Matematikçiden uyarı: NSA yeni nesil şifreleme standartlarını zayıflatıyor olabilir
(newscientist.com)- Kuantum bilgisayarların mevcut şifrelemeyi etkisiz hâle getirebileceği endişeleri sürerken, Daniel Bernstein, NIST’in kuantum sonrası kriptografi standartlaştırmasında NSA’nin rolünü ve güvenlik hesaplarını yeterince açık ortaya koymadığını eleştiriyor
- NIST, 2012’den bu yana PQC standardizasyonu üzerinde çalışıyor; Bernstein, NSA’nin yeni standartlara gizli zayıflıklar yerleştirmeye çalıştığını düşünürken NIST bunu reddediyor
- Tartışma başlıklarından biri olan Kyber512 konusunda Bernstein, NIST’in güvenlik düzeyini olduğundan yüksek değerlendirdiğini savunuyor; NIST’ten Dustin Moody ise bunun bilimsel kesinliğin bulunmadığı bir alan olduğunu söyleyerek buna katılmıyor
- NIST, Kyber512’nin AES-128 düzeyinde birinci seviye gereksinimini karşıladığını değerlendirirken, pratik kullanım için geliştiricilerin önerisi doğrultusunda daha güçlü Kyber768’i tavsiye ediyor
- Snowden ifşalarından sonra NIST şeffaflık yönergelerini güçlendirdiğini söylese de, Bernstein’ın bilgi edinme başvuruları ve davası, şifreleme standardı seçim sürecinin dışarıdan doğrulanabilir olup olmadığı sorusunu açık bırakıyor
Kuantum sonrası kriptografi standardizasyonu tartışması
- University of Illinois Chicago’dan Daniel Bernstein, NIST’in kuantum sonrası kriptografi standartlarını geliştirirken NSA’nin müdahil olma düzeyini kasıtlı olarak belirsizleştirdiğini düşünüyor
- Bernstein, yeni standartların güvenlik seviyesi hesaplarında hata ya da kasıtlı yanlışlıklar da olabileceğini öne sürüyor
- NIST bu iddiaları reddediyor ve Bernstein’ın analizine katılmadığını belirtiyor
- Bernstein’ın temel talebi, şifreleme standartlarını seçen kurumların açık kurallara şeffaf ve doğrulanabilir biçimde uyması gerektiği
- NIST’in şeffaflık sözü verdiğini, ancak tüm çalışmaları kamuya açtığını söylemenin doğru olmadığını düşünüyor
PQC standartları neden önemli
- Bugün verileri korumakta kullanılan matematik problemlerini, günümüzün en büyük süper bilgisayarlarıyla bile pratikte çözmek son derece zor
- Kararlı ve güçlü kuantum bilgisayarlar ortaya çıkarsa, mevcut şifreleme yöntemleri çok hızlı biçimde kırılabilir
- Böyle bilgisayarların ne zaman ortaya çıkacağı belirsiz olsa da, NIST 2012’den beri kuantum bilgisayar saldırılarına dayanıklı yeni algoritmalar için bir standardizasyon projesi yürütüyor
- Bernstein, 2003 yılında bu tür algoritmaları tanımlamak için post-quantum cryptography terimini ortaya atan kişi
- NIST standartları dünya genelinde kullanılabileceği için, içlerinde bir kusur bulunması hâlinde etkisi de çok geniş olabilir
Kyber512 güvenlik hesabı üzerindeki anlaşmazlık
- Bernstein, yakında yayımlanacak PQC standart adaylarından biri olan Kyber512 için NIST’in yaptığı hesabın “açıkça yanlış” olduğunu savunuyor
- Temel eleştirisi, NIST’in iki sayıyı toplaması gereken daha doğru bir durumda çarpma kullanması ve bunun sonucunda Kyber512’nin saldırılara direncinin gerçekte olduğundan daha yüksek görünmesi
- NIST’ten Dustin Moody bu analize katılmıyor
- Bu konuda bilimsel kesinlik bulunmadığını ve zeki insanların farklı görüşlere sahip olabileceğini söylüyor
- Bernstein’ın görüşüne saygı duyduğunu, ancak vardığı sonuca katılmadığını belirtiyor
- Moody, Kyber512’nin NIST’in birinci seviye güvenlik kriterini karşıladığını düşünüyor
- Bu, yaygın kullanılan mevcut algoritmalardan AES-128 kadar zor kırılma düzeyini ifade ediyor
- Pratik kullanım için daha güçlü Kyber768 öneriliyor
- Moody’ye göre Kyber768 önerisi, algoritmanın geliştiricilerinden gelmişti
Standardın kesinleşme takvimi ve Kyber’in konumu
- NIST şu anda kamuoyu görüşü toplama sürecinde
- PQC algoritmaları için nihai standartların gelecek yıl yayımlanması umut ediliyor
- Standartlar kesinleştiğinde kurumlar yeni algoritmaları benimsemeye başlayabilecek
- Kyber, seçim sürecinin birçok aşamasını zaten geçtiği için nihai standartta yer alma olasılığı yüksek görünüyor
Geçmiş örneklerin yarattığı güven sorunu
- NSA’nin PQC standartları üzerinde gerçekte ne kadar etkisi olduğu, kurumun gizliliği nedeniyle kesin olarak söylenemiyor
- NSA’nin şifreleme algoritmalarını kasıtlı olarak zayıflattığına dair iddialar ve söylentiler uzun süredir var
- 2013’te The New York Times, NSA’nin bu tür çalışmalar için 250 milyon dolar bütçesi olduğunu aktarmıştı
- Aynı yıl Edward Snowden tarafından sızdırılan istihbarat belgeleri, NSA’nin şifreleme algoritmalarına kasıtlı olarak arka kapı yerleştirdiğini gösteriyordu
- Söz konusu algoritma daha sonra resmî standartlardan çıkarıldı
NIST’in yanıtı ve şeffaflık savı
- Moody, NIST’in NSA’nin talebi üzerine standartları kasıtlı olarak zayıflatmayı hiçbir zaman kabul etmediğini söylüyor
- Moody’nin açıklamasına göre, eğer gizli bir zayıflık varsa bu NIST’in haberi olmadan eklenmiş olmalıydı
- Snowden ifşalarından sonra NIST, kriptografi uzmanlarının güvenini yeniden kazanmak için şeffaflık ve güvenlik yönergelerini güçlendirdiğini belirtiyor
- Moody, NSA gündeme geldiğinde her zaman kaygı duyan kriptograflar bulunduğunu ve NIST’in NSA ile etkileşimlerini olabildiğince açık ele almaya çalıştığını söylüyor
- Moody’ye göre NSA de gizli bir istihbarat kurumu olmanın sınırları içinde daha açık olmaya çalıştı
- NSA, New Scientist’in yorum talebine yanıt vermedi
- Moody, kararları NIST’in verdiğini söyleyebileceğini, ancak NIST’in içinde olmayan biri için bunu doğrulamanın bir yolu olmadığını kabul ediyor
Bilgi edinme başvurularıyla ortaya çıkan belgeler
- Bernstein, NIST’in NSA’nin katkı düzeyini açıklamadığını ve kendi bilgi taleplerini engellediğini savunuyor
- Bilgi edinme başvurusu yaptı ve NIST’e karşı dava açarak NSA’nin müdahiline ilişkin ayrıntıların açıklanmasını sağladı
- Bernstein’a açıklanan belgelerde, “Post Quantum Cryptography Team, National Institute of Standards and Technology” olarak tanımlanan grupta çok sayıda NSA mensubunun yer aldığı belirtiliyor
- Belgelerde ayrıca NIST’in, Birleşik Krallık’ta NSA’nin karşılığı sayılan GCHQ yetkilileriyle görüştüğü de yer alıyor
Dış uzman değerlendirmesi
- University of Surrey’den Alan Woodward, şifreleme algoritmalarına temkinli yaklaşmak için nedenler olduğunu düşünüyor
- Örnek olarak 1990’lar ve 2000’lerde cep telefonu ağlarında kullanılan GEA-1 kodunu veriyor
- Bu kodda, normalden milyonlarca kat daha az hesaplama gücüyle kırılabilmesini sağlayan bir kusur bulunmuştu
- Bu kusuru kimin yerleştirdiği ise doğrulanmadı
- Woodward, mevcut PQC adaylarının akademi ve sanayide yoğun biçimde incelendiğini ve şimdiye kadar yetersiz olduklarının gösterilmediğini söylüyor
- Önceki yarışma aşamalarındaki bazı diğer algoritmalar, kusurları kanıtlandığı için elenmişti
- Woodward, istihbarat kurumlarının geçmişte şifrelemeyi zayıflattığını, ancak adaylar üzerinde çok kapsamlı güvenlik analizleri yapıldığı için Kyber’e bir tuzak yerleştirilmiş olmasına şaşıracağını belirtiyor
1 yorum
Hacker News yorumları
Moody’nin “Elimizden gelen tek şey, odada kararları alan tarafın NIST olduğunu söylemek; buna inanmıyorsanız NIST’in içinde olmadıkça bunu doğrulamanın yolu yok” sözleri tam da sorun
NIST gibi önemli bir kurum; tüm toplantıları, notları, mola arası konuşmaları bile ilgilenen herkesin inceleyebileceği kadar şeffaf değilse kapatılmalı ve kamunun hakkıyla hizmetinde olan bir kuruluşla değiştirilmelidir
Teknolojiyi çarpıtıp her yönden gözetim dünyası yarattık ve bunu sıradan vatandaşların özel hayatına bakmak için kötüye kullandık
Gözetim ve denetim teknolojilerinin meşru kullanım alanları varsa, ahlaken mahremiyetlerinin bir kısmından vazgeçmesi gereken kişiler Kongre’de, yerel meclislerde, devlet kurumlarında ve standartlaştırma kuruluşlarında kamu görevi yapanlardır
Sadece “söylemek” değil, kanıtlamak gerekir; kanıtlayamıyorlarsa yerlerini kamu yararına daha uygun bir liderliğe bırakmalıdırlar
Yükü muazzam olurdu ama paralel bir evrende doğal da gelebilirdi. Sonuçta temsilciler bize hesap vermek zorunda
İnsanları gözetlemek için şifrelemeyi zayıflatmaya gerek yok. Dans eden bir tavşan gösterip o tavşanı görmek için “kişilere erişime izin ver”, “kameraya erişime izin ver”, “mikrofona erişime izin ver”, “belgelere erişime izin ver”e bastırmanız yeterli
Biraz daha rafine söylersek, dans eden tavşanın yerine ücretsiz hizmetleri koyun
Buna bulut komuta-kontrol yapılarının daha fazla benimsenmesini ekledikçe gözetim daha da kolaylaşır. Bulut sağlayıcının içinde erişimi olan herkes, neredeyse gerçek zamanlı olarak herkesin davranışlarına tap atabilir; bu, sağlayıcının kendisi fark etmeden bile mümkün olabilir. Bu tür hizmetleri ne kadar çok kullanırsak o kadar çok veri noktasını teslim ederiz; bunlar birleşerek hakkımızda neredeyse gerçek zamanlı epey bilgi üretir
Etik açıdan herkesin nasıl bakacağı belli, ama tartışma adına NIST ya da NSA açısından bakalım: Belirli bir tehdit yüzünden NIST’in veya NSA’in bir arka kapı yerleştirmesi gerektiğine inanabilirler
Bunun için NIST’in, çok dar bir meselede kullanabileceği büyük bir toplumsal güven sermayesini ve sektör güvenini koruması gerekir
Ancak yıllar içinde Dual EC DRBG gibi yeterince tuhaf olay yaşandı ve özellikle kriptografik tasarımda o güvenden neredeyse bir şey kalmadı. NIST’in öne çıkardığı en yeni ECC standartlarının, AES kamuya açıklandığı zamana kıyasla çok daha az güven gördüğü izlenimindeyim; bu güvensizliği doğurabilecek birkaç büyük olay da akla geliyor
Sonuçta NIST sektör üzerindeki etkisinin büyük kısmını kaybeder; bu da NIST’in kendisi için de iyi değildir
Açıkçası modern şifrelemenin temelde tehlikeye atılmış olduğunu düşünüyorum. Kumar, kimin bunu hangi şekilde zayıflattığına ve onların verilerime erişmeye çalışma olasılığının ne olduğuna bağlı
Makale biraz tuhaf; güvenlik sektöründe çalışan biri olarak durumu şöyle özetleyebilirim
Saygın bir güvenlik araştırmacısı olan Bernstein, geçen hafta uzun bir blog yazısı yayımlayıp yeni kuantuma dayanıklı kriptografi algoritmasına yönelik NIST standartlaştırma sürecini eleştirdi. Odak noktası anahtar kapsülleme mekanizması, yani TLS anahtar değişimi gibi alanlar; büyük adaylar Kyber ve Bernstein’ın ortak yazarlarından olduğu NTRU
Temel şikâyet, NIST’in seçim sürecini gevşek yürütürken belirli bir güvenlik eşiğini çok az farkla kaçıran hızlı bir NTRU varyantını elemiş olması. O varyant çıkarılınca NTRU olduğundan daha yavaş ve daha az esnek görünüyor
Buna karşılık NIST, benzer hızdaki bir Kyber varyantını istikrarsız varsayımlara dayanarak kabul etti. Bernstein uzun uzun bunun da güvenlik eşiğini karşılamadığını ve elenmesi gerektiğini savunuyor. İlginç olan, NIST’in Kyber’in güvenliğini savunurken Bernstein’ın kendi araştırmasını görünüşe göre hatalı bir biçimde kullanmış olması
NIST’in bilinmeyen nedenlerle bir algoritmayı diğerine tercih etmiş gibi göründüğü uygunsuz bir hava var. Yazının başlarında Bernstein, NIST’in iç süreçleri hakkında daha fazla bilgi açıklatmak için açtığı son davanın sonucunu da gösteriyor; NIST ve NSA’in daha önce bilinenden daha sık görüştüğü anlaşılıyor
Benim yorumum, NSA’in gündemi dayatmasından ziyade NIST’in algoritma değerlendirmesinde iç hatalar yaptığı yönünde. Bernstein’ın kendi algoritmasının seçilmeyeceği endişesiyle gücenip dolaylı taktikler kullandığı da düşünülebilir; ancak itibarı çok iyi ve NIST’in önemli hatalar yaptığı, yeterince şeffaf olmadığı konusunda ikna edici argümanlar sunuyor
https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
https://blog.cr.yp.to/20231003-countcorrectly.html
https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
Ben de akademisyenim ve bu yazıya da böyle bakılmalı
Geçen haftanın tamamında kriptografların Bernstein’ın o blog yazısının tam olarak ne anlama geldiğini anlamaya çalıştığı ortamlardaydım; The New Scientist’ten Matthew Sparkes’ın bunu onlardan daha iyi anladığına inanmak zor
Sparkes Bernstein’la doğrudan görüşmüş de değil; burada NIST alıntılarıyla ilgilenen kimse de yoksa bu makalenin mükerrer olarak ele alınması doğru görünüyor
DJB ile NIST hikâyesi her gündeme geldiğinde mutlaka “önemsiz görünebilir ama kusursuz bir sicili var, ona inanmak gerekir” tepkisi çıkıyor.
Buna biraz itiraz etmek istediğim için bu Twitter dizisini linkliyorum:
https://nitter.net/FiloSottile/status/1555669786826244096
Bernstein ve meslektaşlarının diğer kriptografları tehdit etme örüntüsü olduğunu gösteriyor.
Hem mükemmel bir kriptograf hem de küçük hesaplar peşinde biri olabilirsiniz; ikisi birbirini dışlamaz.
Tweetler, DJB’nin algoritmaları sunan bilim insanlarının NSA tarafından satın alındığını ima ettiğini söylüyor; oysa bu, DJB’nin yazdığını tamamen yanlış anlamak. Onun iddiası, NSA’in bu bilim insanlarına rüşvet vermesine bile gerek olmadığı yönündeydi. Zaten yıllar önce alandaki en iyi uzmanları işe aldığı için, sunulanların çok ilerisinde olabilir; bu durumda NIST’in, nasıl kırılacağını bildikleri algoritmaları seçmesi için sadece bastırması yeterli olur, mantığı buydu.
Bu konu hakkında bilgim olmadığı için DJB’nin iddiasının, diziyi yazanın 3. tweetteki GIF ile ima ettiği gibi delice bir paranoya olup olmadığına karar veremem. Ama görünen tek şey, yazarın iddiasının DJB’nin yazdıklarını ciddi biçimde çarpıttığı.
Örneğin DJB’nin kötü olduğuna kanıt olarak kullanılan referanslardan biri, bir süre hastalık izni aldıktan sonra işverenin şirket doktoruyla görüşmesini önermesini hakaret olarak algıladığından şikâyet ediyor. Oysa Hollanda’da bu %100 standart prosedürdür; o doktor şirket çalışanı değil, bağımsızdır ve gizliliğe uyar.
Bu, süresiz olarak gerekçe belirtmeden hasta olduğunu iddia edip maaş almaya devam etmeyi bekleyememeniz, ama işverenin de tıbbi kayıtlarınızı bilme hakkı olmaması çatışmasını çözme yöntemidir. Hem tıbbi gizlilik hem de uzun süreli hastalık izni güvence altına alınırken, işveren de tarafsız bir doktorun uygun adımların atıldığını doğruladığına güvenebilir.
Bu mesele, DJB, yazar ve çalıştıkları üniversite arasındaki çatışmanın bir parçası olarak ortaya çıkıyor. Bunun dışında da DJB ve başkalarının istismarı görmezden geldiği iddiaları içinde, yerel sistemi bilmemekten kaynaklanmış gibi görünen kısımlar ima ediliyor.
Yazılanların çoğuna inanıyorum; ama aynı zamanda yeni taşınılan hukuk sistemini iş arkadaşları, arkadaşlar veya Google/DDG üzerinden öğrenmemiş olmanın sorunu büyüttüğü de açık görünüyor. DJB de hukuki yola başvurmayı önermiş, İK ise arabuluculuk önermiş; fakat ilgili kişi ikisini de reddetmiş. Bu yüzden şu an kanıt, blogda yazan kişinin sözlerinden ibaret ve fail olarak işaret edilen kişiler hiçbir sonuçla karşılaşmamış.
Bu referanslar DJB=kötü yönünde ikna edici olabilir; ama aynı zamanda tek taraflı anlatıdan daha fazla bağlam olabileceğini de düşündürüyor.
curve25519’u tasarlamak, pratik etkisi bakımından RSA veya Diffie-Hellman’ın icadıyla aynı kategoriye konabilecek bir başarı bence. Fikir yeni olduğu için değil, gerçekten “öylece çalışan” bir biçimde bir araya getirildiği için. Geçersiz eğri noktaları, twist saldırıları, nokta ikiye katlamada yanlışlıkla toplama formülleri kullanma gibi şeyleri dert etmeniz gerekmiyor.
Parametre seçimini içine taktığınız ve bunların yalnızca bir kısmının güvenli olabileceği bir framework yerine, tek bir işi iyi yapan bir kripto kütüphanesi yapılabileceği fikri, o dönemde kimsenin böyle yapmaması ölçüsünde yeterince yeniydi. Gerçek bir anahtara ihtiyaç duyulduğunda çoğu kişinin
ssh-keygen -t ed25519ya da başka sistemlerdeki eşdeğer komutu kullanması bunu gösteriyor.GitHub’ın ssh-dss anahtar türünü kullanımdan kaldırıp ed25519’u ve varsayılanları önermesi de aynı şekilde. Elektronik imzada Ed25519 ile DSA/ECDSA rekabeti Bernstein’ın açık ara zaferi ve NIST’in itibar kaybıydı. Kötü niyet kanıtı yok; ama ECDSA’nın Schnorr protokolünü neden bu kadar feci bozarak birçok uygulamanın korkunç güvenlik açıkları üretmesine yol açtığına dair makul bir açıklama hâlâ duymadım.
Snowden sızıntıları ve DUAL_EC de var. “NSA geçmişte kripto standartlarına müdahale etti; güvenilir sızıntılar bunun görev tanımının parçası olduğunu gösteriyor ve bunu yeniden yapabilir” demek, bana sıradan komplo teorisinden epey uzak, makul kanıtlarla desteklenen bir ifade gibi geliyor. Ay’a inişin sahte olduğu iddialarıyla aynı alanda değil.
Ayrıca Bernstein’ın kötü olabileceği birçok yol arasında, bildiğim kadarıyla ona hiç yöneltilmemiş olanlar da çok. Cinsel saldırı veya tecavüz iddiaları yok; özellikle ırkçı sözler söylediğini ya da aşırı sağ ideolojiyi yaydığını da bilmiyorum. Teknik konularda aynı fikirde olmadığı insanlara hakaret ettiği ve zaman zaman tehdit ettiği yönünde suçlamalar var; ama bu, genelde “kötü/şeytani biri, mümkünse uzak durulmalı” anlamıyla aynı değil.
Kripto protokol tasarımında oldukça kusursuz bir sicili, insan ilişkilerinde ise epey lekeli bir sicili olduğunu söyleyebilirim. Gerçekten aptalca veya kötü niyetli tasarım kararlarına karşı çıkarken bu bir varlık; ama diğer birçok durumda değil.
“Onun yöntemi NIST tarafından benimsenmezse, insanlar bunun arka kapısı olmadığı için olduğunu düşünecek ve FOIA davasını kanıt gösterecek” kısmı kilit nokta.
Yazarın motivasyonlarını konuşurken ne yazık ki NIST’in hesaplama hatasını gözden kaçırabiliriz.
NIST’in temel hatası, toplanması gereken iki maliyeti yanlışlıkla çarpmasında yatıyor. Bu iddia doğruysa taslağı en azından yeniden gözden geçirip düzeltmek ihtiyatlı bir tutum olur.
Önceki tartışma: https://news.ycombinator.com/item?id=37756656
İronik biçimde, DJB’nin meslektaşlarına ve NIST’e yaklaşım tarzı ve söyledikleri, iddiası inandırıcı olabilecek olsa bile, her iki tarafı da bu iddiaya sırt çevirmeye itme ihtimali yüksek
DJB’nin NIST’te hissettiği “direniş”, düşmanca davranan ve giderek tuhaflaşan bir sivil kişiyle muhatap olmak istememelerinden kaynaklanıyor olabilir
NIST’ten Dustin Moody’nin “Onun analizine katılmıyoruz. Bilimsel kesinliği olmayan bir konu ve zeki insanlar farklı görüşlere sahip olabilir. Dan’in görüşüne saygı duyuyoruz ama katılmıyoruz” demesi popüler bilim yazısı için iyi olabilir, ama ben ve birçok kişi bu analizin ayrıntılarının düzgünce ele alındığını görmek istiyoruz
DJB bu fırsatı yaratabilirdi ama berbat etti. Yine de bu, onun Kyber-512 güvenlik düzeyi hesaplaması hakkındaki soruların yanıtsız kalabileceği anlamına gelmez
Mesele bu değil. DJB, NSA’in “3 + 3 = 9”a benzer bir iddiada bulunduğunu söylüyor gibi; bu iddia ya doğrudur ya da yanlıştır
Makale ödeme duvarının arkasında olduğu için yorumları gördükten sonra bunu aşmakla uğraşmayı düşünmüyorum, ama ödeme duvarından önce görünen bu tür bir cümle tamamen dürüstlükten uzak
Dan Bernstein Qmail, DJBDNS ve kriptografik algoritmalar oluşturdu
https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
Qmail
https://en.m.wikipedia.org/wiki/Qmail
Djbdns
https://en.m.wikipedia.org/wiki/Djbdns
https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein
Şifreleme, diğer pek çok şey gibi, devletin ellerine bırakılamayacak kadar önemli