NSA và IETF: Kẻ tấn công có thể mua việc tiêu chuẩn hóa mã hóa bị làm yếu hay không?

 (blog.cr.yp.to)
2 điểm bởi GN⁺ 2025-10-06 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các cơ quan giám sát như NSAGCHQ đang thúc đẩy việc làm yếu tiêu chuẩn hóa từ mô hình mã hóa kép ECC+PQ hiện có sang mã hóa đơn PQ
  • Sự thay đổi này gắn với quy trình bên trong các tổ chức tiêu chuẩn hóa như nhóm làm việc IETF TLS, ngân sách quân sự và các yêu cầu mua sắm của doanh nghiệp lớn
  • Nhiều chuyên gia bảo mật và giới thực địa nhấn mạnh rằng duy trì mã hóa kép là lựa chọn hợp lý nếu xét đến các mối đe dọa thực tế và khả năng phát sinh lỗi
  • Xung quanh việc áp dụng tiêu chuẩn PQ đơn, cũng đã xuất hiện các vấn đề quy trình nghiêm trọng như yêu cầu pháp lý và thủ tục, định nghĩa về đồng thuận, xử lý phản đối chưa đầy đủ
  • Đây là hiện tượng trong đó sức mua và ảnh hưởng của một số tổ chức như NSA cuối cùng bình thường hóa các tiêu chuẩn yếu hơn và làm gia tăng rủi ro cho toàn bộ hệ sinh thái bảo mật

Mở đầu: Sự cần thiết của phương thức mã hóa kép (hybrid) và bối cảnh thực tế

  • Mã hóa hậu lượng tử (PQ) đang được đưa vào như một lớp bảo mật bổ sung trên nền mã hóa hiện có dựa trên ECC
  • Ví dụ: Google CECPQ1 (ECC truyền thống X25519 + PQ NewHope1024), CECPQ2 (ECC+NTRUHRSS701), CECPQ2b (ECC+SIKEp434)
  • Các trình duyệt mới nhất hiện đã dùng PQ trong hơn một nửa lưu lượng theo số liệu từ Cloudflare, và phần lớn ở dạng áp dụng đồng thời với ECC (mã hóa kép)
  • Dù PQ mạnh về mặt lý thuyết, các lỗ hổng mới hoặc sự sụp đổ của thuật toán vẫn có thể xảy ra; trên thực tế đã có những vấn đề như vụ SIKE bị phá công khai
  • Mã hóa kép giống như dây an toàn trên ô tô: đóng vai trò lớp đệm thực tế để phòng ngừa các rủi ro hoặc lỗi chưa biết

Ảnh hưởng và mục tiêu của NSA và GCHQ trong tiêu chuẩn hóa

  • NSA và GCHQ đang cố làm yếu tiêu chuẩn theo hướng mã hóa PQ đơn (không áp dụng hybrid) thay vì mã hóa kép ECC+PQ
  • Tương tự Dual EC, họ lặp lại các lập luận có lỗi logic dưới danh nghĩa "tăng cường bảo mật", trong khi mục tiêu thực tế là đưa lỗ hổng vào và mở rộng ảnh hưởng
  • NSA tận dụng các tiêu chí mua sắm của quân đội/hạ tầng quốc gia trọng yếu để, thông qua chi ngân sách, thúc đẩy sản phẩm và dịch vụ tuân theo PQ đơn
  • Các công ty lớn như Cisco, Google, IBM, Microsoft đang chính thức hóa hoặc ủng hộ việc triển khai mã hóa PQ đơn để đáp ứng yêu cầu từ các cơ quan như NSA

Lập luận "dùng chính sản phẩm của mình" (Dogfooding) và thực tế

  • Ngay cả khi làm yếu DES xuống 56 bit và trong quá trình tiêu chuẩn hóa, NSA cũng dùng kiểu tiếp thị nhấn mạnh độ tin cậy như "chúng tôi cũng dùng DES cho thông tin quốc gia"
  • Nhưng trên thực tế họ bảo vệ thông tin quan trọng bằng các phương thức nhiều lớp như Triple-DES
  • Hiện nay nữa, khi bảo vệ dữ liệu quan trọng, NSA vẫn vận hành hai lớp mã hóa độc lập để tránh tình huống một điểm lỗi duy nhất

Quy trình tiếp nhận tiêu chuẩn và trường hợp của IETF

  • Tại IETF, bản thảo đưa hybrid (ECC+PQ) vào TLS đã được chấp nhận vào tháng 3 năm 2025 mà hầu như không có phản đối đáng kể
  • Ngược lại, bản thảo PQ đơn đã vấp phải nhiều ý kiến từ các chuyên gia bảo mật về độ an toàn, WG charter và sự gia tăng độ phức tạp
    • Như trường hợp SIKE, nếu chỉ cần một thành phần bị phá thì toàn bộ an toàn có thể sụp đổ
    • Hành vi thúc đẩy bằng mua sắm của NSA vi phạm BCP 188 và mục tiêu "tăng cường bảo mật" của WG
  • Hybrid là lựa chọn tối ưu thực tế, giúp tăng độ an toàn mà không có nhược điểm đáng kể trên thực tế

Thủ tục pháp lý/chính sách và yêu cầu về đồng thuận

  • Theo luật Mỹ, các tổ chức tiêu chuẩn hóa phải đáp ứng tính công khai, cân bằng lợi ích, thủ tục hợp pháp, phản hồi với ý kiến phản đối, đồng thuận (consensus)
  • Theo án lệ Tòa án Tối cao và quy định của OMB, "đồng thuận" không chỉ là bỏ phiếu đơn thuần mà còn bao gồm việc xem xét công bằng từng ý kiến phản đối, cung cấp thông tin và đạt được sự đồng ý rộng rãi thực chất
  • Trong trường hợp thực tế tại IETF, chỉ với tỷ lệ 22 người ủng hộ, 7 người phản đối thì khó có thể xem là đồng thuận chung theo nghĩa thông thường
  • Nhiều ý kiến ủng hộ trong IETF rất ngắn, và thiếu phản hồi hay thảo luận thực chất/cụ thể đối với các lập luận phản đối

Tóm tắt các yếu tố rủi ro

  • Các cơ quan có ảnh hưởng lớn như NSA tận dụng chi ngân sách và việc tham gia tổ chức tiêu chuẩn hóa để thúc đẩy việc cài sẵn lỗ hổng và hiện tượng lệ thuộc của ngành
  • Các thất bại tiêu chuẩn hóa trước đó như Dual EC và SIKE có thể lặp lại việc bộc lộ điểm yếu bảo mật nghiêm trọng và dẫn tới hậu quả thảm họa
  • Trong thực tế, mã hóa kép đang dần trở thành mặc định, nhưng nếu các tiêu chuẩn yếu hơn được đưa vào với danh nghĩa "tiết kiệm" hay "đơn giản hóa" thì toàn bộ hệ sinh thái có thể bị đặt vào rủi ro

Kết luận và hàm ý

  • Cần tăng cường tính công bằng và minh bạch của các chủ thể tiêu chuẩn hóa, đồng thời thúc đẩy áp dụng mã hóa kép phản ánh đúng nhu cầu thực tế của thị trường
  • Cần nâng cao cảnh giác về khả năng làm suy yếu bảo mật trên toàn hệ sinh thái do các hành động gây ảnh hưởng mang tính tấn công từ những tổ chức như NSA
  • Để lan rộng các thông lệ tiên tiến có thể giảm rủi ro, như phổ cập mã hóa kép, việc các nhà phát triển và doanh nghiệp quan tâm tích cực và xây dựng cơ chế giám sát là rất quan trọng

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-10-06
Ý kiến trên Hacker News

  • DJB đã liên tục chỉ trích lập trường của NSA từ năm 2022 (tham khảo: bài viết blog của DJB). Tôi thực sự rất ngạc nhiên khi biết rằng có người đang đề xuất đưa trao đổi khóa PQ không lai ghép vào các ứng dụng thực tế. Nếu đây không phải là một chiêu được sắp đặt để NSA có thể tự mình dễ dàng phá vỡ, thì dù sao nó cũng cho thấy mức độ tin tưởng cực lớn vào một cơ chế chỉ mới xuất hiện gần đây. Tình huống này giống như nói rằng “giờ đã có thể phát hiện virus trong nước thải nên bệnh viện không cần báo cáo khả năng bùng phát dịch bệnh nữa”, và còn nguy hiểm hơn ở chỗ mục tiêu của một số người có thể hoàn toàn trái ngược với mọi người khác. Trong bài viết năm 2022, DJB chỉ ra rằng NSA công khai chỉ nêu ra “một số rất ít trường hợp phát sinh vấn đề do vội vàng đưa thêm lớp bảo mật”, và bày tỏ niềm tin vào quy trình NIST PQC, chỉ có vậy.

    • Tôi muốn bạn nói rõ hơn một chút “cơ chế chỉ mới được phát triển gần đây” là gì.

  • Có rất nhiều điểm để tranh luận về chủ đề này. A) Không bao giờ nên tuyệt đối tin các cơ quan chính phủ về an ninh mạng. B) NSA không giống như hình dung của chúng ta; đó thật sự là một miền Viễn Tây kỳ quái, tôi khẳng định điều đó từ trải nghiệm cá nhân. C) Mật mã học liên quan tới nhiều thứ hơn rất nhiều so với chỉ bảo mật hay trao đổi thông điệp; đôi khi ta thậm chí còn không biết rằng có thứ gì đó (có thể là một sinh vật sống) có thể bị giải mã. D) NSA thực sự, thực sự rất bẩn; có thể xem như CIA phiên bản số, và hoạt động như gián điệp mạng ở khắp nơi như tech/telecom/manufacturer và nhiều loại công ty khác. E) Tuyệt đối không nên làm theo lời khuyên của NSA / họ có một văn hóa xoay quanh khai thác.

    • Tôi muốn hiểu câu “có thứ gì đó (có thể là một sinh vật sống) có thể bị giải mã” nghĩa là gì.

    • Thay vì chỉ nói đừng tin NSA, tôi muốn bạn trình bày lập luận vì sao người khác nên tin chính bạn.

  • Tôi thấy khá lạ là khi nêu vấn đề công khai, họ lại không nhắc đến việc khiếu nại đã chính thức bị bác chỉ 3 ngày trước đó (tham khảo: tài liệu chính thức của IESG).

    • Tôi tôn trọng cả bạn lẫn tác giả, nhưng văn bản bác bỏ đó thực ra chỉ kết thúc ở mức “không có vấn đề về thủ tục” và “nếu muốn kháng nghị thì hãy nộp lại đúng hình thức”, chứ không có câu trả lời thực chất nào cho các vấn đề chính. Kiểu phản hồi đó chỉ càng làm giảm lòng tin.

    • Tôi nghĩ việc công khai nó là tốt để hồ sơ được đầy đủ. Với những vấn đề như thế này, luôn cần nhớ rằng có một lịch sử lâu dài của những người nhắm tới việc “làm yếu mã hóa” và họ không dễ dàng bỏ cuộc.

  • Đây là một việc rất đáng lo ngại, và tôi kính trọng việc DJB đang đấu tranh chống lại nó. Một điều tôi thắc mắc là ai mới là mục tiêu đủ thực tế để khiến NSA phải quan tâm đến mức này.

    • Các mục tiêu am hiểu kỹ thuật thì đằng nào cũng sẽ dùng trao đổi khóa lai ghép,

    • còn người dùng bình thường hay các mục tiêu không rành kỹ thuật thì mã hóa gần như đã mất ý nghĩa vì các hình thức giám sát như PRISM,

    • vậy nên tôi tự hỏi ý đồ thực sự của NSA là gì.

    • Phần lớn các tổ chức chỉ đơn giản dùng nguyên các thiết lập bảo mật mặc định của router Cisco hoặc trình duyệt web. Ban đầu NSA sẽ yêu cầu “hỗ trợ” cả những giao thức (không hoàn toàn an toàn), và khi chúng đã trở nên phổ biến, họ sẽ còn biến chúng thành “mặc định” thông qua cả các đợt kiểm tra tuân thủ.

    • Dù không thể bao phủ mọi mục tiêu bằng công nghệ cài cửa hậu, chỉ cần 30% thị trường dùng là đã là đại thành công. Thu thập tình báo là một trò chơi của các con số; chỉ cần tung lưới đủ rộng thì sớm muộn cũng sẽ bắt được rất nhiều mục tiêu.

    • Kết hợp với QUANTUMINSERT thì ngay cả những người vốn dùng mã hóa mạnh hơn cũng có nguy cơ bị lộ trước tấn công hạ cấp.

    • Tôi muốn bạn nói cụ thể hơn “đáng lo ngại” ở đây chính xác là lo điều gì.

    • Có phải ý là 99% lưu lượng TLS toàn cầu đang gặp nguy cơ không?

  • Làn sóng nhiệt tình thay RSA bằng ECC cũng đáng ngờ theo cùng một cách. Tôi thấy thật kỳ lạ khi một thuật toán đã được tin cậy từ lâu bỗng nhiên đồng loạt bị cho là không còn đáng tin, khó triển khai, chậm và lỗi thời — tất cả đều theo một mẫu quá đỗi hiển nhiên. Điều đó tạo cảm giác rất không tự nhiên.

  • Chỉ riêng ý nghĩ họ đang thử làm điều đó cũng khiến tôi muốn thêm một lớp thứ ba lên trên hai lớp mã hóa hiện có.

    • Thực ra với hầu hết mã hóa/ứng dụng, việc chồng nhiều lớp mã hóa lên nhau không tốn kém mấy. Chồng đến khoảng 10 lớp cũng chẳng có gì thiệt.

  • Lập luận rằng “thuật toán hậu lượng tử thậm chí có thể bị phá bởi máy tính ngày nay” về cơ bản là đang cung cấp kiểu “Security Through Ignorance”. Mã này có an toàn không? Không ai biết! Cứ chờ xem kết quả thế nào đã.

  • Có vẻ ở đây có cả một vở kịch với nhiều sự kiện đan xen, nhưng tách riêng chuyện đó ra thì bài này khiến tôi nghĩ rằng các tiêu chuẩn quan trọng nên được quyết định ở nơi không thuộc chính phủ. Vậy nơi nào nên phụ trách quy trình tiêu chuẩn hóa? Linux Foundation? Có vẻ hiện nay trong hệ sinh thái Ethereum, nhiều nhân tài toán mật mã đang tập trung vào zero-knowledge proof (ZK proof). Nếu Vitalik mở một cuộc thi như NIST thì chắc mọi người sẽ chú ý. Điều cần nhất là tạo ra “một cơ chế thưởng cho những kẻ tấn công cố phá mã bằng dữ liệu giả trước khi được triển khai thực tế”. Lý tưởng nhất là để hệ mã bị tấn công ngay từ trước khi được tiêu chuẩn hóa. Phía Ethereum đang vận hành loại chương trình bounty này khá tốt. Nếu các chuyên gia mật mã thực sự nhận được phần thưởng thông qua công bố có trách nhiệm, thì động lực bán cho phía phi đạo đức sẽ giảm đi.

  • Điều đáng sợ là người tên Wouters đã đe dọa cấm Bernstein bằng một thông điệp CoC rất thiếu thân thiện và mang tính công kích (tham khảo: nguyên văn email). Đó đúng là một trải nghiệm mỉa mai của câu “hãy tin vào quy trình”.

  • FIPS giống như thành trì cuối cùng của các tiêu chuẩn bảo mật.

    • Lúc đầu tôi đọc nhầm FIPS thành “bassoon của các tiêu chuẩn bảo mật”, nên bị khựng lại một chút, não tôi bắt đầu tưởng tượng sang hẳn một hướng khác.