- Trong bối cảnh lo ngại rằng máy tính lượng tử có thể vô hiệu hóa các hệ mã hóa hiện tại, Daniel Bernstein chỉ trích việc NIST chuẩn hóa mật mã hậu lượng tử vì không công khai đầy đủ sự tham gia của NSA và cách tính mức độ an toàn
- Từ năm 2012, NIST đã triển khai chuẩn hóa PQC, và Bernstein cho rằng NSA đang tìm cách cài điểm yếu bí mật vào tiêu chuẩn mới, dù NIST phủ nhận điều này
- Về Kyber512, một trong những điểm tranh cãi, Bernstein cho rằng NIST đã đánh giá quá cao mức độ an toàn, còn Dustin Moody của NIST thì không đồng ý và nói đây là lĩnh vực chưa có sự chắc chắn khoa học
- NIST cho rằng Kyber512 đáp ứng chuẩn level one tương đương AES-128, nhưng trong sử dụng thực tế lại khuyến nghị Kyber768 mạnh hơn theo đề xuất của các nhà phát triển
- Dù NIST nói đã tăng cường hướng dẫn về minh bạch sau tiết lộ của Snowden, các yêu cầu công khai thông tin và vụ kiện của Bernstein vẫn để lại câu hỏi liệu quy trình chọn tiêu chuẩn mã hóa có thể được kiểm chứng từ bên ngoài hay không
Tranh cãi về chuẩn hóa mật mã hậu lượng tử
- Daniel Bernstein của University of Illinois Chicago cho rằng NIST đang cố tình làm mờ mức độ can dự của NSA trong quá trình phát triển tiêu chuẩn mật mã hậu lượng tử
- Bernstein cũng cho rằng có thể đã có sai sót hoặc lỗi có chủ ý trong cách tính mức độ an toàn của các tiêu chuẩn mới
- NIST phủ nhận các cáo buộc này và cho biết họ không đồng ý với phân tích của Bernstein
- Điểm cốt lõi mà Bernstein yêu cầu là tổ chức lựa chọn tiêu chuẩn mã hóa phải tuân theo các quy tắc công khai một cách minh bạch và có thể kiểm chứng
- Ông cho rằng dù NIST cam kết minh bạch, việc nói rằng mọi công việc đều đã được công khai là không đúng sự thật
Vì sao tiêu chuẩn PQC quan trọng
- Các bài toán toán học dùng để bảo vệ dữ liệu hiện nay về thực tế là rất khó bị phá ngay cả với những siêu máy tính lớn nhất hiện tại
- Nếu xuất hiện máy tính lượng tử ổn định và đủ mạnh, chúng có thể phá mã hiện tại rất nhanh
- Chưa rõ khi nào loại máy tính đó sẽ xuất hiện, nhưng từ năm 2012 NIST đã triển khai dự án chuẩn hóa các thuật toán mới có thể chống lại tấn công từ máy tính lượng tử
- Bernstein là người đã đặt ra thuật ngữ post-quantum cryptography cho loại thuật toán này vào năm 2003
- Tiêu chuẩn của NIST có thể được sử dụng trên toàn cầu, nên nếu có khiếm khuyết thì phạm vi ảnh hưởng cũng sẽ rất lớn
Xung đột về cách tính độ an toàn của Kyber512
- Bernstein cho rằng phép tính của NIST đối với Kyber512, một ứng viên trong bộ tiêu chuẩn PQC sắp ra mắt, là “rõ ràng sai”
- Chỉ trích chính của ông là trong tình huống cần cộng hai con số để chính xác hơn, NIST lại dùng phép nhân, khiến khả năng chống tấn công của Kyber512 bị đánh giá cao hơn thực tế
- Dustin Moody của NIST không đồng ý với phân tích này
- Ông nói đây là vấn đề chưa có sự chắc chắn khoa học và những người thông minh có thể có quan điểm khác nhau
- Ông tôn trọng ý kiến của Bernstein nhưng không đồng ý với kết luận của ông
- Moody cho rằng Kyber512 đáp ứng mức an toàn level one của NIST
- Đây là mức khó bị phá tương đương với thuật toán phổ biến AES-128
- Với triển khai thực tế, ông khuyến nghị dùng Kyber768 mạnh hơn
- Moody nói khuyến nghị dùng Kyber768 đến từ đề xuất của các nhà phát triển thuật toán
Lịch chốt tiêu chuẩn và vị trí của Kyber
- NIST hiện đang trong giai đoạn lấy ý kiến công khai
- Cơ quan này hy vọng sẽ công bố tiêu chuẩn PQC cuối cùng vào năm tới
- Khi tiêu chuẩn được chốt, các tổ chức có thể bắt đầu áp dụng các thuật toán mới
- Kyber đã vượt qua nhiều vòng tuyển chọn nên có khả năng cao sẽ được đưa vào tiêu chuẩn cuối cùng
Vấn đề niềm tin từ các tiền lệ trong quá khứ
- Rất khó khẳng định chắc chắn NSA thực sự đã tác động đến tiêu chuẩn PQC ở mức nào vì tính bí mật của tổ chức này
- Những đề xuất và tin đồn rằng NSA cố tình làm suy yếu các thuật toán mật mã đã tồn tại từ lâu
- Năm 2013, The New York Times đưa tin NSA có ngân sách 250 triệu USD cho công việc này
- Cùng năm đó, các tài liệu tình báo do Edward Snowden làm rò rỉ cho thấy NSA đã cố tình cài cửa hậu vào một thuật toán mã hóa
- Thuật toán đó sau này đã bị loại khỏi tiêu chuẩn chính thức
Phản bác của NIST và tuyên bố về minh bạch
- Moody nói NIST chưa từng đồng ý cố tình làm suy yếu tiêu chuẩn theo yêu cầu của NSA
- Theo ông, nếu có điểm yếu bí mật thì nó phải được đưa vào mà NIST không hề hay biết
- Sau tiết lộ của Snowden, NIST cho biết họ đã tăng cường hướng dẫn về minh bạch và an toàn để khôi phục niềm tin của giới mật mã học
- Moody nói mỗi khi NSA được nhắc đến, luôn có các nhà mật mã học lo ngại, và NIST đã cố gắng xử lý một cách cởi mở các tương tác với NSA
- Theo Moody, bản thân NSA cũng đã cố gắng cởi mở hơn trong giới hạn của một cơ quan tình báo mật
- NSA không phản hồi đề nghị bình luận từ New Scientist
- Moody thừa nhận rằng ông có thể nói việc ra quyết định là do NIST thực hiện, nhưng nếu không ở bên trong NIST thì không có cách nào để kiểm chứng điều đó
Tài liệu được hé lộ qua yêu cầu công khai thông tin
- Bernstein cho rằng NIST không công khai mức độ đầu vào của NSA và đã ngăn cản các yêu cầu cung cấp thông tin của ông
- Ông đã nộp yêu cầu công khai thông tin và khởi kiện NIST, buộc cơ quan này công bố chi tiết về sự can dự của NSA
- Các tài liệu được công bố cho Bernstein cho thấy một nhóm được mô tả là “Post Quantum Cryptography Team, National Institute of Standards and Technology” có nhiều thành viên NSA tham gia
- Tài liệu cũng cho thấy NIST đã gặp các quan chức từ GCHQ, cơ quan tương đương NSA của Anh
Đánh giá từ chuyên gia bên ngoài
- Alan Woodward của University of Surrey cho rằng có lý do để thận trọng với các thuật toán mật mã
- Ông nêu ví dụ về mã GEA-1 dùng trong mạng điện thoại di động thập niên 1990 và 2000
- Mã này được phát hiện có lỗ hổng khiến nó có thể bị phá với lượng tính toán ít hơn hàng triệu lần so với dự kiến ban đầu
- Chưa xác định được ai đã cài lỗ hổng đó
- Woodward nói các ứng viên PQC hiện nay đã được giới học thuật và công nghiệp xem xét rất kỹ, và cho đến nay chưa bị chứng minh là còn thiếu sót
- Một số thuật toán khác ở các vòng thi trước đã bị loại sau khi khiếm khuyết của chúng được chứng minh
- Woodward cho rằng các cơ quan tình báo đúng là có lịch sử làm suy yếu mật mã, nhưng vì các ứng viên đã trải qua lượng phân tích an toàn rất lớn, sẽ là điều đáng ngạc nhiên nếu Kyber thực sự bị cài bẫy
1 bình luận
Các ý kiến trên Hacker News
Câu nói của Moody rằng “những gì chúng ta có thể làm chỉ là nói rằng NIST là bên đưa ra quyết định trong căn phòng đó, và nếu không tin thì không có cách nào kiểm chứng trừ khi ở bên trong NIST” chính là vấn đề
Nếu một cơ quan quan trọng như NIST không đủ minh bạch để bất kỳ ai quan tâm cũng có thể xem qua mọi cuộc họp, bản ghi nhớ, thậm chí cả những cuộc trò chuyện trong giờ nghỉ, thì nên giải thể và thay bằng một tổ chức thực sự phục vụ công chúng
Chúng ta đã bóp méo công nghệ để tạo ra một thế giới giám sát toàn diện, rồi lạm dụng nó để soi mói đời tư của những công dân bình thường
Nếu công nghệ giám sát và kiểm toán có những mục đích sử dụng chính đáng, thì về mặt đạo đức, những người nên phải từ bỏ một phần quyền riêng tư là những người làm việc công trong quốc hội, hội đồng địa phương, cơ quan chính phủ và tổ chức tiêu chuẩn hóa
Không phải chỉ “nói cho biết”, mà phải chứng minh; nếu không chứng minh được thì nên nhường chỗ cho ban lãnh đạo phù hợp hơn với lợi ích công
Gánh nặng sẽ cực lớn, nhưng trong một vũ trụ song song, điều đó có thể được xem là hiển nhiên. Vì người đại diện phải chịu trách nhiệm trước chúng ta
Không cần làm suy yếu mã hóa để giám sát con người. Chỉ cần cho họ xem một chú thỏ nhảy múa, và để xem chú thỏ đó thì bắt họ bấm “cho phép truy cập danh bạ”, “cho phép truy cập camera”, “cho phép truy cập micro”, “cho phép truy cập tài liệu”
Nói theo cách sang hơn thì thay chú thỏ nhảy múa bằng một dịch vụ miễn phí là được
Càng áp dụng nhiều kiến trúc điều khiển và chỉ huy trên đám mây, việc giám sát càng dễ hơn. Bất kỳ ai có quyền truy cập bên trong nhà cung cấp đám mây đều có thể nghe lén hành vi của mọi người gần như theo thời gian thực, thậm chí có thể làm vậy mà chính nhà cung cấp cũng không biết. Càng dùng nhiều dịch vụ kiểu này, ta càng giao nộp nhiều điểm dữ liệu hơn; khi kết hợp lại, chúng tạo ra một lượng thông tin đáng kể về chúng ta gần như theo thời gian thực
Về mặt đạo đức thì chắc ai cũng thấy rõ, nhưng để bàn luận, nếu nhìn từ góc độ NIST hay NSA, có thể họ tin rằng vì một mối đe dọa cụ thể nào đó mà NIST hoặc NSA phải cài backdoor
Muốn làm vậy, NIST cần duy trì một lượng lớn vốn niềm tin xã hội và niềm tin của ngành để dùng cho một vấn đề rất hẹp
Nhưng trong nhiều năm đã có đủ chuyện kỳ quặc như Dual EC DRBG, và đặc biệt trong thiết kế mật mã, niềm tin đó gần như không còn. Tôi có cảm giác các chuẩn ECC mới nhất do NIST thúc đẩy được tin tưởng kém xa so với khi AES được công bố, và có thể nhớ ra nhiều sự kiện lớn đủ để tạo ra sự ngờ vực này
Rốt cuộc NIST sẽ mất nhiều ảnh hưởng với ngành, và điều đó cũng chẳng có lợi cho chính NIST
Thành thật mà nói, tôi xem mã hóa hiện đại về cơ bản là đã bị tổn hại. Canh bạc nằm ở chỗ ai đã làm tổn hại nó, bằng cách nào, và khả năng họ muốn truy cập dữ liệu của tôi là bao nhiêu
Bài báo hơi kỳ, nên dưới góc nhìn của một người làm trong ngành bảo mật, tôi tóm tắt tình hình như sau
Bernstein, một nhà nghiên cứu bảo mật được kính trọng, tuần trước đã đăng một bài blog dài phê phán quy trình chuẩn hóa của NIST đối với thuật toán mật mã hậu lượng tử mới. Trọng tâm là cơ chế đóng gói khóa, tức các lĩnh vực như trao đổi khóa TLS; các ứng viên lớn là Kyber và NTRU, trong đó Bernstein là đồng tác giả của NTRU
Bất bình cốt lõi là NIST đã vận hành quy trình lựa chọn một cách lỏng lẻo, loại một biến thể NTRU nhanh chỉ vì nó hơi thiếu một chút so với một ngưỡng bảo mật cụ thể. Khi biến thể đó bị loại, NTRU trông chậm và kém linh hoạt hơn thực tế
Trong khi đó, NIST lại chấp nhận một biến thể Kyber nhanh tương tự dựa trên một giả định không ổn định. Bernstein lập luận rất dài rằng biến thể đó cũng không đạt ngưỡng bảo mật nên phải bị loại. Điều thú vị là để khẳng định độ an toàn của Kyber, NIST dường như đã sử dụng nghiên cứu của chính Bernstein theo một cách sai
Có một bầu không khí không ổn, như thể NIST vì lý do không rõ đã ưu ái một thuật toán hơn thuật toán khác. Ở phần đầu bài viết, Bernstein cũng đưa ra kết quả của một vụ kiện gần đây nhằm buộc công bố thêm thông tin về quy trình nội bộ của NIST; có vẻ NIST và NSA đã gặp nhau thường xuyên hơn những gì từng được biết
Cách hiểu của tôi nghiêng về việc NIST đã mắc sai sót nội bộ trong đánh giá thuật toán, hơn là NSA đã thúc đẩy chương trình nghị sự. Cũng có thể xem đây là chuyện Bernstein ấm ức vì thuật toán của mình có nguy cơ không được chọn nên dùng chiến thuật vòng vo, nhưng ông có uy tín rất tốt và lập luận khá thuyết phục rằng NIST đã phạm sai lầm quan trọng và không đủ minh bạch
https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
https://blog.cr.yp.to/20231003-countcorrectly.html
https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
Tôi cũng là học giả, và với bài này cũng nên nhìn như vậy
Suốt tuần trước tôi ở trong các cuộc thảo luận nơi các nhà mật mã học cố hiểu chính xác bài blog đó của Bernstein có nghĩa gì, nên thật khó tin rằng Matthew Sparkes của The New Scientist lại hiểu nó tốt hơn họ
Sparkes cũng không trực tiếp phỏng vấn Bernstein, và nếu ở đây không ai quan tâm đến trích dẫn của NIST thì có vẻ bài này nên được xem là trùng lặp
Mỗi khi câu chuyện DJB đối đầu NIST được nhắc đến, kiểu gì cũng có phản ứng rằng “nghe có vẻ nhỏ nhặt, nhưng ông ấy có hồ sơ không tì vết nên ta nên tin ông ấy”
Tôi muốn phản biện phần nào điều đó nên dẫn link thread Twitter này
https://nitter.net/FiloSottile/status/1555669786826244096
Thread cho thấy Bernstein và các đồng nghiệp của ông có một kiểu hành vi đe dọa các nhà mật mã học khác
Một người có thể vừa là nhà mật mã học xuất sắc vừa là người nhỏ nhen; hai điều này không loại trừ nhau
Các tweet nói rằng DJB ám chỉ những nhà khoa học nộp thuật toán đã bị NSA mua chuộc, nhưng đó là hiểu sai hoàn toàn những gì DJB viết. Lập luận của ông là NSA thậm chí không cần phải hối lộ những nhà khoa học đó. Vì họ đã tuyển dụng các chuyên gia hàng đầu trong lĩnh vực này từ nhiều năm trước, họ có thể đi trước rất xa so với những phương án được nộp, và khi đó chỉ cần thúc đẩy NIST chọn thuật toán mà họ biết cách phá
Tôi không biết gì về vụ này nên không thể phán xét liệu lập luận của DJB có phải kiểu hoang tưởng điên rồ như tác giả thread ngụ ý bằng GIF ở tweet thứ 3 hay không. Nhưng điều thấy được là lập luận của tác giả đã bóp méo nghiêm trọng những gì DJB viết
Chẳng hạn, một trong các tham chiếu được dùng làm bằng chứng rằng DJB xấu xa phàn nàn rằng sau một thời gian nghỉ ốm, người sử dụng lao động đề nghị người đó gặp bác sĩ của công ty, và họ coi đó là sự xúc phạm. Nhưng ở Hà Lan, đây là thủ tục chuẩn 100%, và bác sĩ đó không thuộc công ty mà độc lập và giữ bí mật
Đây là cách giải quyết xung đột giữa việc bạn không thể cứ tuyên bố mình ốm vô thời hạn mà không nêu lý do trong khi vẫn mong tiếp tục nhận lương, và việc người sử dụng lao động cũng không có quyền biết hồ sơ y tế. Cách này vừa bảo đảm bí mật y tế và nghỉ ốm dài hạn, vừa cho phép người sử dụng lao động tin rằng một bác sĩ công bằng đang kiểm tra xem các biện pháp phù hợp có được thực hiện hay không
Vấn đề này xuất hiện như một phần của xung đột giữa DJB, tác giả và trường đại học nơi họ làm việc. Ngoài ra, trong các cáo buộc rằng DJB và những người khác đã làm ngơ trước lạm dụng, cũng có những phần dường như bắt nguồn từ việc không hiểu hệ thống địa phương
Tôi tin phần lớn những gì được viết, nhưng đồng thời cũng rõ ràng là vấn đề đã bị làm trầm trọng hơn vì người đó không tìm hiểu hệ thống pháp luật mới chuyển đến thông qua đồng nghiệp, bạn bè, Google/DDG. DJB cũng đã đề xuất thực hiện biện pháp pháp lý và HR đã đề xuất hòa giải, nhưng đương sự từ chối cả hai. Vì vậy hiện giờ bằng chứng chỉ là lời của đương sự viết trên blog, còn những người bị nêu là thủ phạm thì không chịu hậu quả nào
Những tham chiếu đó có thuyết phục theo hướng DJB = xấu xa, nhưng đồng thời cũng khiến người ta nghĩ rằng có thể còn nhiều bối cảnh hơn câu chuyện từ một phía
Tôi xem việc thiết kế curve25519 là một thành tựu có thể xếp cùng hạng với phát minh RSA hay Diffie-Hellman xét về tác động thực tiễn. Không phải vì ý tưởng mới, mà vì nó được kết hợp thành một thứ thực sự “cứ thế chạy”. Bạn không phải lo về điểm đường cong không hợp lệ, tấn công twist, hay việc vô tình dùng công thức cộng cho phép nhân đôi điểm
Ý tưởng rằng có thể tạo ra một thư viện mật mã làm tốt một việc, thay vì một framework cho phép cắm lựa chọn tham số mà chỉ một số trong đó có thể an toàn, đủ mới mẻ ở thời điểm đó đến mức gần như không ai làm như vậy. Thực tế là khi cần khóa thật, đa số dùng
ssh-keygen -t ed25519hoặc lệnh tương đương trên hệ thống khác đã nói lên điều đóViệc GitHub loại bỏ loại khóa ssh-dss và khuyến nghị ed25519 cùng các mặc định cũng tương tự. Trong chữ ký số, cuộc cạnh tranh giữa Ed25519 và DSA/ECDSA là chiến thắng tuyệt đối của Bernstein, còn NIST thì mất mặt. Không có bằng chứng về ác ý, nhưng tôi vẫn chưa nghe được lời giải thích hợp lý vì sao ECDSA lại làm hỏng giao thức Schnorr nghiêm trọng đến mức khiến nhiều triển khai tạo ra các lỗ hổng bảo mật khủng khiếp
Còn có các rò rỉ Snowden và DUAL_EC. Câu “NSA từng can thiệp vào các tiêu chuẩn mật mã trong quá khứ, các rò rỉ đáng tin cậy cho thấy đó là một phần trong tuyên bố nhiệm vụ của họ, và họ có thể làm lại” đối với tôi là một phát biểu hợp lý, có bằng chứng đáng kể hậu thuẫn, rất xa với thuyết âm mưu thông thường. Nó không thuộc phạm trù kiểu thuyết dàn dựng cuộc đổ bộ Mặt Trăng
Ngoài ra, trong nhiều cách Bernstein có thể là người xấu, theo tôi biết có nhiều điều chưa từng bị cáo buộc với ông. Không có nghi vấn tấn công tình dục hay hiếp dâm, và tôi cũng không biết ông có phát ngôn đặc biệt phân biệt chủng tộc hay thúc đẩy hệ tư tưởng cực hữu nào. Có những chỉ trích rằng ông xúc phạm và đôi khi đe dọa những người bất đồng với mình về vấn đề kỹ thuật, nhưng điều đó khác với nghĩa thông thường của “người xấu/độc hại nên tránh nếu có thể”
Tôi sẽ nói rằng trong thiết kế giao thức mật mã, ông có hồ sơ khá không tì vết, còn trong quan hệ con người thì hồ sơ khá nhiều vết. Khi thực sự phải đối đầu với các quyết định thiết kế ngu ngốc hoặc độc hại, đó là một tài sản, nhưng trong nhiều trường hợp khác thì không
Đoạn mấu chốt là: “nếu cách của ông ấy không được NIST chấp nhận, mọi người sẽ nghĩ đó là vì nó không có backdoor và sẽ viện dẫn vụ kiện FOIA làm bằng chứng”
Nếu cứ nói về động cơ của tác giả, đáng tiếc là ta có thể bỏ lỡ lỗi tính toán của NIST
Lỗi cốt lõi của NIST nằm ở việc đã nhân nhầm hai chi phí đáng lẽ phải được cộng. Nếu lập luận này đúng, thái độ thận trọng là ít nhất phải xem xét lại và sửa bản nháp
Thảo luận trước đó: https://news.ycombinator.com/item?id=37756656
Trớ trêu thay, cách và nội dung mà DJB đối xử với các đồng nghiệp và NIST rất có thể sẽ khiến cả hai phía quay lưng với lập luận của ông, dù lập luận đó có thể đáng tin
Sự “cố thủ” của NIST mà DJB cảm nhận có thể chỉ là thái độ không muốn dây vào một thường dân thù địch và ngày càng kỳ quặc
Việc Dustin Moody của NIST nói rằng “chúng tôi không đồng ý với phân tích của ông ấy. Đây là vấn đề không có sự chắc chắn khoa học, và những người thông minh cũng có thể có quan điểm khác nhau. Chúng tôi tôn trọng ý kiến của Dan nhưng không đồng ý” thì phù hợp cho một bài báo khoa học đại chúng, nhưng tôi và nhiều người khác muốn thấy các chi tiết của phân tích này được xem xét đúng mức
DJB đã có thể tạo ra cơ hội đó nhưng đã phá hỏng nó. Tuy vậy, điều đó không có nghĩa là các câu hỏi về tính toán mức độ bảo mật Kyber-512 của ông ấy có thể bị bỏ ngỏ không lời đáp
Đây không phải kiểu vấn đề như vậy. DJB về cơ bản đang nói rằng NSA đưa ra một tuyên bố kiểu như “3 + 3 = 9”, và tuyên bố đó hoặc đúng hoặc sai
Bài viết có tường phí nên sau khi đọc bình luận tôi không định tìm cách vượt qua nữa, nhưng câu như thế này xuất hiện trước tường phí thì hoàn toàn thiếu trung thực
Dan Bernstein đã tạo ra Qmail, DJBDNS và các thuật toán mật mã
https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
Qmail
https://en.m.wikipedia.org/wiki/Qmail
Djbdns
https://en.m.wikipedia.org/wiki/Djbdns
https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein
Mã hóa, giống như nhiều thứ khác, quá quan trọng để giao vào tay nhà nước