1 คะแนน โดย GN⁺ 2023-10-15 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ท่ามกลางความกังวลว่าคอมพิวเตอร์ควอนตัมอาจทำให้การเข้ารหัสแบบเดิมใช้การไม่ได้ Daniel Bernstein วิจารณ์ว่าการกำหนดมาตรฐาน post-quantum cryptography ของ NIST ไม่ได้เปิดเผยการมีส่วนร่วมของ NSA และการคำนวณด้านความปลอดภัยอย่างเพียงพอ
  • NIST ดำเนินการเรื่อง การกำหนดมาตรฐาน PQC มาตั้งแต่ปี 2012 และ Bernstein มองว่า NSA พยายามใส่จุดอ่อนลับลงในมาตรฐานใหม่ แต่ NIST ปฏิเสธข้อกล่าวหานี้
  • สำหรับประเด็นถกเถียงอย่าง Kyber512 Bernstein อ้างว่า NIST ประเมินความปลอดภัยสูงเกินจริง ขณะที่ Dustin Moody ของ NIST ไม่เห็นด้วย โดยระบุว่านี่เป็นพื้นที่ที่ยังไม่มีความแน่นอนทางวิทยาศาสตร์
  • NIST มองว่า Kyber512 ผ่านเกณฑ์ level one ในระดับเดียวกับ AES-128 แต่สำหรับการใช้งานจริงกลับแนะนำ Kyber768 ที่แข็งแกร่งกว่า ตามข้อเสนอของนักพัฒนา
  • แม้ NIST จะบอกว่าได้เพิ่มแนวปฏิบัติด้านความโปร่งใสหลังการเปิดโปงของ Snowden แต่คำขอเปิดเผยข้อมูลและคดีความของ Bernstein ยังทิ้งคำถามว่า กระบวนการคัดเลือกมาตรฐานการเข้ารหัสสามารถตรวจสอบจากภายนอกได้จริงหรือไม่

ข้อถกเถียงเรื่องมาตรฐาน post-quantum cryptography

  • Daniel Bernstein จาก University of Illinois Chicago มองว่า NIST จงใจทำให้ระดับการมีส่วนร่วมของ NSA ในการพัฒนามาตรฐาน post-quantum cryptography ดูคลุมเครือ
  • Bernstein อ้างว่าการคำนวณระดับความปลอดภัยของมาตรฐานใหม่ก็อาจมีทั้งความผิดพลาดหรือข้อผิดพลาดโดยเจตนา
  • NIST ปฏิเสธข้อกล่าวหานี้และระบุว่าไม่เห็นด้วยกับการวิเคราะห์ของ Bernstein
  • สิ่งสำคัญที่ Bernstein เรียกร้องคือ องค์กรที่เลือกมาตรฐานการเข้ารหัสต้องปฏิบัติตาม กติกาสาธารณะ อย่างโปร่งใสและตรวจสอบได้
    • เขามองว่าแม้ NIST จะให้คำมั่นเรื่องความโปร่งใส แต่การบอกว่าได้เปิดเผยงานทั้งหมดนั้นไม่เป็นความจริง

ทำไมมาตรฐาน PQC จึงสำคัญ

  • ปัญหาทางคณิตศาสตร์ที่ใช้ปกป้องข้อมูลในปัจจุบันนั้น แทบเป็นไปไม่ได้ที่จะถอดรหัสด้วยซูเปอร์คอมพิวเตอร์ที่ใหญ่ที่สุดในยุคนี้
  • หากมี คอมพิวเตอร์ควอนตัม ที่เสถียรและทรงพลังเกิดขึ้น มันอาจถอดรหัสระบบเข้ารหัสปัจจุบันได้อย่างรวดเร็วมาก
  • ยังไม่แน่ชัดว่าคอมพิวเตอร์แบบนั้นจะมาถึงเมื่อใด แต่ NIST ได้เริ่มโครงการกำหนดมาตรฐานอัลกอริทึมใหม่ที่ทนต่อการโจมตีจากคอมพิวเตอร์ควอนตัมมาตั้งแต่ปี 2012
  • Bernstein เป็นผู้บัญญัติคำว่า post-quantum cryptography เพื่อเรียกอัลกอริทึมประเภทนี้ตั้งแต่ปี 2003
  • มาตรฐานของ NIST สามารถถูกใช้งานได้ทั่วโลก ดังนั้นหากมีข้อบกพร่อง ผลกระทบก็อาจกว้างขวางมาก

ความขัดแย้งเรื่องการคำนวณความปลอดภัยของ Kyber512

  • Bernstein อ้างว่าการคำนวณของ NIST สำหรับ Kyber512 ซึ่งเป็นหนึ่งในผู้สมัครของมาตรฐาน PQC ที่กำลังจะออกนั้น “ผิดอย่างชัดเจน”
  • ข้อวิจารณ์หลักของเขาคือ NIST ใช้การคูณในสถานการณ์ที่ควรใช้การบวกของตัวเลขสองค่าเพื่อให้แม่นยำกว่า ส่งผลให้ความสามารถในการต้านทานการโจมตีของ Kyber512 ถูกประเมินว่าสูงกว่าความเป็นจริง
  • Dustin Moody ของ NIST ไม่เห็นด้วยกับการวิเคราะห์นี้
    • เขาระบุว่าประเด็นนี้ยังไม่มีความแน่นอนทางวิทยาศาสตร์ และคนที่มีความรู้ก็อาจมีมุมมองต่างกันได้
    • เขาเคารพความเห็นของ Bernstein แต่ไม่เห็นด้วยกับข้อสรุปของเขา
  • Moody มองว่า Kyber512 ผ่านเกณฑ์ความปลอดภัย level one ของ NIST
    • นี่คือเกณฑ์ที่หมายถึงยากต่อการถอดรหัสพอ ๆ กับ AES-128 ซึ่งเป็นอัลกอริทึมเดิมที่ใช้อย่างแพร่หลาย
    • สำหรับการใช้งานจริง เขาแนะนำ Kyber768 ที่แข็งแกร่งกว่า
    • เขาระบุว่าการแนะนำ Kyber768 เป็นข้อเสนอจากผู้พัฒนาอัลกอริทึมเอง

กำหนดการยืนยันมาตรฐานและสถานะของ Kyber

  • ขณะนี้ NIST อยู่ในช่วง รับฟังความเห็นสาธารณะ
  • NIST หวังว่าจะเผยแพร่มาตรฐาน PQC ฉบับสุดท้ายในปีหน้า
  • เมื่อมาตรฐานได้รับการยืนยัน องค์กรต่าง ๆ ก็จะเริ่มนำอัลกอริทึมใหม่ไปใช้งานได้
  • เนื่องจาก Kyber ผ่านกระบวนการคัดเลือกมาหลายรอบแล้ว จึงมีแนวโน้มสูงว่าจะถูกรวมอยู่ในมาตรฐานฉบับสุดท้าย

ปัญหาความเชื่อมั่นจากกรณีในอดีต

  • เป็นเรื่องยากที่จะพูดอย่างแน่ชัดว่า NSA มีอิทธิพลต่อมาตรฐาน PQC จริงมากน้อยเพียงใด เนื่องจากองค์กรมีความลับสูง
  • ข้อเสนอและข่าวลือที่ว่า NSA จงใจทำให้อัลกอริทึมการเข้ารหัสอ่อนแอลงนั้นมีมานานแล้ว
  • ในปี 2013 The New York Times รายงานว่า NSA มีงบประมาณ 250 ล้านดอลลาร์ สำหรับงานลักษณะนี้
  • ในปีเดียวกัน เอกสารของหน่วยข่าวกรองที่ Edward Snowden เปิดเผยออกมาระบุว่า NSA จงใจใส่แบ็กดอร์ลงในอัลกอริทึมการเข้ารหัส
    • ต่อมาอัลกอริทึมนั้นถูกถอดออกจากมาตรฐานอย่างเป็นทางการ

คำโต้แย้งของ NIST และคำกล่าวอ้างเรื่องความโปร่งใส

  • Moody กล่าวว่า NIST ไม่เคยตกลงที่จะทำให้มาตรฐานอ่อนแอลงโดยเจตนาตามคำขอของ NSA
  • Moody อธิบายว่า หากมีจุดอ่อนลับจริง มันก็คงถูกใส่เข้ามาโดยที่ NIST ไม่รู้ตัว
  • NIST ระบุว่าหลังการเปิดโปงของ Snowden องค์กรได้เสริม แนวปฏิบัติด้านความโปร่งใสและความปลอดภัย เพื่อกู้คืนความเชื่อมั่นจากผู้เชี่ยวชาญด้านคริปโตกราฟี
  • Moody กล่าวว่าเมื่อใดก็ตามที่มีการกล่าวถึง NSA ก็จะมีนักคริปโตกราฟีที่กังวล และ NIST พยายามจัดการปฏิสัมพันธ์กับ NSA อย่างเปิดเผย
  • Moody อธิบายว่า NSA ก็พยายามเปิดกว้างมากขึ้นภายใต้ข้อจำกัดของการเป็นหน่วยข่าวกรองลับ
  • NSA ไม่ตอบคำขอความเห็นจาก New Scientist
  • Moody ยอมรับว่าแม้เขาจะบอกได้ว่าการตัดสินใจเป็นของ NIST แต่ถ้าไม่ได้อยู่ภายใน NIST ก็ไม่มีวิธีตรวจสอบเรื่องนี้ได้

เอกสารที่ถูกเปิดเผยผ่านคำขอข้อมูล

  • Bernstein อ้างว่า NIST ไม่เปิดเผยระดับการมีส่วนร่วมของ NSA และขัดขวางคำขอข้อมูลของเขา
  • เขายื่นคำขอเปิดเผยข้อมูลและฟ้องร้อง NIST จนทำให้มีการเปิดเผย รายละเอียดการมีส่วนร่วมของ NSA
  • เอกสารที่เปิดเผยแก่ Bernstein ระบุว่ากลุ่มที่ใช้ชื่อว่า “Post Quantum Cryptography Team, National Institute of Standards and Technology” มี สมาชิกจาก NSA อยู่หลายคน
  • เอกสารยังระบุว่า NIST ได้พบกับเจ้าหน้าที่จาก GCHQ ซึ่งเป็นหน่วยงานคู่เทียบของ NSA ในสหราชอาณาจักร

การประเมินจากผู้เชี่ยวชาญภายนอก

  • Alan Woodward จาก University of Surrey มองว่ามีเหตุผลที่จะต้องระมัดระวังกับอัลกอริทึมการเข้ารหัส
  • ตัวอย่างคือโค้ด GEA-1 ที่ใช้ในเครือข่ายโทรศัพท์มือถือช่วงทศวรรษ 1990 และ 2000
    • พบว่าโค้ดนี้มีข้อบกพร่องที่ทำให้สามารถถอดรหัสได้ด้วยปริมาณการคำนวณน้อยกว่าที่ควรเป็นหลายล้านเท่า
    • ยังไม่มีการยืนยันว่าใครเป็นผู้ใส่ข้อบกพร่องนั้น
  • Woodward กล่าวว่าในปัจจุบัน ผู้สมัคร PQC ได้รับการตรวจสอบอย่างเข้มข้นจากทั้งภาควิชาการและอุตสาหกรรม และยังไม่พบว่ามีข้อบกพร่องจนใช้ไม่ได้
  • อัลกอริทึมอื่น ๆ ในรอบการแข่งขันก่อนหน้านี้บางตัวเคยถูกคัดออกหลังพิสูจน์ได้ว่ามีข้อบกพร่อง
  • Woodward มองว่าหน่วยข่าวกรองมีประวัติทำให้การเข้ารหัสอ่อนแอลงจริง แต่เนื่องจากมีการวิเคราะห์ความปลอดภัยของผู้สมัครเหล่านี้อย่างมาก หากมีการฝังกับดักไว้ใน Kyber จริง เขาก็จะประหลาดใจมาก

1 ความคิดเห็น

 
GN⁺ 2023-10-15
ความคิดเห็นบน Hacker News
  • คำพูดของ Moody ที่ว่า “สิ่งเดียวที่เราทำได้คือบอกว่า NIST คือผู้ตัดสินใจในห้องนั้น และถ้าไม่เชื่อ ก็ไม่มีทางตรวจสอบได้เว้นแต่จะอยู่ข้างใน NIST” นั่นแหละคือปัญหา
    ถ้าองค์กรสำคัญอย่าง NIST ไม่โปร่งใสพอให้ทุกคนที่สนใจสามารถตรวจดูการประชุมทั้งหมด บันทึกทั้งหมด ไปจนถึงบทสนทนาช่วงพักได้ ก็ควรถูกยุบและแทนที่ด้วยองค์กรที่รับใช้สาธารณะได้อย่างเหมาะสม
    เราบิดเบือนเทคโนโลยีจนสร้างโลกแห่ง การสอดส่องรอบด้าน และนำมันไปใช้ในทางที่ผิดเพื่อสอดดูความเป็นส่วนตัวของพลเมืองธรรมดา
    หากเทคโนโลยีการสอดส่องและการตรวจสอบมีการใช้งานที่ชอบธรรม คนที่ควรต้องยอมสละความเป็นส่วนตัวบางส่วนในเชิงศีลธรรมคือผู้ที่ทำงานสาธารณะในรัฐสภา สภาท้องถิ่น หน่วยงานรัฐ และองค์กรมาตรฐาน
    ไม่ใช่แค่ “บอก” แต่ต้องพิสูจน์ และถ้าพิสูจน์ไม่ได้ ก็ควรหลีกทางให้ผู้นำที่เหมาะกับประโยชน์สาธารณะมากกว่า

    • ทำให้นึกภาพรัฐบาลที่ต่างจากของเราเล็กน้อย ซึ่งมีหน่วยกำกับดูแลคอยตรวจสอบว่าเจ้าหน้าที่รัฐจะไม่คุยกันเองนอกการประชุมที่เปิดเผยต่อสาธารณะ
      ภาระคงมหาศาล แต่ในจักรวาลคู่ขนานมันอาจดูเป็นเรื่องปกติก็ได้ เพราะผู้แทนต้องรับผิดชอบต่อเรา
    • การสอดส่องรอบด้าน สมัยใหม่ไม่ได้ถูกนำมาใช้ด้วยการทำให้การเข้ารหัสอ่อนแอลง แต่มันถูกฝังอยู่ในแพลตฟอร์มและแอป และผู้คนก็ติดตั้งมันเองโดยสมัครใจเพราะบริการฟรีกับฟีดโซเชียลมีเดียที่ทำให้เสพติด
      ไม่จำเป็นต้องทำให้การเข้ารหัสอ่อนแอลงเพื่อสอดส่องผู้คน แค่เอากระต่ายเต้นให้ดู แล้วทำให้พวกเขากด “อนุญาตเข้าถึงรายชื่อผู้ติดต่อ”, “อนุญาตเข้าถึงกล้อง”, “อนุญาตเข้าถึงไมโครโฟน”, “อนุญาตเข้าถึงเอกสาร” เพื่อจะได้ดูกระต่ายตัวนั้น
      ถ้าพูดให้ดูหรูขึ้น ก็แทนกระต่ายเต้นด้วยบริการฟรี
      ยิ่งมีการนำ โครงสร้างสั่งการและควบคุมผ่านคลาวด์ มาใช้มากขึ้น การสอดส่องก็ยิ่งง่ายขึ้น ใครก็ตามที่เข้าถึงภายในผู้ให้บริการคลาวด์ได้ สามารถดักดูพฤติกรรมของทุกคนได้แทบเรียลไทม์ และอาจทำได้โดยที่ผู้ให้บริการเองไม่รู้ตัว ยิ่งเราใช้บริการเหล่านี้มากเท่าไร ก็ยิ่งส่งมอบจุดข้อมูลมากขึ้นเท่านั้น และเมื่อนำมารวมกัน มันก็สร้างข้อมูลจำนวนมากเกี่ยวกับเราได้แทบเรียลไทม์
    • หมายถึงให้ทำ การสอดส่องตลอด 24 ชั่วโมง ต่อคนที่ทำงานนี้ โดยให้ทุกอย่างที่เก็บรวบรวมมาถูกมองเห็นได้โดยทุกคนงั้นหรือ? สงสัยจริง ๆ ว่าใครจะรับงานแบบนั้น
    • จากมุมของ NIST เองก็ดูสายตาสั้นอย่างยิ่ง
      ในเชิงจริยธรรม ทุกคนคงเห็นชัดอยู่แล้วว่าจะมองอย่างไร แต่ถ้ามองจากมุมของ NIST หรือ NSA เพื่อถกเถียงกัน ก็อาจเชื่อได้ว่าเพราะภัยคุกคามบางอย่าง NIST หรือ NSA จำเป็นต้องใส่แบ็กดอร์
      ถ้าจะทำเช่นนั้น NIST ต้องรักษา ทุนความเชื่อมั่นทางสังคม และความเชื่อมั่นจากอุตสาหกรรมไว้ให้มากพอสำหรับใช้กับประเด็นที่แคบมาก
      แต่ตลอดหลายปีมีเรื่องแปลก ๆ อย่าง Dual EC DRBG มากพอแล้ว และโดยเฉพาะในการออกแบบการเข้ารหัส ความเชื่อมั่นนั้นแทบไม่เหลืออยู่แล้ว ผมรู้สึกว่ามาตรฐาน ECC รุ่นล่าสุดที่ NIST ผลักดันได้รับความไว้วางใจน้อยกว่าตอน AES ถูกเปิดเผยมาก และนึกถึงเหตุการณ์สำคัญหลายอย่างที่ทำให้เกิดความไม่ไว้วางใจแบบนี้ได้
      ท้ายที่สุด NIST จะสูญเสียอิทธิพลต่ออุตสาหกรรมไปมาก ซึ่งก็ไม่เป็นผลดีต่อ NIST เองด้วย
    • แค่ข้อเท็จจริงที่ว่า NIST ไม่โปร่งใส ก็เพียงพอแล้วที่จะสันนิษฐานว่า งานที่เกี่ยวกับการเข้ารหัส ใด ๆ ที่ NIST เข้าไปแตะต้องนั้นถูกทำให้เสียหาย
      พูดตรง ๆ ผมมองว่าการเข้ารหัสสมัยใหม่โดยพื้นฐานแล้วถูกทำให้เสียหายไปแล้ว การพนันอยู่ที่ว่าใครทำให้เสียหายในแบบไหน และมีโอกาสแค่ไหนที่พวกเขาจะพยายามเข้าถึงข้อมูลของผม
  • บทความนี้ดูแปลก ๆ ในฐานะคนทำงานในวงการความปลอดภัย ขอผมสรุปสถานการณ์แบบนี้
    Bernstein นักวิจัยด้านความปลอดภัยที่ได้รับความเคารพ เผยแพร่บล็อกโพสต์ยาวเมื่อสัปดาห์ที่แล้ว วิจารณ์กระบวนการกำหนดมาตรฐานของ NIST สำหรับอัลกอริทึมเข้ารหัสต้านควอนตัมรุ่นใหม่ จุดเน้นคือกลไกการห่อหุ้มกุญแจ หรือส่วนอย่างการแลกเปลี่ยนกุญแจของ TLS และผู้เข้าชิงหลักคือ Kyber กับ NTRU ซึ่ง Bernstein เป็นผู้เขียนร่วม
    ข้อร้องเรียนหลักคือ NIST ดำเนินกระบวนการคัดเลือกอย่างหละหลวม และตัดตัวแปร NTRU แบบเร็วที่พลาดเกณฑ์ความปลอดภัยบางอย่างไปเพียงเล็กน้อยออกไป เมื่อไม่มีตัวแปรนั้น NTRU จึงดูช้าและไม่ยืดหยุ่นกว่าความเป็นจริง
    ในทางกลับกัน NIST ยอมรับตัวแปร Kyber ที่เร็วพอ ๆ กันโดยอิงกับสมมติฐานที่ไม่มั่นคง Bernstein โต้แย้งอย่างยืดยาวว่ามันก็ควรถูกตัดออกเช่นกัน เพราะไม่ผ่านเกณฑ์ความปลอดภัย ที่น่าสนใจคือ NIST ใช้งานวิจัยของ Bernstein เองในการอ้างความปลอดภัยของ Kyber ในลักษณะที่ดูเหมือนผิด
    มีบรรยากาศของความไม่เหมาะสม เหมือน NIST เลือกชอบอัลกอริทึมหนึ่งมากกว่าอีกอัลกอริทึมด้วยเหตุผลที่ไม่ทราบแน่ชัด ช่วงต้นของบทความ Bernstein ยังแสดงผลของคดีความล่าสุดที่เขายื่นเพื่อบังคับให้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการภายในของ NIST ซึ่งดูเหมือนว่า NIST กับ NSA พบกันบ่อยกว่าที่เคยรู้กัน
    การตีความของผมเอนเอียงไปทางว่า NIST ทำ ความผิดพลาดภายใน ในการประเมินอัลกอริทึม มากกว่าจะเป็น NSA ผลักดันวาระอะไรบางอย่าง จะมองว่า Bernstein เจ็บใจที่อัลกอริทึมของตัวเองอาจไม่ได้รับเลือก เลยใช้กลยุทธ์ทางอ้อมก็ได้ แต่เขามีชื่อเสียงดีมาก และนำเสนอได้อย่างน่าเชื่อว่า NIST ทำผิดพลาดสำคัญและไม่โปร่งใสพอ
    https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
    https://blog.cr.yp.to/20231003-countcorrectly.html

    • อยากรู้ว่าทำไมถึงมองแบบนั้น NSA เคยทำเรื่องแบบนี้เป๊ะ ๆ มาแล้วในอดีต แล้วครั้งนี้ทำไมเราต้องสมมติว่าพวกเขามีเจตนาดี?
      https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
    • ถ้าทั้ง “นักวิชาการรู้สึกแย่ที่ไม่ได้รับเครดิต” และ “นักวิชาการอยากช่วยโลก” ต่างก็เป็นไปได้ทั้งคู่ ก็ควรมองความเป็นไปได้แรกให้นานกว่าเสมอ
      ผมเองก็เป็นนักวิชาการ และบทความนี้ก็ควรถูกมองแบบนั้นเช่นกัน
  • ตลอดสัปดาห์ที่แล้ว ผมอยู่ในวงที่นักวิทยาการเข้ารหัสพยายามทำความเข้าใจว่าโพสต์บล็อกของ Bernstein นั้นหมายถึงอะไรกันแน่ และยากจะเชื่อว่า Matthew Sparkes จาก The New Scientist จะเข้าใจได้ดีกว่าพวกเขา
    Sparkes ก็ไม่ได้สัมภาษณ์ Bernstein โดยตรง และถ้าไม่มีใครที่นี่สนใจ คำอ้างอิงจาก NIST บทความนี้ก็ดูเหมือนควรถูกนับว่าเป็นการลงซ้ำ

  • ทุกครั้งที่มีเรื่อง DJB ปะทะ NIST ขึ้นมา ก็มักจะมีปฏิกิริยาแบบ “อาจดูเป็นเรื่องเล็กน้อย แต่เขามีประวัติที่ไร้ที่ติ จึงควรเชื่อเขา” เสมอ
    ผมอยากแย้งเรื่องนี้เล็กน้อย จึงลิงก์เธรด Twitter นี้ไว้
    https://nitter.net/FiloSottile/status/1555669786826244096
    มันแสดงให้เห็นว่า Bernstein และเพื่อนร่วมงานของเขามี รูปแบบการข่มขู่ นักเข้ารหัสคนอื่น ๆ
    คนคนหนึ่งอาจเป็นนักเข้ารหัสที่ยอดเยี่ยมและในขณะเดียวกันก็เป็นคนใจแคบได้ สองอย่างนี้ไม่ได้ขัดกัน

    • ผมไม่ได้ตามขุดลิงก์ทั้งหมดในเธรด Twitter นั้น แต่ทวีตช่วงต้น ๆ หลายอันชวนให้เข้าใจผิดพอสมควร
      ทวีตเหล่านั้นบอกว่า DJB บอกเป็นนัยว่านักวิทยาศาสตร์ที่ส่งอัลกอริทึมถูก NSA ซื้อไปแล้ว แต่นั่นเป็นการเข้าใจสิ่งที่ DJB เขียนผิดอย่างสิ้นเชิง ข้อโต้แย้งของเขาคือ NSA ไม่จำเป็นต้องติดสินบนนักวิทยาศาสตร์เหล่านั้นด้วยซ้ำ เพราะได้จ้างผู้เชี่ยวชาญชั้นนำในสาขานั้นไว้แล้วตั้งแต่หลายปีก่อน จึงอาจนำหน้าอัลกอริทึมที่ส่งเข้ามาไปไกลมาก และถ้าเป็นเช่นนั้นก็แค่ผลักดันให้ NIST เลือกอัลกอริทึมที่ตนรู้วิธีถอดได้
      ผมไม่รู้อะไรเกี่ยวกับประเด็นนี้ จึงตัดสินไม่ได้ว่าข้อกล่าวอ้างของ DJB เป็นอาการหวาดระแวงสุดโต่งอย่างที่ผู้เขียนเธรดสื่อด้วย GIF ในทวีตที่ 3 หรือไม่ สิ่งที่เห็นมีเพียงว่า ข้อกล่าวอ้างของผู้เขียนบิดเบือนสิ่งที่ DJB เขียนอย่างรุนแรง
    • ในเธรดนั้นและเอกสารอ้างอิงมีเรื่องให้แกะเยอะมาก และหลายส่วนก็เป็นการพูดขัดกันไปมา
      ตัวอย่างเช่น เอกสารอ้างอิงหนึ่งที่ใช้เป็นหลักฐานว่า DJB เลวร้าย บ่นว่าหลังจากลาป่วยไประยะหนึ่ง นายจ้างเสนอให้ไปพบแพทย์ของบริษัท และมองว่านั่นเป็นการดูหมิ่น แต่ในเนเธอร์แลนด์ นี่เป็นขั้นตอนมาตรฐาน 100% และแพทย์คนนั้นไม่ได้สังกัดบริษัท เป็นอิสระและรักษาความลับ
      นี่เป็นวิธีแก้ความขัดแย้งระหว่างการที่คนไม่สามารถอ้างว่าป่วยโดยไม่ให้เหตุผลแบบไม่มีกำหนดแล้วคาดหวังว่าจะได้รับเงินเดือนต่อไปได้ กับการที่นายจ้างก็ไม่มีสิทธิรู้เวชระเบียนของลูกจ้าง ระบบนี้รับประกันทั้งความลับทางการแพทย์และการลาป่วยระยะยาวไปพร้อมกัน ขณะที่นายจ้างก็เชื่อได้ว่าแพทย์ที่เป็นกลางกำลังตรวจสอบว่ามีการดำเนินการที่เหมาะสม
      ประเด็นนี้ปรากฏเป็นส่วนหนึ่งของความขัดแย้งระหว่าง DJB ผู้เขียน และมหาวิทยาลัยที่พวกเขาทำงานอยู่ นอกจากนี้ ในข้อกล่าวหาว่า DJB และคนอื่น ๆ ปล่อยให้เกิดการละเมิด ก็มีหลายส่วนที่ดูเหมือนเกิดจากการไม่เข้าใจระบบท้องถิ่น
      ผมเชื่อสิ่งที่เขียนไว้ส่วนใหญ่ แต่ในขณะเดียวกันก็เห็นได้ชัดว่าปัญหาบานปลายขึ้นเพราะไม่ได้พยายามทำความเข้าใจระบบกฎหมายของประเทศที่เพิ่งย้ายไปจากเพื่อนร่วมงาน เพื่อน หรือ Google/DDG มากพอ DJB ก็เสนอให้ดำเนินการทางกฎหมาย และ HR ก็เสนอการไกล่เกลี่ย แต่เจ้าตัวปฏิเสธทั้งสองทาง ดังนั้นหลักฐานตอนนี้จึงมีแค่คำบอกเล่าของเจ้าตัวในบล็อก และคนที่ถูกชี้ว่าเป็นผู้กระทำก็ไม่ได้รับผลใด ๆ
      เอกสารอ้างอิงเหล่านั้นอาจโน้มน้าวไปทางว่า DJB = คนเลว แต่ในขณะเดียวกันก็ทำให้คิดได้ว่าอาจมีบริบทมากกว่าเรื่องเล่าจากฝ่ายเดียว
    • เห็นด้วยอย่างแรง Bernstein เคยถูกบรรยายทำนองว่า “ไม่มีความละเอียดอ่อนพอ ๆ กับ The Incredible Hulk” อาจมีหลายเรื่องที่เขารอดไปได้เพราะเป็นนักเข้ารหัสที่ยอดเยี่ยม
      ผมมองว่าการออกแบบ curve25519 เป็นความสำเร็จที่ในแง่ผลกระทบเชิงปฏิบัติอยู่ระดับเดียวกับการคิดค้น RSA หรือ Diffie-Hellman ไม่ใช่เพราะไอเดียใหม่ แต่เพราะมันถูกประกอบเข้าด้วยกันในรูปแบบที่ “ใช้งานได้เลย” จริง ๆ ไม่ต้องกังวลเรื่องจุดบนเส้นโค้งที่ไม่ถูกต้อง การโจมตีแบบ twist หรือการเผลอใช้สูตรบวกกับการ double จุด
      แนวคิดที่ว่าสามารถสร้างไลบรารีเข้ารหัสที่ทำสิ่งเดียวได้ดี แทนที่จะเป็นเฟรมเวิร์กให้เสียบตัวเลือกพารามิเตอร์ซึ่งมีเพียงบางชุดเท่านั้นที่อาจปลอดภัย เป็นสิ่งที่ใหม่พอในตอนนั้นจนแทบไม่มีใครทำแบบนั้น ข้อเท็จจริงที่ว่าเมื่อจำเป็นต้องใช้คีย์จริง คนส่วนใหญ่ใช้ ssh-keygen -t ed25519 หรือคำสั่งเทียบเท่าในระบบอื่น ๆ ก็บอกเรื่องนี้ได้
      เช่นเดียวกับที่ GitHub เลิกใช้ประเภทคีย์ ssh-dss และแนะนำ ed25519 กับค่าเริ่มต้น ในด้านลายเซ็นดิจิทัล การแข่งขันระหว่าง Ed25519 กับ DSA/ECDSA คือชัยชนะขาดลอยของ Bernstein และ NIST เสียหน้า ไม่มีหลักฐานถึงเจตนาร้าย แต่ผมยังไม่เคยได้ยินคำอธิบายที่สมเหตุสมผลว่าทำไม ECDSA จึงทำให้โปรโตคอล Schnorr เสียรูปไปมากขนาดนั้น จนทำให้การใช้งานจริงจำนวนมากเกิดช่องโหว่ด้านความปลอดภัยที่เลวร้าย
      ยังมีการรั่วไหลของ Snowden และ DUAL_EC ด้วย คำกล่าวว่า “NSA เคยแทรกแซงมาตรฐานการเข้ารหัสมาก่อน การรั่วไหลที่น่าเชื่อถือแสดงให้เห็นว่านั่นเป็นส่วนหนึ่งของพันธกิจ และอาจทำเช่นนั้นอีก” สำหรับผมเป็นคำกล่าวที่มีหลักฐานสนับสนุนอย่างสมเหตุสมผล ไม่ใกล้เคียงกับทฤษฎีสมคบคิดทั่วไปเลย ไม่ใช่เรื่องระดับทฤษฎีว่าการลงจอดบนดวงจันทร์เป็นเรื่องจัดฉาก
      อีกอย่าง ในบรรดาวิธีต่าง ๆ ที่ Bernstein อาจเป็นคนเลวได้ เท่าที่ผมรู้ก็มีหลายอย่างที่ไม่เคยถูกกล่าวหาใส่เขา ไม่มีข้อกล่าวหาเรื่องล่วงละเมิดทางเพศหรือข่มขืน และผมก็ไม่รู้ว่าเขาเคยพูดจาเหยียดเชื้อชาติเป็นพิเศษหรือผลักดันอุดมการณ์ขวาจัด มีข้อกล่าวหาว่าเขาดูหมิ่นและบางครั้งข่มขู่คนที่ไม่เห็นด้วยในประเด็นทางเทคนิค แต่นั่นต่างจากความหมายปกติของ “คนเลว/ชั่วร้ายที่ควรหลีกเลี่ยงถ้าเป็นไปได้”
      ผมมองว่าในงานออกแบบโปรโตคอลเข้ารหัส เขามีประวัติที่ค่อนข้างไร้ที่ติ ส่วนในความสัมพันธ์ระหว่างบุคคล เขามีประวัติที่ค่อนข้างด่างพร้อยจริง ๆ เวลาเผชิญหน้ากับการตัดสินใจออกแบบที่โง่เขลาหรือมีเจตนาร้าย นี่อาจเป็นทรัพย์สินมีค่า แต่ในหลายกรณีอื่นไม่ใช่
    • บริบทนี้สำคัญ
      ประเด็นหลักคือท่อนที่ว่า “ถ้าวิธีของเขาไม่ได้รับเลือกโดย NIST ผู้คนจะคิดว่าเป็นเพราะมันไม่มี backdoor และจะยกคดี FOIA เป็นหลักฐาน”
  • ถ้าพูดถึงแรงจูงใจของผู้เขียน น่าเสียดายที่อาจทำให้พลาด ข้อผิดพลาดในการคำนวณของ NIST ไป
    ข้อผิดพลาดหลักของ NIST อยู่ที่การเอาต้นทุนสองรายการที่ควรบวกกันไปคูณกันผิด ๆ ถ้าข้อกล่าวอ้างนี้ถูกต้อง ท่าทีที่รอบคอบคืออย่างน้อยควรทบทวนและแก้ไขร่างนั้นใหม่

  • การอภิปรายก่อนหน้า: https://news.ycombinator.com/item?id=37756656

  • น่าขันที่วิธีและเนื้อหาที่ DJB ใช้ปฏิบัติต่อเพื่อนร่วมงานและ NIST แม้ข้อโต้แย้งของเขาอาจมีความน่าเชื่อถือ แต่ก็มีแนวโน้มสูงที่จะทำให้ทั้งสองฝ่ายหันหลังให้กับข้อโต้แย้งนั้น
    สิ่งที่ DJB รู้สึกว่าเป็นการ “ยื้อ” ของ NIST อาจเป็นเพียงท่าทีไม่อยากเข้าไปพัวพันกับพลเรือนที่มีท่าทีเป็นปฏิปักษ์และแปลกขึ้นเรื่อย ๆ ก็ได้
    การที่ Dustin Moody จาก NIST กล่าวว่า “เราไม่เห็นด้วยกับการวิเคราะห์ของเขา นี่เป็นประเด็นที่ไม่มีความแน่นอนทางวิทยาศาสตร์ และคนฉลาดก็อาจมีมุมมองต่างกันได้ เราเคารพความเห็นของ Dan แต่ไม่เห็นด้วย” นั้นเหมาะกับบทความวิทยาศาสตร์ยอดนิยม แต่ผมและอีกหลายคนอยากเห็นรายละเอียดของการวิเคราะห์นี้ถูกตรวจสอบอย่างจริงจัง
    DJB เคยมีโอกาสสร้างเวทีนั้น แต่กลับทำพัง อย่างไรก็ตาม นั่นไม่ได้หมายความว่าคำถามเกี่ยวกับ การคำนวณระดับความปลอดภัยของ Kyber-512 ของเขาควรถูกปล่อยไว้โดยไม่มีคำตอบ

    • “เป็นประเด็นที่ไม่มีความแน่นอนทางวิทยาศาสตร์ และคนฉลาดก็อาจมีมุมมองต่างกันได้” นี่มันหมายความว่าอย่างไร
      มันไม่ใช่ประเด็นแบบนั้น DJB กำลังพูดทำนองว่า NSA อ้างอะไรที่คล้ายกับ “3 + 3 = 9” และข้ออ้างนั้นก็ต้องเป็นจริงหรือไม่ก็เท็จอย่างใดอย่างหนึ่ง
      บทความติด paywall เลยหลังจากอ่านคอมเมนต์แล้วก็ไม่คิดจะพยายามข้ามเข้าไปอ่าน แต่ประโยคแบบนี้ที่เห็นก่อน paywall นั้นไม่ซื่อสัตย์เอาเสียเลย
  • Dan Bernstein เป็นผู้สร้าง Qmail, DJBDNS และอัลกอริทึมเข้ารหัส
    https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
    Qmail
    https://en.m.wikipedia.org/wiki/Qmail
    Djbdns
    https://en.m.wikipedia.org/wiki/Djbdns
    https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein

  • การเข้ารหัสนั้น สำคัญเกินกว่าจะปล่อยไว้ในมือของรัฐ เช่นเดียวกับเรื่องอื่น ๆ อีกมากมาย