡すことになり、それらが組み合わさって、私たちについて相当な情報をほぼリアルタイムで作り出す
倫理的には誰の目にもどう映るか明らかだろうが、議論のためにNISTやNSAの視点で見るなら、何らかの特定の脅威のためにNISTまたはNSAがバックドアを入れる必要があると信じることはあり得る
そのためには、NISTは非常に狭い案件に使える大きな社会的信頼資本と業界からの信頼を維持しなければならない
しかし長年にわたりDual EC DRBGのような奇妙な出来事が十分にあり、とりわけ暗号設計ではその信頼はほとんど残っていない。NISTが推進した最新のECC標準は、AESが公開された時よりはるかに信頼されていないという印象で、こうした不信を生むに足る主要な出来事がいくつも思い浮かぶ
結局NISTは業界への影響力を大きく失うことになり、それはNIST自身にとっても有益ではない
正直なところ、現代の暗号化は基本的に侵害されていると思う。賭けは、誰がどのような方法で侵害したのか、そして彼らが私のデータにアクセスしようとする可能性がどれほどあるかにかかっている
記事が少し変なので、セキュリティ業界の人間として状況を要約するとこうだ
尊敬されているセキュリティ研究者のBernsteinが先週長いブログ記事を出し、新しい耐量子暗号アルゴリズムに関するNISTの標準化プロセスを批判した。焦点は鍵カプセル化メカニズム、つまりTLSの鍵交換のような領域で、有力候補はKyberと、Bernsteinが共著者であるNTRUだ
主な不満は、NISTが選定手続きを緩く運用し、特定のセキュリティしきい値にごくわずか届かなかった高速なNTRU変種を脱落させたことだ。その変種が除外されると、NTRUは実際より遅く柔軟性に欠けるように見える
一方でNISTは、同じように高速なKyber変種を、不安定な仮定に基づいて受け入れた。Bernsteinは、それもセキュリティしきい値を満たしていないので脱落させるべきだと長々と主張している。興味深いことに、NISTはKyberの安全性を主張するために、Bernstein自身の研究を見たところ誤った形で利用していた
NISTが不明な理由で一方のアルゴリズムを他方より好んだように見える、不適切さの雰囲気がある。記事の前半でBernsteinは、NIST内部手続きに関する情報をさらに公開させるために起こした最近の訴訟結果も示しており、NISTとNSAは以前知られていたよりも頻繁に会っていたようだ
私の解釈は、NSAが議題を押し通したというより、NISTがアルゴリズム評価で内部ミスをしたという方向に傾いている。Bernsteinが自分のアルゴリズムが選ばれないのではと不満を抱き、迂回的な戦術を使っているとも見られるが、彼には優れた評判があり、NISTが重大なミスを犯し、十分に透明ではないことを説得力をもって主張している
https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
https://blog.cr.yp.to/20231003-countcorrectly.html
https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
私も学者で、この文章についてもそう見るべきだ
先週ずっと、暗号学者たちがBernsteinのそのブログ記事が正確に何を意味するのか把握しようとしている場にいたが、The New ScientistのMatthew Sparkesが彼らよりよく理解したとは信じがたい
SparkesがBernsteinを直接取材したわけでもなく、ここでNISTの引用文に関心のある人もいないなら、この記事は重複扱いでよさそうだ
DJB 対 NIST の話が出るたびに、「些細に見えるかもしれないが、彼には傷のない実績があるのだから信じるべきだ」という反応が必ず出てくる
そこに少し反論したくて、この Twitter スレッドをリンクする
https://nitter.net/FiloSottile/status/1555669786826244096
Bernstein と彼の同僚たちには、他の暗号研究者を威圧するパターンがあることを示している
優れた暗号研究者でありながら、同時に狭量な人物であることはあり得るし、この二つは互いに排他的ではない
ツイートでは、DJB がアルゴリズムを提出した科学者たちが NSA に買収されたとほのめかした、と言っているが、これは DJB が書いた内容を完全に誤解している。彼の主張は、NSA はそうした科学者たちに賄賂を渡す必要すらない、というものだった。すでに何年も前にその分野のトップ専門家を採用しているので、提出されたものよりはるか先を行っている可能性があり、その場合、NIST が自分たちの破り方を知っているアルゴリズムを選ぶよう後押しするだけでよい、という論理だ
この件について知識がないので、DJB の主張がスレッド作成者が3番目のツイートの GIF で示唆するような狂ったパラノイアなのかは判断できない。ただ見えるのは、作成者の主張が DJB の書いた内容をひどく歪めているということだけだ
例えば、DJB が悪だという証拠として使われた参照の一つは、病気休暇をしばらく取った後、雇用主が会社の医師に会ってみるよう提案したことを侮辱と受け取った、と不満を述べている。だがオランダではこれは100%標準的な手続きであり、その医師は会社所属ではなく独立していて、守秘義務を負う
無期限に理由を明かさず病気だと主張しながら給与を受け取り続けることはできないが、雇用主にも医療記録を知る権利はない、という衝突を解決するための仕組みだ。医療上の秘密と長期病気休暇を同時に保証しつつ、雇用主は公正な医師が適切な措置が取られているか確認していると信頼できる
この件は、DJB、作成者、彼らが働く大学の間の対立の一部として出てくる。そのほかにも、DJB と他の人たちが虐待を放置したという主張の中に、現地制度を知らないために生じたように見える部分が示唆されている
書かれている内容の大半は信じるが、同時に、新しく移った法制度を同僚、友人、Google/DDG で調べなかったために問題がさらに大きくなったことも明らかに見える。DJB も法的措置を取るよう提案し、HR は調停を提案したが、当事者はどちらも拒否した。だから今ある証拠はブログに書かれた当事者の言葉だけで、加害者と名指しされた人たちは何の結果も被っていない
そうした参照は DJB=悪という方向に説得力を持たせもするが、同時に、一方の話だけではない文脈がもっとあるのではないかとも思わせる
curve25519 を設計したことは、実用的な影響という面では RSA や Diffie-Hellman の発明と同じカテゴリに置ける成果だと思う。アイデアが新しかったからではなく、実際に「そのまま動く」形に組み合わされたからだ。不正な曲線点、ツイスト攻撃、点の倍算で加算公式を誤って使う問題などを心配しなくてよい
パラメータ選択を差し込むフレームワークがあり、その一部だけが安全かもしれない、という方式ではなく、一つのことをうまくやる暗号ライブラリを作れるという考えは、当時は誰もそうしていなかったという意味で十分に新しかった。実際の鍵が必要なとき、多くの場合
ssh-keygen -t ed25519か別システムの同等のコマンドを使うという事実がそれを物語っているGitHub が ssh-dss 鍵タイプを廃止し、ed25519 とそのデフォルトを推奨していることも同じだ。電子署名における Ed25519 と DSA/ECDSA の競争は Bernstein の完勝であり、NIST は面目を失った。悪意の証拠はないが、ECDSA が Schnorr プロトコルをなぜあれほどひどく壊し、多くの実装が恐ろしいセキュリティホールを作ることになったのか、合理的な説明をまだ聞いたことがない
Snowden の暴露と DUAL_EC もある。「NSA は過去に暗号標準に介入しており、信頼できるリークはそれが任務声明の一部だったことを示しており、またそうする可能性がある」という言葉は、私にとって普通の陰謀論とはほど遠い、もっともらしい証拠に裏付けられた主張だ。月面着陸捏造説のような領域ではない
さらに、Bernstein が悪であり得るさまざまなあり方のうち、私の知る限り彼に対して提起されたことのないものも多い。性的暴行や強姦の疑惑はなく、特に人種差別的な発言をしたり、極右思想を推したりしたとも知らない。技術的な問題で同意しない人を侮辱し、ときどき威嚇したという非難はあるが、通常の「悪い/邪悪な人なので、できれば避けるべきだ」という意味とは違う
暗号プロトコル設計ではかなり傷のない実績があり、人間関係ではかなり傷のある実績がある、と見る。実際に愚かまたは悪質な設計判断に立ち向かうときには資産だが、それ以外の多くの場合にはそうではない
「彼の方式が NIST に採用されなければ、人々はそれがバックドアがないからだと考え、FOIA 訴訟を証拠として持ち出すだろう」という箇所が核心だ
著者の動機を話していると、残念ながら NIST の計算ミスを見落としかねない
NIST の核心的な誤りは、足すべき二つのコストを誤って掛け合わせた点にある。この主張が正しいなら、草案は少なくとも再検討して修正するのが慎重な態度だ
以前の議論: https://news.ycombinator.com/item?id=37756656
皮肉なことに、DJB が同僚や NIST に接するやり方やその内容は、彼の主張に信憑性があり得るにもかかわらず、双方をその主張から背かせてしまう可能性が高い
DJB が感じている NIST の「粘り腰」は、敵対的で、ますます奇妙になっていく民間人と関わることを避けたいという態度なのかもしれない
NIST の Dustin Moody が「われわれは彼の分析に同意しない。科学的な確実性のない問題であり、知的な人々でも異なる見解を持ち得る。Dan の意見は尊重するが、同意はしない」と述べたのは一般向け科学記事としては都合がいいが、私や多くの人は、この分析の細部がきちんと検討されるのを見たいと思っている
DJB はその機会を作ることができたのに、台無しにしてしまった。とはいえ、彼の Kyber-512 のセキュリティレベル計算に関する疑問が、答えのないまま放置されてよいという意味ではない
そういう問題ではない。DJB は NSA が「3 + 3 = 9」に近い主張をしていると言っているようなもので、その主張は正しいか間違っているかのどちらかだ
記事はペイウォールの向こうにあるので、コメントを見たあとでわざわざ突破する気にはならないが、ペイウォール前に見えたこうした文言は完全に不誠実だ
Dan Bernstein は Qmail、DJBDNS、暗号アルゴリズムを作った人物
https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
Qmail
https://en.m.wikipedia.org/wiki/Qmail
Djbdns
https://en.m.wikipedia.org/wiki/Djbdns
https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein
暗号化は、ほかの多くのものと同じく、国家の手に委ねるには重要すぎる