1 puan yazan GN⁺ 2023-10-05 | 1 yorum | WhatsApp'ta paylaş
  • Temel eleştiri, NIST'in Kyber-512'yi post-kuantum kriptografi standardı olarak ilerletirken saldırı maliyeti hesabını yanlış yapıp güvenlik seviyesini olduğundan yüksek göstermesi
  • Tartışmanın odağında, her yinelemedeki hesaplama maliyeti ile bellek erişim maliyetinin toplanması gerekirken NIST'in bunları çarpmış gibi davranarak Matzov'un 2^137 tahminine “40 bit ek güvenlik” eklemesi yer alıyor
  • Kyber-512, Core-SVP ölçütünde 2^118 seviyesinde sunulurken NIST bunu AES-128 ölçütü olan yaklaşık 2^143 bit operations seviyesine uydurmaya çalıştı; ancak birleştirilen sayıların birim ve anlamlarının uyuşmadığı eleştiriliyor
  • Kyber yalnızca Kyber-512, Kyber-768 ve Kyber-1024 gibi sınırlı parametre seçenekleri sunarken NTRU ve NTRU Prime daha sık aralıklı boyut ve güvenlik seviyesi seçenekleri sağlıyor diye karşılaştırılıyor
  • Kyber-512'nin standardizasyonunun saldırı analizlerindeki belirsizlik, bellek maliyeti modelinin nicelleştirilmemiş olması ve yetersiz kamu incelemesi gibi sorunlar taşıdığı; yazarın ise Kyber-512'nin kaldırılmasını ve NIST'in hesap hatasını açıklamasını talep ettiği belirtiliyor

Hesaplama hatasının özü

  • Başlangıç noktası, “2^40 + 2^40, 2^80 değil 2^41'dir” şeklindeki basit örnek
    • Çarpılması gereken sayılarla toplanması gereken sayıların karıştırılması, güvenlik seviyesini büyük ölçüde şişirebilir
  • Kyber-512 güvenlik seviyesi tartışmasında sorunlu yapı şöyle açıklanıyor
    • Saldırı çok sayıda yinelemeden (iteration) oluşuyor
    • Her yinelemenin hesaplama maliyeti ve bellek erişim maliyeti var
    • Toplam maliyet yineleme sayısı × yineleme başına maliyet şeklinde hesaplanmalı
    • Yineleme başına maliyet içinde hesaplama maliyeti ile bellek erişim maliyeti toplanmalı
  • Temel eleştiri, NIST'in hesaplama maliyeti ile bellek erişim maliyetini toplamak yerine çarpma etkisi yaratmış olması
    • Örneğin 2^25 bit operations/iteration ile 2^35 bit operations/iteration toplanmalı
    • Bunlar çarpılırsa birim bitops^2/iter^2 olur ve artık saldırı maliyetinin birimi olmaz
    • Bu tür bir çarpım, saldırı maliyetini milyonlarca kat veya daha fazla şişirebilir

NISTPQC ve Kyber-512 arka planı

  • NIST, 2022'de Kyber-512'yi standardize etme planını duyurdu ve 2023'te Kyber-512 taslak standardını yayımladı
  • Eleştirinin odağı, NIST'in Kyber-512'nin güvenlik seviyesini gerekçelendirirken ciddi bir hesap hatası yapmış olması
  • Mart 2022'de NSA, NIST, and post-quantum cryptography için bir FOIA talebi yapıldı ve sonrasında dava yoluyla NIST iç belgelerinin bir kısmı açığa çıktı
    • Açık ve gizli belgelerin karşılaştırılmasının, NISTPQC sürecinde NSA etkisinin NIST'in kamuya açıkladığından daha büyük olduğunu düşündürdüğü belirtiliyor
    • 2016'daki pqc@nist.gov ekip listesinde, NIST personelinden daha fazla NSA personeli bulunduğu öne sürülüyor
    • NIST ise 2020'de yayımladığı kamuya açık materyallerde NSA geri bildirimlerinin kararları etkilemediğini ve kararların yalnızca NIST tarafından kamuya açık bilgiler temelinde verildiğini söylemişti
  • Ocak 2023'te Kyber-512 güvenlik seviyesi iddialarıyla ilgili yeni bir FOIA talebi yapıldığı, NIST'in yine yanıtı geciktirdiği ve bunun yeni bir davaya yol açtığı aktarılıyor

Kyber'in sınırlı parametre seçimi

  • Kyber'in RSA, ECC, McEliece ve NTRU gibi istenen boyutta güvenlik seviyesini kademeli artırmaya uygun olmadığı ileri sürülüyor
    • Kyber-576 yok; Kyber-512'den daha güçlü seçenek olarak Kyber-768'e geçmek için boyutta %50 artış gerekiyor
    • Kyber-768'den daha güçlü seçenek Kyber-1024
    • Kyber-1024'ten daha güçlü bir seçenek sunulmuyor
  • Resmî Kyber belgeleri, tüm parametre setlerinin “dimension-256 NTT” ile işlenebilmesini avantaj olarak öne çıkardı; ancak bu yapıda 256'nın katı olmayan boyutlar temel tasarım değişikliği gerektiriyor
  • 1KB sınırına sahip uygulamalarda Kyber-768 kullanmak zor, bu durumda en yüksek güvenlikli Kyber seçeneği Kyber-512 oluyor
    • Kyber-768, 1184-byte açık anahtar ve 1088-byte ciphertext kullanıyor
    • Kyber-512, 800-byte anahtar ve 768-byte ciphertext kullanıyor
  • Aynı 1KB sınırında NTRU ailesinin daha yüksek Core-SVP tahminleri sunduğu belirtiliyor
    • sntrup653: 994-byte anahtar, 897-byte ciphertext, Core-SVP 2^129
    • NTRU-677 (ntruhps2048677): 931-byte anahtar, 931-byte ciphertext, Core-SVP 2^145
    • Kyber-512 round-3 sürümü: Core-SVP 2^118
  • Core-SVP'nin, Kyber ekibinin round-1 ve round-2 başvurularında güvenlik seviyesi tahmini için kullandığı mekanizma olduğu ve NIST'in 2020 round-2 raporunda da karşılaştırmalar için bunu kullandığı belirtiliyor

NIST değerlendirme ölçütleri ve NTRU karşılaştırması

  • NIST'in 2016 tarihli resmî çağrısı, değerlendirme ölçütleri arasına esnekliği (flexibility) de dahil etmişti
    • Buna göre, “iyi genel güvenlik ve performans” varsayımı altında daha esnek şemalar daha fazla kullanıcı ihtiyacını karşılayabilir
    • Aynı kategori içinde bile farklı parametre setleri sunularak performans veya güvenlik payı ayarlanabilir deniyordu
  • NIST, 2020'de NewHope'u elerken gerekçelerden biri olarak Kyber'in category 3 parametre setlerini doğal biçimde desteklemesini göstermişti
  • Eğer Kyber-512 asgari güvenlik seviyesini karşılamıyorsa Kyber'de yalnızca Kyber-768 ve Kyber-1024 kalıyor ve bu da NTRU'ya kıyasla daha düşük esneklik sorununu büyütüyor
  • NIST'in 2022 selection report'u, hem Kyber'in hem NTRU'nun güvenliğine güvendiğini ve KEM performanslarının da genel amaçlı uygulamalar için kabul edilebilir olduğunu söylüyordu
  • Bu koşullarda, Kyber-512 çıkarılırsa NTRU'nun daha küçük seçenekler, daha yüksek güvenlik seçenekleri ve boyut-güvenlik arasında daha sık aralıklı takaslar sunarak Kyber'e üstün geldiği savunuluyor

NIST'in rekabeti eğdiğine dair dört eleştiri

  • 1. NTRU'nun ek esnekliğinin görmezden gelinmesi

    • NTRU literatürünün, uzun zamandır farklı güvenlik seviyeleri ve boyut seçenekleri sunulabildiğini gösterdiği belirtiliyor
    • NIST, 2020'de “çok fazla parameter set, değerlendirme ve analizi zorlaştırır” demişti
    • Resmî ölçütlerde esneklik olumlu sunulmasına rağmen süreç içinde “too many” eleştirisinin ortaya çıktığı ve NIST'in bu ölçütü net biçimde açıklamadığı savunuluyor
  • 2. Anahtar üretim maliyetinin abartılması

    • Golden Cove kıyaslamalarında Kyber-512 için encapsulation 25829 cycle, decapsulation 20847 cycle olarak veriliyor
    • NTRU-509 için encapsulation 15759 cycle, decapsulation 25134 cycle olduğu ve ciphertext işleme toplamının Kyber-512'den %13 düşük olduğu belirtiliyor
    • Buna karşılık NTRU-509 anahtar üretimi 112866 cycle ile Kyber-512'nin 17777 cycle'ından yüksek
    • Ancak KEM'de anahtarlar birçok ciphertext için yeniden kullanılabildiği, bayt gönderme/alma maliyetinin cycle maliyetinden çok daha önemli olduğu ve Montgomery trick ile NTRU anahtar üretiminin hızlandırılabileceği savunuluyor
  • 3. NTRU'nun daha yüksek güvenlik seviyesinin gizlenmesi

    • NIST'in 2020 round-2 raporunda category 5 parametre setlerini güçlü biçimde önermeye başladığı belirtiliyor
    • NTRU'nun NTRU-1229 ve NTRU-HRSS-1373 parametrelerini sunduğu, bunların Core-SVP değerlerinin sırasıyla 2^301 ve 2^310 olduğu ve Kyber-1024'ün 2^254 değerinden yüksek olduğu ifade ediliyor
    • NTRU Prime'ın da sntrup1277, ntrulpr1277 gibi Core-SVP 2^270 ve 2^271 seçenekleri sunduğu aktarılıyor
    • NIST grafiklerinin, bu yüksek güvenlikli NTRU seçeneklerini yeterince görünür kılmadığı eleştiriliyor
  • 4. En yüksek performanslı seçenek olan NTRU-509'un dışarıda bırakılması

    • NIST'in NTRU-509'u büyük grafikten ve sonrasındaki selection report şekil ve tablolarından çıkardığı öne sürülüyor
    • NTRU-509'un Kyber-512'den daha küçük anahtar ve ciphertext sunduğu, dolayısıyla NIST'in “NTRU'nun Kyber'e göre public key ve ciphertext'inin biraz daha büyük olduğu” yönündeki ifadesiyle çeliştiği savunuluyor
    • NTRU-509'u dışarıda bırakmak için AES-128 asgari güvenlik seviyesinin altında kaldığını söylemek gerekirken, aynı ölçütle Kyber-512'yi tutmanın son derece zayıf bir ayrım olduğu eleştiriliyor

Core-SVP sonrası belirsizlikler

  • Kyber-512 için Core-SVP 2^118 iken, AES-128 saldırı maliyeti 2^140 bit operations'dan biraz yüksek kabul ediliyor
  • 2017 ve 2019 Kyber başvuru belgeleri, Core-SVP'nin en az 30 bit üzerinde güvenlik sunduğunu savunmuştu; ancak bunun bazı gerekçelerinin yanlış veya yetersiz olduğu ileri sürülüyor
    • rounding noise'un anahtar saldırılarına uygulanmadığı ve bu yüzden güvenlik artışı gerekçesi olamayacağı söyleniyor
    • sieving için subexponential maliyet artışı iddiasının dayanağı olmadığı, hatta gerçek asymptotics'in Core-SVP'den daha hızlı olabileceği belirtiliyor
    • SVP oracle çağrısı sayısı ve gate count tahminlerinin bir ölçüde makul olabileceği, ancak Kyber-512'yi kurtarmaya yetmeyebileceği ifade ediliyor
    • Bellek erişim maliyetinin gerçek saldırı maliyeti açısından önemli olabileceği, ancak NIST'in resmî ölçütünün 2^143 “classical gates” istemesi nedeniyle bunun Kyber-512'yi doğrudan kurtaran bir mantık olamayacağı söyleniyor
  • Round-3 Kyber başvurusu, Kyber-512'yi değiştirip Core-SVP tanımını da güncelleyerek 2^112 yerine 2^118 elde ettiğini belirtiyor
  • Aynı başvuru, Kyber-512 güvenliğini 151 bits ±16 olarak verdi ve 135'e kadar düşse bile bellek gereksinimleri nedeniyle bunun “catastrophic” olmayacağını savundu
  • Daha sonra Matzov ve diğer lattice attack analizleri yayımlandıkça Kyber-512 güvenlik tahminlerinin daha karmaşık ve daha kırılgan hale geldiği belirtiliyor

NIST'in Kyber-512'yi kurtarma mantığı

  • NIST'in resmî çağrısı, her güvenlik kategorisinin AES-128 gibi temel primitive'leri “potentially relevant” çeşitli metriklerde alt sınır kabul ettiğini açıkça belirtiyordu
  • Yani herhangi bir saldırının, NIST'in pratik güvenlik açısından potansiyel olarak ilgili gördüğü tüm metriklerde bu eşiklerin üzerinde kaynak gerektirmesi gerekiyor
  • NIST, “classical gates” ifadesinin açık tanımını uzun süre vermekten kaçındı; 2022 selection report'ta ise one-bit bellek okuma/yazma işlemini cost-1 gate saydığını açıkladı
  • NIST, NTRU-509'u dışarıda bırakırken “non-local cost model”, yani bellek erişim maliyetini fiilen ücretsiz sayan bir ölçüt kullandığı eleştirisine maruz kalıyor
  • Buna karşılık Kyber-512'yi category 1 içinde tutarken “realistic memory access costs” dikkate alındığında category 1'i karşıladığını savunuyor
    • Sonuç olarak NTRU-509'a free-memory metriği, Kyber-512'ye ise memory-expensive metriği uygulanmış gibi göründüğü söyleniyor

NISTBS: 7 Aralık 2022 açıklamasına itiraz

  • NIST, 7 Aralık 2022'de Kyber-512'nin neden NIST category I'ı karşıladığını düşündüğünü açıkladı; bu yazı da buna “NISTBS” adını veriyor
  • NISTBS, Matzov raporunun Kyber-512 saldırı maliyetini 2^137 bit operations olarak tahmin ettiğini başlangıç alıyor
    • AES-128'in klasik saldırı maliyeti yaklaşık 2^143 bit operations olarak alınıyor
    • Dolayısıyla 6 bit eksik kalıyor
  • NISTBS, lattice sieving saldırılarının büyük bellek üzerinde yapısal olmayan erişim gerektirdiğini ve RAM modelinin bu maliyeti göz ardı ettiğini söylüyor
  • Ardından NTRU ve NTRU Prime başvurularındaki değerlendirmeleri alıntılayarak, category 1 sieving saldırılarında bellek erişim maliyeti hesaba katılırsa bunun RAM modeline göre “20~40 bits” daha yüksek olabileceğini hesaplıyor
  • Sorun, NIST'in Matzov'un 2^137 değerine NTRU Prime'daki 40 bit'i ekleyip bunu 2^177 seviyesinde yorumlamış görünmesi
    • NTRU Prime'daki 40 bit'in, sntrup653 için “real” 2^169 ile “free” 2^129 arasındaki farktan çıkarılmış göründüğü belirtiliyor
    • Ancak 2^129'un Core-SVP olduğu, yani NIST'in söylediği RAM model gate count'u değil yaklaşık yineleme sayısı olduğu vurgulanıyor
    • Bellek erişim maliyeti, yineleme başına maliyete eklenmeli; zaten bit operation olarak sayılmış toplam hesaplama maliyetiyle çarpılamaz veya üstel olarak eklenemez

Gerçek sayıların anlamı

  • NTRU Prime belgesi, sntrup653 için Core-SVP değerini 2^129 olarak veriyor
    • Bu yaklaşık yineleme sayısı tahmini
    • Aynı belge toplam bellek erişim maliyetini 2^169 bit operations eşdeğeri olarak tahmin ediyor
  • Kyber-512 için Core-SVP 2^118 veriliyor
    • Aynı yöntemle bellek erişim maliyeti kabaca 2^154 bit operations eşdeğeri olarak tahmin ediliyor
  • Kyber belgesindeki 2^151 “gates” tahmini, bellek erişim maliyeti tahmini değil
    • Bu, saldırı hesaplamasının içindeki bit operations sayısı için yapılan tahmin
    • “known unknowns” dikkate alındığında 2^135~2^167 aralığı veriliyor
  • Dolayısıyla 2^151 hesaplama maliyeti tahmini ile bellek erişim maliyeti tahmini, birbiriyle çarpılacak terimler değil; yineleme başına maliyet düzeyinde anlamlı biçimde toplanacak terimler

Hatanın neden kolay fark edilmesi gerektiği düşünülüyor

  • Basit bir sanity check şöyle sunuluyor
    • Kyber belgeleri, Kyber-512 saldırısının hesaplama maliyetini 2^135~2^167 bit operations olarak tahmin ediyor
    • NTRU Prime, Kyber-512'den daha zor göründüğü belirtilen sntrup653 için bellek erişim maliyetini 2^169 bit operations eşdeğeri olarak tahmin ediyor
    • Saldırı 2^14 kadar iyileşmişken NIST'in Kyber-512 saldırı maliyetini 2^177 hesaplaması tuhaf görünüyor
  • NISTBS, NTRU Prime belgesinin “RAM modeline göre 40 bits ek güvenlik” tahmin ettiğini yazdı; ancak ilgili belgenin 6.11 bölümünde doğrudan “40” veya “RAM model” ifadesinin geçmediği söyleniyor
  • Açık bir inceleme için NIST'in 40 sayısının tam olarak nereden geldiğini, hangi metriğe ait hangi değer olduğunu açıklaması gerektiği eleştiriliyor
  • Aralık 2022'den sonra belirli bir scenario X için “137+40=177 diye mi hesapladınız?” sorusu yöneltilmiş, ancak NIST'in yanıt vermediği belirtiliyor
  • Sonrasında NIST'in ilgili e-postanın “speaks for itself” olduğunu söylediği, fakat hesabın belirli yorumunu doğrulamadığı ve alternatif yorum da sunmadığı ileri sürülüyor

Doğru hesap için gereken araştırma

  • Doğru hesaplama, iki etkiyi ayırmak zorunda
    • Core-SVP'nin üzerindeki güvenlik artışının bir kısmı, yineleme içindeki hesaplamanın bit operations maliyetinden geliyor
    • Bir kısmı ise Core-SVP'ye göre yineleme sayısının artmasından, yani dış döngüden kaynaklanıyor
  • Yineleme sayısındaki artış bellek erişim maliyetiyle çarpılabilir
  • Buna karşılık yineleme içi hesaplama maliyeti ile yineleme içi bellek erişim maliyeti toplanmalı; bunları çarpmak temel hata olarak gösteriliyor
  • Doğru hesaplama için, state-of-the-art lattice attacks üzerine yüzlerce sayfalık çalışmaları takip edip bellek erişim maliyetini eklediğinizde tüm saldırı yığınının yeniden optimize edilmesi gerektiği söyleniyor
  • Örneğin BKZ içinde low-memory enumeration ile high-memory sieving arasında hangisinin daha avantajlı olduğunun, bellek erişim maliyeti dahil edilerek yeniden hesaplanması gerekiyor

Taslak standart ve sorumluluk meselesi

  • Ağustos 2023'te NIST, Kyber taslak standardı olan ML-KEM taslağını yayımladı
    • ML-KEM-512 için security category 1
    • ML-KEM-768 için category 3
    • ML-KEM-1024 için category 5 “claimed” deniyor
  • Buradaki sorun, “claimed” ifadesinin öznesinin belirsiz olması
    • Bunun NIST'in mi, tasarımcıların mı yoksa başka bir tarafın mı iddiası olduğu açık değil deniyor
  • Taslağın Appendix A bölümü, category ölçütünün AES-128, AES-192 ve AES-256'yı tüm potentially relevant metriklerde aşmak olduğunu yeniden söylüyor
  • Kyber belgelerindeki en güncel analiz, Kyber-512 saldırı maliyetinin 2^135 “classical gates” seviyesine kadar inebileceğini öne sürüyor; bu da NIST'in AES-128 için verdiği 2^143 gates tahmininden düşük
  • Bu nedenle, NIST'in Kyber-512'nin tüm ilgili metriklerde AES-128'den daha güvenli olduğu iddiasını nasıl gerekçelendirdiğine dair kamuya açık bir analiz gerektiği savunuluyor

Sonuç ve öneri

  • Sonuç olarak lattice attack yüzeyinin istikrarsız ve yeterince anlaşılmamış olduğu, bu yüzden Kyber-512'nin standardize edilmesinin pervasızca olduğu ileri sürülüyor
  • Kyber-512'nin, yayımlanmış saldırılar ve bellek erişim maliyetleri dikkate alındığında bile AES-128'den çok daha kolay kırılabilir olma ihtimali bulunduğu; tersinin de mümkün olduğu, bu yüzden gerçek durumu ortaya çıkarmak için zor araştırmalar gerektiği belirtiliyor
  • AES-128'in kendisinin bile çok hedefli saldırılarda 1 trilyon anahtardan herhangi birini kırmak için 2^88 computations seviyesine düşebileceği, dolayısıyla 10~30 bit kaybın göz ardı edilemeyeceği vurgulanıyor
  • Kyber-512 standart bir seçenek olarak kalırsa, Kyber-1024 veya NTRU-1229 kullanabilecek uygulamaların bile daha hızlı seçeneğe yönelebileceği ifade ediliyor
  • Nihai tavsiye, Kyber-512'nin kaldırılması ve NIST'in hem Kyber-512 güvenlik seviyesi hesabındaki hatayı hem de NTRU karşılaştırmalarındaki şeffaf olmayan veri seçimini kamuoyu önünde kabul etmesi yönünde

1 yorum

 
GN⁺ 2023-10-05
Hacker News yorumları
  • Bu yazıyı okumadan önce mutlaka bilinmesi gereken şey, NIST ve NSA’nın bu algoritmayı oluşturmadığı, yarışmayı değerlendirdiğidir.
    Analizin büyük kısmını rakipler ve akademi yaptı; Kyber ekibinde Roberto Avanzi, Joppe Bos, Léo Ducas, Eike Kiltz, Tancrède Lepoint, Vadim Lyubashevsky, John M. Schanck, Gregor Seiler, Damien Stehlé ve Bernstein’ın işbirliği yaptığı Peter Schwabe de yer alıyordu.

    • Doğru, ama sonuçta kazananı seçen NIST’ti; bu yüzden dışarıdan kolay fark edilmeyen zayıf bir algoritmayı seçme ihtimali vardı.
      Tarihsel olarak çoğu zaman yalnızca kazanan benimsenir. AES yarışmasına bakınca, güvenlik marjının Rijndael’den daha büyük olduğu değerlendirilen Serpent’ten ne kadar sık söz edildiğini düşünmek yeterli.
    • Yanılıyorsam düzeltin. Tüm süreç herkese açık şekilde yürütülmedi mi, isteyen herkes görebiliyordu diye düşünüyorum.
      NIST’in herhangi bir gizli analize dayanarak öneride bulunduğu izlenimini edinmiyorum.
  • Üzücü gerçek şu ki Bernstein haklı olabilir; ama NIST tarafının yanıtını ya da yanıtsızlığını aldatmaca olarak mı görmek gerekir, yoksa çok saldırgan bir tavırla gelen biriyle uğraşmak istememiş olmaları mı söz konusuydu, bunu ayırt etmek zor.
    NIST’te de sıradan insanlar çalışıyor ve çoğumuzun agresif hata raporlarını karşılama biçimine benzer şekilde, keskin açıklama taleplerini öyle karşılamış olmaları muhtemel.
    “2024’te patent lisansı etkinleştiği andan itibaren Kyber kullanın diyerek 3 yıllık kullanıcı verisini saldırganlara açtınız, 2021’den beri NTRU kullanın demediniz” gibi abartılı suçlamalar yardımcı olmuyor. Bağımsız kuantuma dayanıklı kriptografiyi hemen dağıtan yerler de bir süre olmayacak; 2021’de NIST’in önerebileceği birden fazla alternatif de vardı. SIKE, geçen yıl kırılana kadar epey iyi görünüyordu.
    NIST’in bu alanda kusursuz bir itibarı yok, ama algoritmayı ve süreci eleştirmek için neden böyle olduğuna dair kısa bir özet ve bir iki belirleyici kanıt olsa iyi olurdu. Sayısız e-posta analizi, yalnızca tek bir başvuruyla karşılaştırma, herkesin veri emmek için işi ağırdan aldığı türünden suçlamalar, bunu ciddiye almayı zorlaştırıyor. Kyber-512 gerçekten bu kadar tehlikeliyse, daha açık aktarılması gerekir.

    • Bu başvuruyu okurken hissettiklerimle %100 örtüşüyor.
      Sayfanın 17.000 kelime olması da büyük etken. Harry Potter ölçütüne göre bile ortalama bir okurun 70 dakika okuması gereken bir hacim; üstelik bu metin roman değil, sayılarla, dikkate alınacak noktalarla ve NIST alıntıları gibi kelime seçimlerinin tartılması gereken cümlelerle dolu. Zaten kuantuma dayanıklı kriptografiyi anlayacak kadar arka planınız olsa bile normal bir kitap gibi hızlı okumak zor.
      Başlarda “That lawsuit has been gradually secret NIST documents, shedding some light on what was actually going on behind the scenes” bağlantısına tıkladım ve başka bir yazının içine çekildim; o bağlantılı sayfa da 54.000 kelimeydi. Mobilde kaydırma çubuğu olmadığı için hacmi bilmeden doğrusal biçimde göz gezdirirken, bir noktada doktora araştırma projesine kaydolmuşum gibi hissettim, sekmeyi kapatıp asıl yazıya döndüm.
      HN okurları zeki ve teknik insanlar olsa da alanları çok çeşitli; bu yüzden “NIST=kötü” iddiasını desteklediği söylenen jargon yüklü kanıtları makul biçimde değerlendirmek zor. Yakın bir alanda olduğum için ortalama okurdan daha fazla anladığımı düşünüyorum, ama düzgün okumadan hüküm verecek yeterliliğim olduğunu da hissetmiyorum. Yazı bağlamı ve kısaltmaları açıklıyor, ancak hacim o kadar büyük ki zaten bilen biri değilseniz okumak isteyip istemeyeceğinizi bilemiyorum. Her başvurunun herkes tarafından anlaşılması gerekmez, ama bu metin suçlama içerdiği için HN’ye uygun bir yazı mı, emin değilim.
    • Yazarı djb, Daniel Bernstein’mış; bunu şimdi öğrenince, yakın zamanda HN’de onun eski IPv6 yazısını öven biri olarak durum yarı yarıya ironik oldu.
      Bu yüzden aşağıda söylediklerimin bir kısmını geri alabilirim; en azından djb’nin NIST tavsiyeleriyle yaşadığı geçmişi düşününce agresif tonu daha anlaşılır buluyorum. İlgili bilgi https://en.wikipedia.org/wiki/Daniel_J._Bernstein#Cryptograp... adresinde var.
      Biçimden çok içeriği aşırı önemsemeyi sevmem, ama bu durumda blog yazısının biçimi o kadar kötüydü ki içeriğin değerli olup olmadığını değerlendirmek zordu. Kriptografi alanından biri olmadığım için esasa dair değerlendirme yapamam, fakat gereksiz alaycılık ve küçümseme mesajı çok şüpheli gösterdi. İyi noktalara değiniyor gibi görünse de genel ton “WhaT ThE ElITe DoN'T WanT YoU TO KnoW!!” türü YouTube videolarına benziyordu; söyledikleri doğru olsa bile yazar epey itici geliyor.
      Bunu gerçekten sonuna kadar okuyan biri var mı onu da merak ediyorum. İnternetin dikkat süresini öldürdüğü sözü doğru olabilir; ama tersinden, artık o kadar çok bilgi var ki zamanı nereye harcayacağımızı çok katı biçimde seçiyoruz. Bir blog yazısıysa, ilgili ayrıntılar ve özet ilk birkaç paragrafa konmalı, uzun dolambaçlı günlük kısmı arkaya bırakılmalı. Önemli parçalar uzayıp giden bir günlük içinde Where's Waldo gibi saklıysa, baştan sona okunmasını beklemek zor.
    • Sorunu epey seçici alıntılamışsınız gibi görünüyor. Bernstein’ın kendisi de patent beklemede konusunun küçük meselelerden biri olduğunu söylüyor.
      Onun tekrar tekrar sorduğu asıl şey, değerlendirme ölçütlerinin neden sonradan sürekli değiştirildiği, sonuçların neden yanlış anlaşılacak biçimde sunulduğu ve temel hesaplama hatalarının neden yapıldığı. Bu insanlar uzman; üstelik bütün bu şeyler tek bir algoritmanın lehine işlemiş.
      Benim gözümde bu, o algoritmayı standart yapmak istediklerinin işareti gibi görünüyor. Buna NSA’in katılımının bilindiğinden çok daha büyük olduğu ve bunun gizlenmeye çalışıldığı gerçeğini de ekleyince, bu standarda karşı aşırı şüpheci oluyorum.
    • djb’nin söylediği şey daha çok “NIST’in sunduğu tanıma göre Kyber-512’nin AES-128 kadar kriptografik olarak güçlü olup olmadığı bilinmiyor” gibi görünüyor.
      Bu algoritmalar yakında donanıma gömüleceği için sorun bu.
      Standartlaştırılacak uygulama belli olduğuna göre, donanım üreticilerinin FIPS 203 standardını daha verimli hesaplayacak bloklar tasarlamaya başlaması muhtemel. Hatta birkaçını çoktan tasarlamış olabilirler.
      Standardın 2024’te yayımlanmasının beklendiğini ve FIPS modüllerinin NIST CMVP incelemesinin 1-2 yıl sürdüğünü düşünürsek, 2026 ortalarında ML-KEM (Kyber vb.) içeren FIPS 140-3 donanım modüllerinin ortaya çıkması şaşırtıcı olmaz.
      Esas nokta [1]’deki “Ancak NIST, Kyber-512’nin açıkça belirtilmiş (N,X) için X senaryosunda N bitlik güvenlik payına sahip olduğuna dair açık, uçtan uca bir beyan sunmadı” cümlesi gibi görünüyor.
      djb, [2]’de kendi “X senaryosu” dediği şeyi kısa biçimde özetlediğini ve yalnızca evet/hayır yanıtına ihtiyaç olduğunu söylüyor. O, bu konuyu gerçekten bilmesi gereken ve tartışacak teknik arka plana sahip kişilere soruyor. Yanıt alamadığı için [1]’i yayımlamış.

[3]’teki NIST yanıtı, güvenliğin kendisi üzerine tartışmaya girmeden [1]’i bir kenara atıyor. Özellikle ikinci paragraf can sıkıcıydı. “Alıntılanan e-posta (https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...) kendi adına konuşuyor. NIST, Kyber512’yi standartlaştırmaya yönelik mevcut planın iyi olup olmadığı konusunda insanların görüşleriyle ilgilenmeye devam ediyor. İnceleyiciler, eğlence olsun diye, NIST’in güvenlik marjı hakkında öne sürüyor gibi göründüğü şeyleri çürütmeye çalışma özgürlüğüne sahip olabilir; ancak bunun sonucu standartlaştırma sürecine özellikle yararlı olmayacaktır. NIST’in önceki iddiaları ve bunların yorumları, insanların Kyber512’yi standartlaştırmanın iyi bir fikir olduğuna inanıp inanmadığıyla ilgili değildir”
NIST, inceleyicilerin güvenlikle ilgili iddialarını “standartlaştırma sürecine özellikle yararlı değil” olarak görüyorsa, bu inceleyicilerin kriptograf olduğu düşünüldüğünde kamuoyu neden bu standarda güvenmeli?
Kesin kanıtın olmaması kaçınılmaz. Çünkü mevcut meselenin kendisi net bir açıklamanın yokluğu. Kyber-512’nin güvenlik gücünün nasıl hesaplandığı açıklanabilseydi durum farklı olurdu
Şu anda üçüncü taraf tahminlerine göre Kyber-512’nin güvenlik gücü denen, biraz muğlak değer, başlangıçtaki gereksinimlerden daha düşük çıkıyor; bu yüzden bir açıklama ya da gerekçelendirme gerekli görünüyor
[1]: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...
[2]: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...
[3]: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...

  • Bu yazı isimsiz bir yazı olsaydı katılabilirdim; ama yazarı DJB ya da Tanja Lange ve ikisi de isimsiz kişiler değil
    Bu tür işler bir ölçüde düşmanca olmak zorunda. Kriptoanaliz zaten böyle bir tutum gerektirebiliyor; ayrıca geçmişte birçok şüpheli olay yaşandı. Alanın ve politikanın bir parçası olduğu için kaçınmak zor

  • Bu, bir makaleden çok günlüğe benziyor. Çok fazla teknik terim var, derli toplu değil, aynı noktanın etrafında dönüp duruyor ve takip etmesi çok zor
    Yine de bilginin kendisi önemli olabilir. NIST’in, NSA’in yardımıyla bilerek zayıf bir algoritmayı standartlaştırdığına dair güçlü bir ima var
    Böyle bir şeyin mümkün olduğunu herkes biliyor
    Ancak bu alanı daha yakından takip eden biri varsa, buradaki sayıların ne anlama geldiğini açıklamasını isterim. Açık anahtarlı kriptoyu bu şekilde zayıflatmanın, saldırganın aynı gerçeği bağımsız olarak keşfetmeyeceğini garanti edemediği için tehlikeli bir bahis olduğunu hep düşünmüşümdür. Gizli bir arka kapı anahtarı saklanabilir. Dual_EC_DRBG ortaya çıktığında şüpheler bu yöndeydi. Ama matematiksel sonuçları gerçekten gizlemek zordur
    Burada neden böyle bir riski göze almak istemiş olabilirler?

    • Beklentileri defalarca boşa çıkarmış bir kuruma neden bu kadar baskın biçimde iyi niyetli yorum yapıldığını anlamıyorum
      Artık bu tartışmanın neden gerekli olduğunu da bilmiyorum. Onlara artık ihtiyacımız yok. İhracat kontrolleri de ortadan kalktı
      Gerekli olan şey, donanım üreticilerinin dikkatini çekecek ve NIST ile NSA’i yalnızca katılımcı statüsüyle sınırlayacak bir konsorsiyum. O zaman hükümet arka kapılı standartları benimsese bile yalnızca kendileri kullanmış olur
    • NSA’in başkalarının şifrelemesinin düzgün çalışmasını önemsediğini varsayıyorsunuz
      Bunu neden umursasınlar ki?
    • Belirli saldırı türleri, pratikte ancak belirli bir özel anahtar varsa arka kapı gibi çalışır
      NIST eliptik eğrilerinde ne olmuş olabileceğine dair mevcut tahmin bu yönde
      Öyleyse çok uzun süre boyunca fiilen yalnızca ABD’ye ait bir arka kapı olabilir
    • NSA, DES anahtarını 64 bitten 56 bite zayıflattı
      Saldırı konusunda önde kalabileceklerini ve 56 bitlik anahtarlar genel olarak fazla zayıf hâle geldiğinde DES’in yerini başka bir şeyin alacağını düşünüyorlardı. Riskli miydi? Evet. Ama bir anlamda “başarılı” oldu. Bu yüzden benzer bir şeyin bir daha yaşanmayacağını varsaymam
    • Genel fikir, başka ülkeler veya aktörler keşfetmeden önce birkaç yıl kazanmak
      Bunun arkasındaki teoriye kleptografi (kleptography) deniyor. Bu aynı zamanda NSA’in bilgiyi “güvenli” biçimde çalabileceğini sanacak kadar sanrılı olduğu anlamına da geliyor
  • Geçen yıl 443 yorum alan ilgili bir başlık vardı
    https://news.ycombinator.com/item?id=32360533 ("NSA, NIST, and post-quantum crypto: my second lawsuit against the US government (cr.yp.to)")

  • “NISTPQC’nin gizli çalışma biçimini ortaya çıkarmak. Mart 2022’de ‘NSA, NIST, and post-quantum cryptography’ adlı bir FOIA talebi yaptım. NIST yasayı çiğneyerek işi sürüncemede bıraktı. Sivil haklar hukuk bürosu Loevy & Loevy benim adıma dava açtı”
    Kişisel olarak djb’den genelde hoşlanmam ama profesyonel olarak federal hükümeti mahkemede düzenli biçimde sıkıştırdığı için her zaman desteklerim. Hâlâ bunu sürdürdüğünü görmek beni çok sevindirdi

    • Kişisel olarak neden hoşlanmadığını merak ettim
  • DJB’nin kriptografide önemli bir figür olması ve benim burada ayrıntıların epey çoğunu bilmemem bir yana, güvenilirliğin ciddi biçimde düştüğü bir nokta vardı
    Özellikle grafik kısmında “NIST, bant genişliği grafiğinde daha az vurgulamak için daha ince kırmızı çubuklar kullanmaya karar verdi” diyor; ancak gösterdiği kanıt bunu hiç kanıtlamıyor. Çok daha makul bir açıklama var. Çubukları daha ince olan grafik, diğer grafikten daha fazla veri noktasına sahip bir çubuk grafik. Herhangi bir grafik aracını açıp 12 veri noktalı bir grafikle 9 veri noktalı bir grafiği karşılaştırırsanız, 12’lik olanın çizgilerinin incelmesi gayet doğal. Bu noktada, her eylemi mümkün olduğunca kötü niyetli yorumlamaya çalıştığı güçlü biçimde hissediliyordu
    Bir sonraki maddede, değerler aynı basamak aralığında olmasına rağmen logaritmik eksen kullanılmamasından şikâyet ediyor. Logaritmik eksen için iyi bir örnek gibi gelmiyor ve bu durumda neden gerekçelendirilebileceğini pek anlayamıyorum
    DJB’nin NTRU’ya dahil olduğunu bilince, bunun önemli bir kısmının yarışmayı kaybetmeye verilmiş buruk bir tepki olduğu hissinden kurtulmak zor

    • Çeşitli hükümetlerin ve kamu kurumlarının halkın güçlü şifrelemeye erişimini bilinçli olarak sınırlamaya çalıştığı uzun ve ayrıntılı geçmişe bakınca, burada varsayılan olarak kötü niyet kabul eden yaklaşıma katılma eğilimindeyim
      Bunun dışında bir varsayım yapmak en azından bana oldukça safça geliyor
    • Okumaya devam ederseniz, elle kabaca geçiştirilmiş hesaplamalarla ilgili açıklama taleplerine yanıt vermediklerini görürsünüz
      Şüphelenmek için fazlasıyla neden var
    • Kriptografi için gereken teknik bilgiye sahip kişi sayısı dünyada çok fazla değil
      Bu alandaki rakiplerin birbirlerinin çalışmalarını incelemesi doğal
    • Not olarak, NTRU’nun iki türü var. Orijinal NTRU’da djb yer almadı, NTRU Prime’da ise yer aldı
  • Kriptografların alevli kavgalarını profesyonel olarak izlerken öğrendiğim şey: Bernstein’a karşı bahse girme ve NIST’e güvenme

  • NIST yanıt verdi: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/W2VO...

  • N(IST)SA’e ne kadar güven kaldığından emin değilim
    curve25519’un onların P eğrilerinden daha yaygın kullanılması cesaret verici; umarım topluluk bu yönde ilerlemeyi sürdürür ve gelecekte onları büyük ölçüde görmezden gelir
    Hükümet öncülük etmemeli ya da karar verici olmamalı. FIPS, düzenlemeler vb. için mevcut mutabakatı toplama ve izleme rolü etrafında yapılandırmak daha iyi olur