NSAとIETF: 攻撃者は弱体化した暗号の標準化を買うことができるのか?

 (blog.cr.yp.to)
2 ポイント 投稿者 GN⁺ 2025-10-06 | 1件のコメント | WhatsAppで共有
  • NSAGCHQ などの監視機関が、既存の ECC+PQ 二重暗号化から PQ 単独暗号化への標準化の弱体化を推進している
  • この変化は IETF TLS ワーキンググループ などの標準化組織内部の手続き、軍事予算、大企業の調達要件と連動している
  • 多くのセキュリティ専門家や現場では、二重暗号化の維持 が実際の脅威や欠陥発生の可能性を考えると常識的な選択であることを強調している
  • 単独 PQ 標準の導入を巡って、法的・手続き的要件、コンセンサスの定義、異議申し立てへの対応不足 など深刻な手続き上の問題も発生している
  • NSA など一部組織の購買力と影響力が、最終的に脆弱な標準を常態化させ、セキュリティ生態系全体のリスクを高める現象だとされる

序論: 二重暗号化(ハイブリッド)方式の必要性と現実的背景

  • ポスト量子(PQ)暗号は、既存の ECC ベース暗号の上に 追加のセキュリティレイヤー として導入されている
  • 例: Google CECPQ1(従来 ECC の X25519 + PQ NewHope1024)、CECPQ2(ECC+NTRUHRSS701)、CECPQ2b(ECC+SIKEp434)
  • 最新ブラウザでは Cloudflare 基準で半数以上が PQ を使用しており、その大半が ECC との 同時適用(二重化) 形態である
  • PQ が理論上強力であっても、新たな脆弱性やアルゴリズム破綻が起こり得るうえ、実際に SIKE の公開破綻のような問題も発生した
  • 二重暗号化は自動車のシートベルトのように、未知のリスクや欠陥に備えるための現実的な緩衝装置として機能する

NSA と GCHQ の標準化への影響力と狙い

  • NSA、GCHQ は ECC+PQ の二重暗号化ではなく、単独 PQ 暗号化(ハイブリッド非適用) の標準へと弱体化させようとしている
  • Dual EC のように「セキュリティ強化」という名目で論理的誤りのある主張を繰り返し、実際には 脆弱性の流入と影響力拡大 を狙っている
  • NSA は 軍事・基幹インフラ調達基準 を活用し、予算執行を通じて製品やサービスが単独 PQ に従うよう誘導している
  • Cisco、Google、IBM、Microsoft などの主要企業は、NSA などの機関の要求に合わせて PQ 単独暗号化の実装を公式化・支持している

「自社製品使用」(Dogfooding)という主張と現実

  • NSA は DES(56ビット)の弱体化や標準化の当時にも、「我々は DES を国家情報用にも使っている」といった 信頼性を強調するマーケティング を用いていた
  • 実際には Triple-DES などの多層方式で重要情報を保護していた
  • 現在も NSA は主要データ保護において 2つの独立した暗号化層 を運用し、単一障害を防ごうとしている

標準採択手続きと IETF の事例

  • IETF で TLS に対する ハイブリッド(ECC+PQ) 導入ドラフトは 2025年3月、目立った反対なく採択された
  • 一方で 単独 PQ ドラフトには、多くのセキュリティ専門家が安全性、WG charter、複雑性増大など多様な懸念を提起した
    • SIKE の事例のように、どれか1つでも破られれば全体の安全性が崩れるリスク
    • NSA の調達主導の行為が BCP 188 および WG の「セキュリティ向上」という目的に反するという指摘
  • ハイブリッドは実質的な欠点なしに安全性だけを高める、現実的に最適な選択 である

法的・政策的手続きとコンセンサス要件

  • 米国法上、標準化組織は 公開性、利害関係の均衡、適正手続き、異議への応答、コンセンサス(consensus) を満たさなければならない
  • 最高裁判例および OMB 規定によれば、「コンセンサス」は単純な投票ではなく、各反対意見の公正な検討と情報提供、真に広範な同意を意味する
  • 実際の IETF 事例で 22人賛成、7人反対 という比率だけでは、一般的な合意とみなすのは困難である
  • IETF 内の多数支持意見は非常に短く、反対論への実質的・具体的な応答や討論が不足 していた

リスク要因の要約

  • NSA など影響力の強い機関が、予算執行や標準化組織への参加を通じて 脆弱性の内在化と産業従属 を誘導している
  • Dual EC、SIKE など過去の標準化失敗により、重大なセキュリティ弱点の露呈と 壊滅的な結果 が繰り返される可能性がある
  • 実際には二重暗号化が基本になりつつある一方、弱体化した標準が「節約」や「簡素化」を名目に導入されれば、生態系全体が危険にさらされ得る

結論と示唆

  • 標準化の担い手の 公正性、透明性 を強化し、実際の市場需要を反映した二重暗号化の採用促進が必要である
  • NSA などによる攻撃的な影響力行使に起因する 生態系全体のセキュリティ弱体化 の可能性への警戒が必要である
  • リスクを減らせる先進事例(二重暗号化の一般化など)を広げるため、開発者と企業による積極的な関心と監視体制の整備がきわめて重要である

関連記事

1件のコメント

 
GN⁺ 2025-10-06
Hacker Newsの意見

  • DJBは2022年からNSAの立場を一貫して批判してきた(参考: DJBのブログ記事)。実際のアプリケーションにハイブリッドではないPQ鍵交換を導入しようという主張があることに、大きな驚きを感じる。これがNSAが自分たちで容易に破れるよう仕組んだものではないとしても、いずれにせよごく最近になって登場した仕組みに途方もない信頼を置いていることになる。この状況は、まるで「下水からウイルスを検出できるようになったのだから、病院が感染症の可能性を報告する必要はない」と主張するようなものだが、一部の人々の目標が皆の利益と完全に逆向きかもしれないという点で、さらに危険だ。DJBは2022年の記事で、NSAが公には「追加のセキュリティ層を早まって導入して問題が起きたごく少数の事例」を挙げ、NIST PQCプロセスへの信頼を表明しただけだと指摘している。

    • 「ごく最近になって開発された仕組み」とは何を指すのか、もう少し具体的に言ってほしい。

  • この話題には議論すべき点が多い。A) サイバー系の政府機関は決して信頼してはならない。B) NSAは私たちが想像するような組織ではなく、本当に奇妙なワイルドウェストであり、経験者として断言できる。C) 暗号学には、単なるセキュリティやメッセージ交換をはるかに超える多くのものが絡んでいる。何か(生物かもしれない)が復号可能であるという事実自体、気づかれていないこともある。D) NSAは本当に、本当に卑劣で、デジタル版CIAと言えるほどであり、tech/telecom/manufacturer企業など至る所でサイバースパイとして活動している。E) NSAの助言には絶対に従うべきではない。彼らは悪用中心の文化を持っている。

    • 「何か(生物かもしれない)が復号できる」とはどういう意味なのか気になる。

    • NSAを信頼するなと言うだけでなく、なぜあなた自身を信頼すべきなのか、その論理を示してほしい。

  • 問題提起を公にしながら、不満申立てが3日前に正式に却下された事実(参考: IESG公式文書)に触れていないのは奇妙に感じる。

    • あなたにも筆者にも敬意はあるが、却下文書は肝心の主要論点への実質的な回答がなく、ただ「手続き上の問題はない」「不服なら形式を整えて出し直せ」という程度で終わっている。こうした対応はむしろ信頼感をさらに損なう。

    • 記録の完全性のために公開されたのは良いことだと思う。こういう問題では、常に「暗号化の弱体化」を狙う人々が簡単には諦めない長い歴史があることを忘れてはならない。

  • この件は非常に懸念すべきことであり、DJBがこれに立ち向かっていることに敬意を表したい。ひとつ気になるのは、NSAが気にかけるほど実際に危険信号となるターゲットが誰なのかという点だ。

    • 技術に詳しいターゲットはどうせハイブリッド鍵交換を使うだろうし、

    • 普通の利用者や技術に詳しくないターゲットは、すでにPRISMのような監視のため暗号化の意味がほとんどない。

    • だとすると、NSAの本当の狙いは何なのかという疑問が残る。

    • ほとんどの組織は、CiscoルーターやWebブラウザのデフォルトのセキュリティ設定をそのまま使っているだけだ。NSAは最初は(完全に安全ではない)プロトコルも「サポート」するよう要求し、それが普及すると今度はそれを「デフォルト」にするための準拠チェックまで行わせる。

    • すべての標的をバックドア技術でカバーできなくても、市場の30%に使わせられれば大成功だ。情報収集は数のゲームであり、網を広く張ればいつか多くの対象を捕捉できる。

    • QUANTUMINSERTと組み合わせれば、もともとより強い暗号化を使っていた人でさえ、ダウングレード攻撃にさらされる危険がある。

    • 懸念しているとは正確にどういう意味なのか、具体的に言ってほしい。

    • 世界のTLSトラフィックの99%が危険にさらされるという意味ではないかと思う。

  • RSAをECCに置き換えようという熱狂的な流れも同じように疑わしい。長年信頼されてきたアルゴリズムが突然信頼できない、実装が難しい、遅い、時代遅れだという主張が、本当に同時にお決まりのパターンで噴き出してきたように思える。これは非常に不自然に感じられる。

  • ああいう試みがあると考えるだけで、既存の二重暗号の上にさらに3つ目の層を追加したくなる。

    • 実際、ほとんどの暗号やアプリケーションでは、暗号化層を何重にも重ねてもコストはそれほどかからない。10層くらい重ねても損はない。

  • 「ポスト量子アルゴリズムは、今日のコンピュータでも破れる可能性がある」という主張は、実質的に「無知に基づくセキュリティ(Security Through Ignorance)」を提供しているようなものだ。この暗号は安全なのか? 誰にもわからない。結果が出るまで待とう、という話になってしまう。

  • いろいろな出来事が絡んだドラマがあるようだが、それとは別に、この記事を読んで重要な標準は政府ではないところが決めるべきだと思った。では、どこが標準化プロセスを担うのが良いのだろうか。Linux Foundationだろうか。今はEthereumエコシステムでゼロ知識証明(ZK proof)の分野に暗号数学の人材が集まっているように見える。VitalikがNISTのようなコンテストを開けば、皆が注目するだろう。最も必要なのは、「実運用前のダミーデータで暗号を破ろうとする攻撃者に報酬を与える仕組み」を作ることだ。暗号が標準化される前に、すでに攻撃されるのが理想的だ。Ethereum側はこの種のバウンティ制度をうまく運営している。倫理的な開示を通じて暗号の専門家が実際の報酬を得られれば、非倫理的な側に売る誘因は減る。

  • 怖いのは、Woutersという人物がBernsteinに対して非常に不親切で攻撃的なCoC(行動規範)メッセージを送り、BANをほのめかしていたことだ(参考: メール原文)。「プロセスを信頼せよ」というのは逆説的な体験だ。

  • FIPSはセキュリティ標準の最後の砦のような存在だ。

    • 最初、FIPSを「セキュリティ標準のファゴット(bassoon、楽器)」と読み間違えて混乱した。頭の中でまったく別の情景が始まってしまった。