นักคณิตศาสตร์เตือน: NSA อาจทำให้มาตรฐานการเข้ารหัสยุคถัดไปอ่อนแอลง
(newscientist.com)- ท่ามกลางความกังวลว่าคอมพิวเตอร์ควอนตัมอาจทำให้การเข้ารหัสแบบเดิมใช้การไม่ได้ Daniel Bernstein วิจารณ์ว่าการกำหนดมาตรฐาน post-quantum cryptography ของ NIST ไม่ได้เปิดเผยการมีส่วนร่วมของ NSA และการคำนวณด้านความปลอดภัยอย่างเพียงพอ
- NIST ดำเนินการเรื่อง การกำหนดมาตรฐาน PQC มาตั้งแต่ปี 2012 และ Bernstein มองว่า NSA พยายามใส่จุดอ่อนลับลงในมาตรฐานใหม่ แต่ NIST ปฏิเสธข้อกล่าวหานี้
- สำหรับประเด็นถกเถียงอย่าง Kyber512 Bernstein อ้างว่า NIST ประเมินความปลอดภัยสูงเกินจริง ขณะที่ Dustin Moody ของ NIST ไม่เห็นด้วย โดยระบุว่านี่เป็นพื้นที่ที่ยังไม่มีความแน่นอนทางวิทยาศาสตร์
- NIST มองว่า Kyber512 ผ่านเกณฑ์ level one ในระดับเดียวกับ AES-128 แต่สำหรับการใช้งานจริงกลับแนะนำ Kyber768 ที่แข็งแกร่งกว่า ตามข้อเสนอของนักพัฒนา
- แม้ NIST จะบอกว่าได้เพิ่มแนวปฏิบัติด้านความโปร่งใสหลังการเปิดโปงของ Snowden แต่คำขอเปิดเผยข้อมูลและคดีความของ Bernstein ยังทิ้งคำถามว่า กระบวนการคัดเลือกมาตรฐานการเข้ารหัสสามารถตรวจสอบจากภายนอกได้จริงหรือไม่
ข้อถกเถียงเรื่องมาตรฐาน post-quantum cryptography
- Daniel Bernstein จาก University of Illinois Chicago มองว่า NIST จงใจทำให้ระดับการมีส่วนร่วมของ NSA ในการพัฒนามาตรฐาน post-quantum cryptography ดูคลุมเครือ
- Bernstein อ้างว่าการคำนวณระดับความปลอดภัยของมาตรฐานใหม่ก็อาจมีทั้งความผิดพลาดหรือข้อผิดพลาดโดยเจตนา
- NIST ปฏิเสธข้อกล่าวหานี้และระบุว่าไม่เห็นด้วยกับการวิเคราะห์ของ Bernstein
- สิ่งสำคัญที่ Bernstein เรียกร้องคือ องค์กรที่เลือกมาตรฐานการเข้ารหัสต้องปฏิบัติตาม กติกาสาธารณะ อย่างโปร่งใสและตรวจสอบได้
- เขามองว่าแม้ NIST จะให้คำมั่นเรื่องความโปร่งใส แต่การบอกว่าได้เปิดเผยงานทั้งหมดนั้นไม่เป็นความจริง
ทำไมมาตรฐาน PQC จึงสำคัญ
- ปัญหาทางคณิตศาสตร์ที่ใช้ปกป้องข้อมูลในปัจจุบันนั้น แทบเป็นไปไม่ได้ที่จะถอดรหัสด้วยซูเปอร์คอมพิวเตอร์ที่ใหญ่ที่สุดในยุคนี้
- หากมี คอมพิวเตอร์ควอนตัม ที่เสถียรและทรงพลังเกิดขึ้น มันอาจถอดรหัสระบบเข้ารหัสปัจจุบันได้อย่างรวดเร็วมาก
- ยังไม่แน่ชัดว่าคอมพิวเตอร์แบบนั้นจะมาถึงเมื่อใด แต่ NIST ได้เริ่มโครงการกำหนดมาตรฐานอัลกอริทึมใหม่ที่ทนต่อการโจมตีจากคอมพิวเตอร์ควอนตัมมาตั้งแต่ปี 2012
- Bernstein เป็นผู้บัญญัติคำว่า post-quantum cryptography เพื่อเรียกอัลกอริทึมประเภทนี้ตั้งแต่ปี 2003
- มาตรฐานของ NIST สามารถถูกใช้งานได้ทั่วโลก ดังนั้นหากมีข้อบกพร่อง ผลกระทบก็อาจกว้างขวางมาก
ความขัดแย้งเรื่องการคำนวณความปลอดภัยของ Kyber512
- Bernstein อ้างว่าการคำนวณของ NIST สำหรับ Kyber512 ซึ่งเป็นหนึ่งในผู้สมัครของมาตรฐาน PQC ที่กำลังจะออกนั้น “ผิดอย่างชัดเจน”
- ข้อวิจารณ์หลักของเขาคือ NIST ใช้การคูณในสถานการณ์ที่ควรใช้การบวกของตัวเลขสองค่าเพื่อให้แม่นยำกว่า ส่งผลให้ความสามารถในการต้านทานการโจมตีของ Kyber512 ถูกประเมินว่าสูงกว่าความเป็นจริง
- Dustin Moody ของ NIST ไม่เห็นด้วยกับการวิเคราะห์นี้
- เขาระบุว่าประเด็นนี้ยังไม่มีความแน่นอนทางวิทยาศาสตร์ และคนที่มีความรู้ก็อาจมีมุมมองต่างกันได้
- เขาเคารพความเห็นของ Bernstein แต่ไม่เห็นด้วยกับข้อสรุปของเขา
- Moody มองว่า Kyber512 ผ่านเกณฑ์ความปลอดภัย level one ของ NIST
- นี่คือเกณฑ์ที่หมายถึงยากต่อการถอดรหัสพอ ๆ กับ AES-128 ซึ่งเป็นอัลกอริทึมเดิมที่ใช้อย่างแพร่หลาย
- สำหรับการใช้งานจริง เขาแนะนำ Kyber768 ที่แข็งแกร่งกว่า
- เขาระบุว่าการแนะนำ Kyber768 เป็นข้อเสนอจากผู้พัฒนาอัลกอริทึมเอง
กำหนดการยืนยันมาตรฐานและสถานะของ Kyber
- ขณะนี้ NIST อยู่ในช่วง รับฟังความเห็นสาธารณะ
- NIST หวังว่าจะเผยแพร่มาตรฐาน PQC ฉบับสุดท้ายในปีหน้า
- เมื่อมาตรฐานได้รับการยืนยัน องค์กรต่าง ๆ ก็จะเริ่มนำอัลกอริทึมใหม่ไปใช้งานได้
- เนื่องจาก Kyber ผ่านกระบวนการคัดเลือกมาหลายรอบแล้ว จึงมีแนวโน้มสูงว่าจะถูกรวมอยู่ในมาตรฐานฉบับสุดท้าย
ปัญหาความเชื่อมั่นจากกรณีในอดีต
- เป็นเรื่องยากที่จะพูดอย่างแน่ชัดว่า NSA มีอิทธิพลต่อมาตรฐาน PQC จริงมากน้อยเพียงใด เนื่องจากองค์กรมีความลับสูง
- ข้อเสนอและข่าวลือที่ว่า NSA จงใจทำให้อัลกอริทึมการเข้ารหัสอ่อนแอลงนั้นมีมานานแล้ว
- ในปี 2013 The New York Times รายงานว่า NSA มีงบประมาณ 250 ล้านดอลลาร์ สำหรับงานลักษณะนี้
- ในปีเดียวกัน เอกสารของหน่วยข่าวกรองที่ Edward Snowden เปิดเผยออกมาระบุว่า NSA จงใจใส่แบ็กดอร์ลงในอัลกอริทึมการเข้ารหัส
- ต่อมาอัลกอริทึมนั้นถูกถอดออกจากมาตรฐานอย่างเป็นทางการ
คำโต้แย้งของ NIST และคำกล่าวอ้างเรื่องความโปร่งใส
- Moody กล่าวว่า NIST ไม่เคยตกลงที่จะทำให้มาตรฐานอ่อนแอลงโดยเจตนาตามคำขอของ NSA
- Moody อธิบายว่า หากมีจุดอ่อนลับจริง มันก็คงถูกใส่เข้ามาโดยที่ NIST ไม่รู้ตัว
- NIST ระบุว่าหลังการเปิดโปงของ Snowden องค์กรได้เสริม แนวปฏิบัติด้านความโปร่งใสและความปลอดภัย เพื่อกู้คืนความเชื่อมั่นจากผู้เชี่ยวชาญด้านคริปโตกราฟี
- Moody กล่าวว่าเมื่อใดก็ตามที่มีการกล่าวถึง NSA ก็จะมีนักคริปโตกราฟีที่กังวล และ NIST พยายามจัดการปฏิสัมพันธ์กับ NSA อย่างเปิดเผย
- Moody อธิบายว่า NSA ก็พยายามเปิดกว้างมากขึ้นภายใต้ข้อจำกัดของการเป็นหน่วยข่าวกรองลับ
- NSA ไม่ตอบคำขอความเห็นจาก New Scientist
- Moody ยอมรับว่าแม้เขาจะบอกได้ว่าการตัดสินใจเป็นของ NIST แต่ถ้าไม่ได้อยู่ภายใน NIST ก็ไม่มีวิธีตรวจสอบเรื่องนี้ได้
เอกสารที่ถูกเปิดเผยผ่านคำขอข้อมูล
- Bernstein อ้างว่า NIST ไม่เปิดเผยระดับการมีส่วนร่วมของ NSA และขัดขวางคำขอข้อมูลของเขา
- เขายื่นคำขอเปิดเผยข้อมูลและฟ้องร้อง NIST จนทำให้มีการเปิดเผย รายละเอียดการมีส่วนร่วมของ NSA
- เอกสารที่เปิดเผยแก่ Bernstein ระบุว่ากลุ่มที่ใช้ชื่อว่า “Post Quantum Cryptography Team, National Institute of Standards and Technology” มี สมาชิกจาก NSA อยู่หลายคน
- เอกสารยังระบุว่า NIST ได้พบกับเจ้าหน้าที่จาก GCHQ ซึ่งเป็นหน่วยงานคู่เทียบของ NSA ในสหราชอาณาจักร
การประเมินจากผู้เชี่ยวชาญภายนอก
- Alan Woodward จาก University of Surrey มองว่ามีเหตุผลที่จะต้องระมัดระวังกับอัลกอริทึมการเข้ารหัส
- ตัวอย่างคือโค้ด GEA-1 ที่ใช้ในเครือข่ายโทรศัพท์มือถือช่วงทศวรรษ 1990 และ 2000
- พบว่าโค้ดนี้มีข้อบกพร่องที่ทำให้สามารถถอดรหัสได้ด้วยปริมาณการคำนวณน้อยกว่าที่ควรเป็นหลายล้านเท่า
- ยังไม่มีการยืนยันว่าใครเป็นผู้ใส่ข้อบกพร่องนั้น
- Woodward กล่าวว่าในปัจจุบัน ผู้สมัคร PQC ได้รับการตรวจสอบอย่างเข้มข้นจากทั้งภาควิชาการและอุตสาหกรรม และยังไม่พบว่ามีข้อบกพร่องจนใช้ไม่ได้
- อัลกอริทึมอื่น ๆ ในรอบการแข่งขันก่อนหน้านี้บางตัวเคยถูกคัดออกหลังพิสูจน์ได้ว่ามีข้อบกพร่อง
- Woodward มองว่าหน่วยข่าวกรองมีประวัติทำให้การเข้ารหัสอ่อนแอลงจริง แต่เนื่องจากมีการวิเคราะห์ความปลอดภัยของผู้สมัครเหล่านี้อย่างมาก หากมีการฝังกับดักไว้ใน Kyber จริง เขาก็จะประหลาดใจมาก
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
คำพูดของ Moody ที่ว่า “สิ่งเดียวที่เราทำได้คือบอกว่า NIST คือผู้ตัดสินใจในห้องนั้น และถ้าไม่เชื่อ ก็ไม่มีทางตรวจสอบได้เว้นแต่จะอยู่ข้างใน NIST” นั่นแหละคือปัญหา
ถ้าองค์กรสำคัญอย่าง NIST ไม่โปร่งใสพอให้ทุกคนที่สนใจสามารถตรวจดูการประชุมทั้งหมด บันทึกทั้งหมด ไปจนถึงบทสนทนาช่วงพักได้ ก็ควรถูกยุบและแทนที่ด้วยองค์กรที่รับใช้สาธารณะได้อย่างเหมาะสม
เราบิดเบือนเทคโนโลยีจนสร้างโลกแห่ง การสอดส่องรอบด้าน และนำมันไปใช้ในทางที่ผิดเพื่อสอดดูความเป็นส่วนตัวของพลเมืองธรรมดา
หากเทคโนโลยีการสอดส่องและการตรวจสอบมีการใช้งานที่ชอบธรรม คนที่ควรต้องยอมสละความเป็นส่วนตัวบางส่วนในเชิงศีลธรรมคือผู้ที่ทำงานสาธารณะในรัฐสภา สภาท้องถิ่น หน่วยงานรัฐ และองค์กรมาตรฐาน
ไม่ใช่แค่ “บอก” แต่ต้องพิสูจน์ และถ้าพิสูจน์ไม่ได้ ก็ควรหลีกทางให้ผู้นำที่เหมาะกับประโยชน์สาธารณะมากกว่า
ภาระคงมหาศาล แต่ในจักรวาลคู่ขนานมันอาจดูเป็นเรื่องปกติก็ได้ เพราะผู้แทนต้องรับผิดชอบต่อเรา
ไม่จำเป็นต้องทำให้การเข้ารหัสอ่อนแอลงเพื่อสอดส่องผู้คน แค่เอากระต่ายเต้นให้ดู แล้วทำให้พวกเขากด “อนุญาตเข้าถึงรายชื่อผู้ติดต่อ”, “อนุญาตเข้าถึงกล้อง”, “อนุญาตเข้าถึงไมโครโฟน”, “อนุญาตเข้าถึงเอกสาร” เพื่อจะได้ดูกระต่ายตัวนั้น
ถ้าพูดให้ดูหรูขึ้น ก็แทนกระต่ายเต้นด้วยบริการฟรี
ยิ่งมีการนำ โครงสร้างสั่งการและควบคุมผ่านคลาวด์ มาใช้มากขึ้น การสอดส่องก็ยิ่งง่ายขึ้น ใครก็ตามที่เข้าถึงภายในผู้ให้บริการคลาวด์ได้ สามารถดักดูพฤติกรรมของทุกคนได้แทบเรียลไทม์ และอาจทำได้โดยที่ผู้ให้บริการเองไม่รู้ตัว ยิ่งเราใช้บริการเหล่านี้มากเท่าไร ก็ยิ่งส่งมอบจุดข้อมูลมากขึ้นเท่านั้น และเมื่อนำมารวมกัน มันก็สร้างข้อมูลจำนวนมากเกี่ยวกับเราได้แทบเรียลไทม์
ในเชิงจริยธรรม ทุกคนคงเห็นชัดอยู่แล้วว่าจะมองอย่างไร แต่ถ้ามองจากมุมของ NIST หรือ NSA เพื่อถกเถียงกัน ก็อาจเชื่อได้ว่าเพราะภัยคุกคามบางอย่าง NIST หรือ NSA จำเป็นต้องใส่แบ็กดอร์
ถ้าจะทำเช่นนั้น NIST ต้องรักษา ทุนความเชื่อมั่นทางสังคม และความเชื่อมั่นจากอุตสาหกรรมไว้ให้มากพอสำหรับใช้กับประเด็นที่แคบมาก
แต่ตลอดหลายปีมีเรื่องแปลก ๆ อย่าง Dual EC DRBG มากพอแล้ว และโดยเฉพาะในการออกแบบการเข้ารหัส ความเชื่อมั่นนั้นแทบไม่เหลืออยู่แล้ว ผมรู้สึกว่ามาตรฐาน ECC รุ่นล่าสุดที่ NIST ผลักดันได้รับความไว้วางใจน้อยกว่าตอน AES ถูกเปิดเผยมาก และนึกถึงเหตุการณ์สำคัญหลายอย่างที่ทำให้เกิดความไม่ไว้วางใจแบบนี้ได้
ท้ายที่สุด NIST จะสูญเสียอิทธิพลต่ออุตสาหกรรมไปมาก ซึ่งก็ไม่เป็นผลดีต่อ NIST เองด้วย
พูดตรง ๆ ผมมองว่าการเข้ารหัสสมัยใหม่โดยพื้นฐานแล้วถูกทำให้เสียหายไปแล้ว การพนันอยู่ที่ว่าใครทำให้เสียหายในแบบไหน และมีโอกาสแค่ไหนที่พวกเขาจะพยายามเข้าถึงข้อมูลของผม
บทความนี้ดูแปลก ๆ ในฐานะคนทำงานในวงการความปลอดภัย ขอผมสรุปสถานการณ์แบบนี้
Bernstein นักวิจัยด้านความปลอดภัยที่ได้รับความเคารพ เผยแพร่บล็อกโพสต์ยาวเมื่อสัปดาห์ที่แล้ว วิจารณ์กระบวนการกำหนดมาตรฐานของ NIST สำหรับอัลกอริทึมเข้ารหัสต้านควอนตัมรุ่นใหม่ จุดเน้นคือกลไกการห่อหุ้มกุญแจ หรือส่วนอย่างการแลกเปลี่ยนกุญแจของ TLS และผู้เข้าชิงหลักคือ Kyber กับ NTRU ซึ่ง Bernstein เป็นผู้เขียนร่วม
ข้อร้องเรียนหลักคือ NIST ดำเนินกระบวนการคัดเลือกอย่างหละหลวม และตัดตัวแปร NTRU แบบเร็วที่พลาดเกณฑ์ความปลอดภัยบางอย่างไปเพียงเล็กน้อยออกไป เมื่อไม่มีตัวแปรนั้น NTRU จึงดูช้าและไม่ยืดหยุ่นกว่าความเป็นจริง
ในทางกลับกัน NIST ยอมรับตัวแปร Kyber ที่เร็วพอ ๆ กันโดยอิงกับสมมติฐานที่ไม่มั่นคง Bernstein โต้แย้งอย่างยืดยาวว่ามันก็ควรถูกตัดออกเช่นกัน เพราะไม่ผ่านเกณฑ์ความปลอดภัย ที่น่าสนใจคือ NIST ใช้งานวิจัยของ Bernstein เองในการอ้างความปลอดภัยของ Kyber ในลักษณะที่ดูเหมือนผิด
มีบรรยากาศของความไม่เหมาะสม เหมือน NIST เลือกชอบอัลกอริทึมหนึ่งมากกว่าอีกอัลกอริทึมด้วยเหตุผลที่ไม่ทราบแน่ชัด ช่วงต้นของบทความ Bernstein ยังแสดงผลของคดีความล่าสุดที่เขายื่นเพื่อบังคับให้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการภายในของ NIST ซึ่งดูเหมือนว่า NIST กับ NSA พบกันบ่อยกว่าที่เคยรู้กัน
การตีความของผมเอนเอียงไปทางว่า NIST ทำ ความผิดพลาดภายใน ในการประเมินอัลกอริทึม มากกว่าจะเป็น NSA ผลักดันวาระอะไรบางอย่าง จะมองว่า Bernstein เจ็บใจที่อัลกอริทึมของตัวเองอาจไม่ได้รับเลือก เลยใช้กลยุทธ์ทางอ้อมก็ได้ แต่เขามีชื่อเสียงดีมาก และนำเสนอได้อย่างน่าเชื่อว่า NIST ทำผิดพลาดสำคัญและไม่โปร่งใสพอ
https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
https://blog.cr.yp.to/20231003-countcorrectly.html
https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
ผมเองก็เป็นนักวิชาการ และบทความนี้ก็ควรถูกมองแบบนั้นเช่นกัน
ตลอดสัปดาห์ที่แล้ว ผมอยู่ในวงที่นักวิทยาการเข้ารหัสพยายามทำความเข้าใจว่าโพสต์บล็อกของ Bernstein นั้นหมายถึงอะไรกันแน่ และยากจะเชื่อว่า Matthew Sparkes จาก The New Scientist จะเข้าใจได้ดีกว่าพวกเขา
Sparkes ก็ไม่ได้สัมภาษณ์ Bernstein โดยตรง และถ้าไม่มีใครที่นี่สนใจ คำอ้างอิงจาก NIST บทความนี้ก็ดูเหมือนควรถูกนับว่าเป็นการลงซ้ำ
ทุกครั้งที่มีเรื่อง DJB ปะทะ NIST ขึ้นมา ก็มักจะมีปฏิกิริยาแบบ “อาจดูเป็นเรื่องเล็กน้อย แต่เขามีประวัติที่ไร้ที่ติ จึงควรเชื่อเขา” เสมอ
ผมอยากแย้งเรื่องนี้เล็กน้อย จึงลิงก์เธรด Twitter นี้ไว้
https://nitter.net/FiloSottile/status/1555669786826244096
มันแสดงให้เห็นว่า Bernstein และเพื่อนร่วมงานของเขามี รูปแบบการข่มขู่ นักเข้ารหัสคนอื่น ๆ
คนคนหนึ่งอาจเป็นนักเข้ารหัสที่ยอดเยี่ยมและในขณะเดียวกันก็เป็นคนใจแคบได้ สองอย่างนี้ไม่ได้ขัดกัน
ทวีตเหล่านั้นบอกว่า DJB บอกเป็นนัยว่านักวิทยาศาสตร์ที่ส่งอัลกอริทึมถูก NSA ซื้อไปแล้ว แต่นั่นเป็นการเข้าใจสิ่งที่ DJB เขียนผิดอย่างสิ้นเชิง ข้อโต้แย้งของเขาคือ NSA ไม่จำเป็นต้องติดสินบนนักวิทยาศาสตร์เหล่านั้นด้วยซ้ำ เพราะได้จ้างผู้เชี่ยวชาญชั้นนำในสาขานั้นไว้แล้วตั้งแต่หลายปีก่อน จึงอาจนำหน้าอัลกอริทึมที่ส่งเข้ามาไปไกลมาก และถ้าเป็นเช่นนั้นก็แค่ผลักดันให้ NIST เลือกอัลกอริทึมที่ตนรู้วิธีถอดได้
ผมไม่รู้อะไรเกี่ยวกับประเด็นนี้ จึงตัดสินไม่ได้ว่าข้อกล่าวอ้างของ DJB เป็นอาการหวาดระแวงสุดโต่งอย่างที่ผู้เขียนเธรดสื่อด้วย GIF ในทวีตที่ 3 หรือไม่ สิ่งที่เห็นมีเพียงว่า ข้อกล่าวอ้างของผู้เขียนบิดเบือนสิ่งที่ DJB เขียนอย่างรุนแรง
ตัวอย่างเช่น เอกสารอ้างอิงหนึ่งที่ใช้เป็นหลักฐานว่า DJB เลวร้าย บ่นว่าหลังจากลาป่วยไประยะหนึ่ง นายจ้างเสนอให้ไปพบแพทย์ของบริษัท และมองว่านั่นเป็นการดูหมิ่น แต่ในเนเธอร์แลนด์ นี่เป็นขั้นตอนมาตรฐาน 100% และแพทย์คนนั้นไม่ได้สังกัดบริษัท เป็นอิสระและรักษาความลับ
นี่เป็นวิธีแก้ความขัดแย้งระหว่างการที่คนไม่สามารถอ้างว่าป่วยโดยไม่ให้เหตุผลแบบไม่มีกำหนดแล้วคาดหวังว่าจะได้รับเงินเดือนต่อไปได้ กับการที่นายจ้างก็ไม่มีสิทธิรู้เวชระเบียนของลูกจ้าง ระบบนี้รับประกันทั้งความลับทางการแพทย์และการลาป่วยระยะยาวไปพร้อมกัน ขณะที่นายจ้างก็เชื่อได้ว่าแพทย์ที่เป็นกลางกำลังตรวจสอบว่ามีการดำเนินการที่เหมาะสม
ประเด็นนี้ปรากฏเป็นส่วนหนึ่งของความขัดแย้งระหว่าง DJB ผู้เขียน และมหาวิทยาลัยที่พวกเขาทำงานอยู่ นอกจากนี้ ในข้อกล่าวหาว่า DJB และคนอื่น ๆ ปล่อยให้เกิดการละเมิด ก็มีหลายส่วนที่ดูเหมือนเกิดจากการไม่เข้าใจระบบท้องถิ่น
ผมเชื่อสิ่งที่เขียนไว้ส่วนใหญ่ แต่ในขณะเดียวกันก็เห็นได้ชัดว่าปัญหาบานปลายขึ้นเพราะไม่ได้พยายามทำความเข้าใจระบบกฎหมายของประเทศที่เพิ่งย้ายไปจากเพื่อนร่วมงาน เพื่อน หรือ Google/DDG มากพอ DJB ก็เสนอให้ดำเนินการทางกฎหมาย และ HR ก็เสนอการไกล่เกลี่ย แต่เจ้าตัวปฏิเสธทั้งสองทาง ดังนั้นหลักฐานตอนนี้จึงมีแค่คำบอกเล่าของเจ้าตัวในบล็อก และคนที่ถูกชี้ว่าเป็นผู้กระทำก็ไม่ได้รับผลใด ๆ
เอกสารอ้างอิงเหล่านั้นอาจโน้มน้าวไปทางว่า DJB = คนเลว แต่ในขณะเดียวกันก็ทำให้คิดได้ว่าอาจมีบริบทมากกว่าเรื่องเล่าจากฝ่ายเดียว
ผมมองว่าการออกแบบ curve25519 เป็นความสำเร็จที่ในแง่ผลกระทบเชิงปฏิบัติอยู่ระดับเดียวกับการคิดค้น RSA หรือ Diffie-Hellman ไม่ใช่เพราะไอเดียใหม่ แต่เพราะมันถูกประกอบเข้าด้วยกันในรูปแบบที่ “ใช้งานได้เลย” จริง ๆ ไม่ต้องกังวลเรื่องจุดบนเส้นโค้งที่ไม่ถูกต้อง การโจมตีแบบ twist หรือการเผลอใช้สูตรบวกกับการ double จุด
แนวคิดที่ว่าสามารถสร้างไลบรารีเข้ารหัสที่ทำสิ่งเดียวได้ดี แทนที่จะเป็นเฟรมเวิร์กให้เสียบตัวเลือกพารามิเตอร์ซึ่งมีเพียงบางชุดเท่านั้นที่อาจปลอดภัย เป็นสิ่งที่ใหม่พอในตอนนั้นจนแทบไม่มีใครทำแบบนั้น ข้อเท็จจริงที่ว่าเมื่อจำเป็นต้องใช้คีย์จริง คนส่วนใหญ่ใช้
ssh-keygen -t ed25519หรือคำสั่งเทียบเท่าในระบบอื่น ๆ ก็บอกเรื่องนี้ได้เช่นเดียวกับที่ GitHub เลิกใช้ประเภทคีย์ ssh-dss และแนะนำ ed25519 กับค่าเริ่มต้น ในด้านลายเซ็นดิจิทัล การแข่งขันระหว่าง Ed25519 กับ DSA/ECDSA คือชัยชนะขาดลอยของ Bernstein และ NIST เสียหน้า ไม่มีหลักฐานถึงเจตนาร้าย แต่ผมยังไม่เคยได้ยินคำอธิบายที่สมเหตุสมผลว่าทำไม ECDSA จึงทำให้โปรโตคอล Schnorr เสียรูปไปมากขนาดนั้น จนทำให้การใช้งานจริงจำนวนมากเกิดช่องโหว่ด้านความปลอดภัยที่เลวร้าย
ยังมีการรั่วไหลของ Snowden และ DUAL_EC ด้วย คำกล่าวว่า “NSA เคยแทรกแซงมาตรฐานการเข้ารหัสมาก่อน การรั่วไหลที่น่าเชื่อถือแสดงให้เห็นว่านั่นเป็นส่วนหนึ่งของพันธกิจ และอาจทำเช่นนั้นอีก” สำหรับผมเป็นคำกล่าวที่มีหลักฐานสนับสนุนอย่างสมเหตุสมผล ไม่ใกล้เคียงกับทฤษฎีสมคบคิดทั่วไปเลย ไม่ใช่เรื่องระดับทฤษฎีว่าการลงจอดบนดวงจันทร์เป็นเรื่องจัดฉาก
อีกอย่าง ในบรรดาวิธีต่าง ๆ ที่ Bernstein อาจเป็นคนเลวได้ เท่าที่ผมรู้ก็มีหลายอย่างที่ไม่เคยถูกกล่าวหาใส่เขา ไม่มีข้อกล่าวหาเรื่องล่วงละเมิดทางเพศหรือข่มขืน และผมก็ไม่รู้ว่าเขาเคยพูดจาเหยียดเชื้อชาติเป็นพิเศษหรือผลักดันอุดมการณ์ขวาจัด มีข้อกล่าวหาว่าเขาดูหมิ่นและบางครั้งข่มขู่คนที่ไม่เห็นด้วยในประเด็นทางเทคนิค แต่นั่นต่างจากความหมายปกติของ “คนเลว/ชั่วร้ายที่ควรหลีกเลี่ยงถ้าเป็นไปได้”
ผมมองว่าในงานออกแบบโปรโตคอลเข้ารหัส เขามีประวัติที่ค่อนข้างไร้ที่ติ ส่วนในความสัมพันธ์ระหว่างบุคคล เขามีประวัติที่ค่อนข้างด่างพร้อยจริง ๆ เวลาเผชิญหน้ากับการตัดสินใจออกแบบที่โง่เขลาหรือมีเจตนาร้าย นี่อาจเป็นทรัพย์สินมีค่า แต่ในหลายกรณีอื่นไม่ใช่
ประเด็นหลักคือท่อนที่ว่า “ถ้าวิธีของเขาไม่ได้รับเลือกโดย NIST ผู้คนจะคิดว่าเป็นเพราะมันไม่มี backdoor และจะยกคดี FOIA เป็นหลักฐาน”
ถ้าพูดถึงแรงจูงใจของผู้เขียน น่าเสียดายที่อาจทำให้พลาด ข้อผิดพลาดในการคำนวณของ NIST ไป
ข้อผิดพลาดหลักของ NIST อยู่ที่การเอาต้นทุนสองรายการที่ควรบวกกันไปคูณกันผิด ๆ ถ้าข้อกล่าวอ้างนี้ถูกต้อง ท่าทีที่รอบคอบคืออย่างน้อยควรทบทวนและแก้ไขร่างนั้นใหม่
การอภิปรายก่อนหน้า: https://news.ycombinator.com/item?id=37756656
น่าขันที่วิธีและเนื้อหาที่ DJB ใช้ปฏิบัติต่อเพื่อนร่วมงานและ NIST แม้ข้อโต้แย้งของเขาอาจมีความน่าเชื่อถือ แต่ก็มีแนวโน้มสูงที่จะทำให้ทั้งสองฝ่ายหันหลังให้กับข้อโต้แย้งนั้น
สิ่งที่ DJB รู้สึกว่าเป็นการ “ยื้อ” ของ NIST อาจเป็นเพียงท่าทีไม่อยากเข้าไปพัวพันกับพลเรือนที่มีท่าทีเป็นปฏิปักษ์และแปลกขึ้นเรื่อย ๆ ก็ได้
การที่ Dustin Moody จาก NIST กล่าวว่า “เราไม่เห็นด้วยกับการวิเคราะห์ของเขา นี่เป็นประเด็นที่ไม่มีความแน่นอนทางวิทยาศาสตร์ และคนฉลาดก็อาจมีมุมมองต่างกันได้ เราเคารพความเห็นของ Dan แต่ไม่เห็นด้วย” นั้นเหมาะกับบทความวิทยาศาสตร์ยอดนิยม แต่ผมและอีกหลายคนอยากเห็นรายละเอียดของการวิเคราะห์นี้ถูกตรวจสอบอย่างจริงจัง
DJB เคยมีโอกาสสร้างเวทีนั้น แต่กลับทำพัง อย่างไรก็ตาม นั่นไม่ได้หมายความว่าคำถามเกี่ยวกับ การคำนวณระดับความปลอดภัยของ Kyber-512 ของเขาควรถูกปล่อยไว้โดยไม่มีคำตอบ
มันไม่ใช่ประเด็นแบบนั้น DJB กำลังพูดทำนองว่า NSA อ้างอะไรที่คล้ายกับ “3 + 3 = 9” และข้ออ้างนั้นก็ต้องเป็นจริงหรือไม่ก็เท็จอย่างใดอย่างหนึ่ง
บทความติด paywall เลยหลังจากอ่านคอมเมนต์แล้วก็ไม่คิดจะพยายามข้ามเข้าไปอ่าน แต่ประโยคแบบนี้ที่เห็นก่อน paywall นั้นไม่ซื่อสัตย์เอาเสียเลย
Dan Bernstein เป็นผู้สร้าง Qmail, DJBDNS และอัลกอริทึมเข้ารหัส
https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
Qmail
https://en.m.wikipedia.org/wiki/Qmail
Djbdns
https://en.m.wikipedia.org/wiki/Djbdns
https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein
การเข้ารหัสนั้น สำคัญเกินกว่าจะปล่อยไว้ในมือของรัฐ เช่นเดียวกับเรื่องอื่น ๆ อีกมากมาย