NSA และ IETF: ผู้โจมตีสามารถซื้อการทำให้มาตรฐานการเข้ารหัสอ่อนแอลงได้หรือไม่?

 (blog.cr.yp.to)
2 คะแนน โดย GN⁺ 2025-10-06 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • หน่วยงานเฝ้าระวังอย่าง NSA และ GCHQ กำลังผลักดันให้มาตรฐานอ่อนแอลงจากการเข้ารหัสแบบคู่ ECC+PQ ที่มีอยู่ ไปเป็นการเข้ารหัสแบบ PQ เดี่ยว
  • การเปลี่ยนแปลงนี้เชื่อมโยงกับกระบวนการภายในขององค์กรกำหนดมาตรฐาน เช่น IETF TLS Working Group รวมถึงงบประมาณทางทหารและข้อกำหนดการจัดซื้อของบริษัทขนาดใหญ่
  • ผู้เชี่ยวชาญด้านความปลอดภัยและผู้ปฏิบัติงานจำนวนมากเน้นว่า การคงการเข้ารหัสแบบคู่ไว้ เป็นทางเลือกที่สมเหตุสมผล เมื่อคำนึงถึงภัยคุกคามจริงและความเป็นไปได้ของการเกิดข้อบกพร่อง
  • ยังเกิดปัญหากระบวนการที่ร้ายแรงเกี่ยวกับการนำมาตรฐาน PQ เดี่ยวมาใช้ เช่น ข้อกำหนดทางกฎหมายและขั้นตอน, นิยามของฉันทามติ, การจัดการต่อคำคัดค้านที่ไม่เพียงพอ
  • ปรากฏการณ์นี้คือการที่อำนาจการจัดซื้อและอิทธิพลของบางองค์กรอย่าง NSA ทำให้มาตรฐานที่อ่อนแอกลายเป็นเรื่องปกติในที่สุด และเพิ่มความเสี่ยงต่อระบบนิเวศด้านความปลอดภัยโดยรวม

บทนำ: ความจำเป็นของการเข้ารหัสแบบคู่ (hybrid) และบริบทในโลกความเป็นจริง

  • การเข้ารหัสแบบ post-quantum (PQ) กำลังถูกนำมาใช้เป็น ชั้นความปลอดภัยเพิ่มเติม บนการเข้ารหัสเดิมที่อิง ECC
  • ตัวอย่าง: Google CECPQ1 (ECC แบบดั้งเดิม X25519 + PQ NewHope1024), CECPQ2 (ECC+NTRUHRSS701), CECPQ2b (ECC+SIKEp434)
  • เบราว์เซอร์รุ่นใหม่ล่าสุด โดยอ้างอิงจาก Cloudflare พบว่ามากกว่าครึ่งใช้ PQ และส่วนใหญ่เป็นรูปแบบ ใช้งานร่วมกับ ECC พร้อมกัน (ทำซ้ำซ้อนแบบคู่)
  • แม้ PQ จะมีความแข็งแกร่งในทางทฤษฎี แต่ก็อาจเกิดช่องโหว่ใหม่หรือการล่มสลายของอัลกอริทึมได้ และในความเป็นจริงก็เคยเกิดปัญหาอย่างการพังทลายของ SIKE แบบเปิดเผยมาแล้ว
  • การเข้ารหัสแบบคู่เปรียบเสมือนเข็มขัดนิรภัยของรถยนต์ ทำหน้าที่เป็นกันชนเชิงปฏิบัติเพื่อรับมือกับความเสี่ยงหรือข้อบกพร่องที่ยังไม่รู้ล่วงหน้า

อิทธิพลและเป้าหมายของ NSA และ GCHQ ต่อการกำหนดมาตรฐาน

  • NSA และ GCHQ กำลังพยายามทำให้มาตรฐานอ่อนแอลงไปสู่ การเข้ารหัสแบบ PQ เดี่ยว (ไม่ใช้ hybrid) แทน ECC+PQ แบบคู่
  • คล้ายกับกรณี Dual EC พวกเขายังคงใช้ตรรกะที่มีข้อบกพร่องภายใต้ข้ออ้างว่าเป็นการ "เพิ่มความปลอดภัย" แต่เป้าหมายจริงคือ การสอดแทรกช่องโหว่และขยายอิทธิพล
  • NSA ใช้ เกณฑ์การจัดซื้อสำหรับโครงสร้างพื้นฐานทางทหาร/ระดับชาติ เพื่อชี้นำให้สินค้าและบริการปฏิบัติตาม PQ เดี่ยวผ่านการใช้งบประมาณ
  • บริษัทใหญ่ เช่น Cisco, Google, IBM และ Microsoft ต่างประกาศใช้หรือสนับสนุนการทำการเข้ารหัสแบบ PQ เดี่ยวให้สอดคล้องกับข้อกำหนดของหน่วยงานอย่าง NSA

ข้ออ้างเรื่อง "ใช้ผลิตภัณฑ์ของตัวเอง" (Dogfooding) กับความเป็นจริง

  • NSA เคยใช้การตลาดแบบ ย้ำความน่าเชื่อถือที่เสริมขึ้น ในช่วงที่ DES (56 บิต) ถูกทำให้อ่อนแอลงและถูกทำให้เป็นมาตรฐาน โดยอ้างทำนองว่า "เราก็ใช้ DES สำหรับข้อมูลระดับชาติด้วย"
  • แต่ในความเป็นจริง หน่วยงานดังกล่าวปกป้องข้อมูลสำคัญด้วยวิธีหลายชั้นอย่าง Triple-DES
  • ปัจจุบัน NSA ก็ยังใช้ ชั้นการเข้ารหัสอิสระสองชั้น เพื่อปกป้องข้อมูลสำคัญและหลีกเลี่ยงภาวะล้มเหลวแบบจุดเดียว

กระบวนการรับมาตรฐานและกรณีของ IETF

  • ใน IETF ร่างสำหรับนำ hybrid (ECC+PQ) มาใช้กับ TLS ถูกรับไว้ในเดือนมีนาคม 2025 โดยแทบไม่มีการคัดค้าน
  • ในทางกลับกัน ร่าง PQ เดี่ยว ถูกผู้เชี่ยวชาญด้านความปลอดภัยหลายคนทักท้วงในหลายด้าน เช่น ความปลอดภัย, charter ของ WG และความซับซ้อนที่เพิ่มขึ้น
    • มีความเสี่ยงว่า หากแม้เพียงตัวเดียวถูกเจาะได้เหมือนกรณี SIKE ความปลอดภัยทั้งหมดจะพังลง
    • พฤติกรรมการขับเคลื่อนด้วยการจัดซื้อของ NSA ขัดต่อ BCP 188 และเป้าหมายของ WG ที่ต้องการ "ยกระดับความปลอดภัย"
  • hybrid เป็น ตัวเลือกที่เหมาะสมที่สุดในทางปฏิบัติ ซึ่งเพิ่มความปลอดภัยโดยแทบไม่มีข้อเสียเชิงสาระ

ขั้นตอนทางกฎหมาย/นโยบายและข้อกำหนดเรื่องฉันทามติ

  • ตามกฎหมายสหรัฐฯ องค์กรกำหนดมาตรฐานต้องปฏิบัติตาม ความเปิดเผย, ความสมดุลของผู้มีส่วนได้ส่วนเสีย, กระบวนการที่ชอบด้วยกฎหมาย, การตอบต่อข้อโต้แย้ง, และฉันทามติ (concensus)
  • ตามแนวคำพิพากษาศาลสูงสุดและข้อกำหนดของ OMB คำว่า "ฉันทามติ" ไม่ได้หมายถึงการลงคะแนนอย่างง่าย แต่หมายถึงการพิจารณาความเห็นคัดค้านแต่ละข้ออย่างเป็นธรรม การให้ข้อมูล และความเห็นพ้องกว้างขวางอย่างแท้จริง
  • ในกรณีจริงของ IETF เป็นเรื่องยากที่จะถือว่าอัตราส่วน เห็นด้วย 22 คน คัดค้าน 7 คน คือฉันทามติทั่วไป
  • ความเห็นสนับสนุนส่วนใหญ่ภายใน IETF สั้นมาก และ ขาดการตอบหรือการอภิปรายอย่างเป็นรูปธรรมและมีสาระ ต่อเหตุผลของฝ่ายคัดค้าน

สรุปปัจจัยเสี่ยง

  • หน่วยงานที่มีอิทธิพลสูงอย่าง NSA ใช้การใช้งบประมาณและการเข้าร่วมองค์กรกำหนดมาตรฐานเพื่อผลักดัน การฝังช่องโหว่ไว้ภายในและปรากฏการณ์การพึ่งพาทางอุตสาหกรรม
  • ความล้มเหลวในการกำหนดมาตรฐานครั้งก่อน เช่น Dual EC และ SIKE อาจนำไปสู่การเปิดเผยจุดอ่อนด้านความปลอดภัยที่สำคัญและ ผลลัพธ์ระดับหายนะ ซ้ำอีก
  • ในทางปฏิบัติ แม้การเข้ารหัสแบบคู่กำลังกลายเป็นค่าเริ่มต้น แต่หากมาตรฐานที่อ่อนแอกว่าถูกนำมาใช้ภายใต้ข้ออ้างเรื่อง "การประหยัด" หรือ "ความเรียบง่าย" ระบบนิเวศทั้งหมดก็อาจตกอยู่ในความเสี่ยง

บทสรุปและนัยสำคัญ

  • จำเป็นต้องเสริมความ เป็นธรรมและความโปร่งใส ของผู้กำหนดมาตรฐาน และส่งเสริมการยอมรับการเข้ารหัสแบบคู่ที่สะท้อนความต้องการของตลาดจริง
  • ควรตระหนักถึงความเป็นไปได้ที่ ความปลอดภัยของทั้งระบบนิเวศจะอ่อนแอลง จากการใช้อิทธิพลเชิงรุกของหน่วยงานอย่าง NSA
  • เพื่อขยายแนวปฏิบัติที่ก้าวหน้าซึ่งช่วยลดความเสี่ยงได้จริง เช่น การทำให้การเข้ารหัสแบบคู่แพร่หลาย ความสนใจเชิงรุกของนักพัฒนาและภาคธุรกิจ รวมถึงการจัดตั้งระบบเฝ้าระวัง มีความสำคัญอย่างยิ่ง

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-06
ความเห็นจาก Hacker News

  • DJB วิจารณ์จุดยืนของ NSA มาอย่างต่อเนื่องตั้งแต่ปี 2022 (อ้างอิง: บทความบล็อกของ DJB) รู้สึกตกใจมากที่มีคนเสนอให้นำการแลกเปลี่ยนกุญแจ PQ แบบไม่ไฮบริดไปใช้ในแอปพลิเคชันจริง หากนี่ไม่ใช่กลไกที่จัดไว้เพื่อให้ NSA ถอดรหัสได้ง่าย ๆ ก็เท่ากับกำลังแสดงความเชื่อมั่นอย่างมากต่อกลไกที่เพิ่งเกิดขึ้นได้ไม่นาน สถานการณ์นี้คล้ายกับการบอกว่า "ตอนนี้ตรวจหาไวรัสในน้ำเสียได้แล้ว ดังนั้นโรงพยาบาลไม่จำเป็นต้องรายงานความเป็นไปได้ของโรคติดต่อ" และยิ่งอันตรายขึ้นไปอีกเมื่อเป้าหมายของบางคนอาจตรงข้ามกับทุกคนอย่างสิ้นเชิง DJB ชี้ในบทความปี 2022 ว่า NSA เพียงแค่อ้างถึง "กรณีจำนวนน้อยมากที่การเพิ่มชั้นความปลอดภัยเพิ่มเติมอย่างรีบร้อนก่อให้เกิดปัญหา" ต่อสาธารณะ และแสดงความเชื่อมั่นต่อกระบวนการ NIST PQC เท่านั้น

    • อยากให้ช่วยอธิบายให้ชัดกว่านี้ว่า "กลไกที่เพิ่งพัฒนาขึ้นมาไม่นาน" หมายถึงอะไร

  • มีหลายประเด็นให้ถกเถียงในเรื่องนี้ A) หน่วยงานรัฐบาลด้านไซเบอร์ห้ามไว้ใจเด็ดขาด B) NSA ไม่ได้เป็นอย่างที่พวกเราจินตนาการ มันเป็นโลกคาวบอยสุดประหลาดจริง ๆ พูดได้อย่างมั่นใจจากประสบการณ์ C) วิทยาการเข้ารหัสมีเรื่องเกี่ยวพันมากกว่าแค่ความปลอดภัยหรือการแลกเปลี่ยนข้อความ บางครั้งเราอาจไม่รู้ด้วยซ้ำว่ามีบางสิ่งบางอย่าง (อาจเป็นสิ่งมีชีวิตก็ได้) ที่สามารถถูกถอดรหัสได้ D) NSA สกปรกมากจริง ๆ ถึงขั้นเรียกได้ว่าเป็น CIA ดิจิทัล และทำงานเป็นสายลับไซเบอร์ตามบริษัท tech/telecom/manufacturer และที่อื่น ๆ อีกมาก E) ไม่ควรทำตามคำแนะนำของ NSA เด็ดขาด / วัฒนธรรมของพวกเขาเน้นการหาช่องทางไปใช้ประโยชน์

    • สงสัยว่าคำว่า "มีบางสิ่งบางอย่าง (อาจเป็นสิ่งมีชีวิตก็ได้) ที่สามารถถูกถอดรหัสได้" หมายถึงอะไร

    • นอกเหนือจากการบอกว่าไม่ควรเชื่อ NSA แล้ว อยากให้ช่วยอธิบายเหตุผลว่าทำไมเราควรเชื่อคุณแทน

  • รู้สึกแปลกที่ตั้งข้อกังขานี้ต่อสาธารณะ แต่กลับไม่พูดถึงข้อเท็จจริงที่ว่าคำร้องไม่พอใจนี้ถูกยกคำร้องอย่างเป็นทางการไปเมื่อ 3 วันก่อนแล้ว (อ้างอิง: เอกสารทางการของ IESG)

    • ผมเคารพทั้งคุณและผู้เขียน แต่เอกสารยกคำร้องนั้นแทบไม่ได้ตอบประเด็นสำคัญอย่างเป็นสาระ แค่สรุปประมาณว่า "ไม่มีปัญหาด้านกระบวนการ" และ "ถ้าจะอุทธรณ์ก็ให้ยื่นใหม่ให้ถูกแบบฟอร์ม" การตอบแบบนี้ยิ่งทำให้เชื่อมั่นน้อยลง

    • คิดว่าการเปิดเผยไว้ก็ดีเพื่อให้บันทึกครบถ้วน เราไม่ควรลืมว่าประเด็นแบบนี้มีประวัติยาวนานของคนที่พยายาม "ทำให้การเข้ารหัสอ่อนแอลง" และไม่ยอมเลิกง่าย ๆ

  • เรื่องนี้น่ากังวลมาก และขอแสดงความนับถือที่ DJB ต่อสู้กับมัน มีสิ่งหนึ่งที่สงสัยคือ ใครกันแน่ที่เป็นเป้าหมายซึ่งมีความเสี่ยงจริงจน NSA ต้องใส่ใจขนาดนี้

    • เป้าหมายที่เชี่ยวชาญเทคนิคก็คงใช้การแลกเปลี่ยนกุญแจแบบไฮบริดอยู่แล้ว

    • ส่วนผู้ใช้ทั่วไปหรือเป้าหมายที่ไม่ค่อยรู้เทคนิค การเข้ารหัสก็แทบไม่มีความหมายอยู่แล้วเพราะมีการสอดส่องแบบ PRISM

    • ถ้าอย่างนั้นก็อดสงสัยไม่ได้ว่าเจตนาที่แท้จริงของ NSA คืออะไร

    • องค์กรส่วนใหญ่ก็แค่ใช้ค่าเริ่มต้นด้านความปลอดภัยของ Cisco router หรือเว็บเบราว์เซอร์ตามที่มีมา NSA จะเริ่มจากการบังคับให้ "รองรับ" โปรโตคอลที่ยังไม่ปลอดภัยสมบูรณ์ก่อน แล้วเมื่อแพร่หลายก็ทำให้มันกลายเป็น "ค่าเริ่มต้น" ผ่านการตรวจการปฏิบัติตามข้อกำหนด

    • ต่อให้เทคโนโลยีแบบแบ็กดอร์จะครอบคลุมเป้าหมายไม่ได้ทั้งหมด แต่ถ้าตลาดใช้สัก 30% ก็ถือว่าสำเร็จอย่างมากแล้ว การข่าวเป็นเกมของตัวเลข แค่ทอดแหให้กว้างพอ สักวันก็จับเป้าหมายได้จำนวนมาก

    • เมื่อใช้ร่วมกับ QUANTUMINSERT ก็มีความเสี่ยงที่แม้แต่คนที่เดิมใช้การเข้ารหัสที่แข็งแรงกว่าก็จะถูกโจมตีแบบ downgrade attack ได้

    • อยากให้ช่วยอธิบายให้ชัดว่าคำว่า "น่ากังวล" นั้นหมายถึงอะไรอย่างเป็นรูปธรรม

    • หมายความว่า 99% ของทราฟฟิก TLS ทั่วโลกกำลังมีความเสี่ยงใช่ไหม

  • กระแสตื่นตัวอย่างมากให้เปลี่ยนจาก RSA ไปเป็น ECC ก็ดูน่าสงสัยในแบบเดียวกัน รู้สึกเหมือนมีรูปแบบชัดเจนมากที่จู่ ๆ อัลกอริทึมที่เชื่อถือกันมายาวนานก็ถูกบอกว่าไม่น่าเชื่อถือแล้ว, implement ยาก, ช้า, และตกยุค พร้อมกันไปหมด ซึ่งดูไม่เป็นธรรมชาติอย่างมาก

  • แค่คิดว่ามีความพยายามแบบนั้น ก็ทำให้อยากเพิ่มชั้นที่ 3 ทับบนการเข้ารหัสสองชั้นเดิมอีกที

    • ที่จริงสำหรับการเข้ารหัส/แอปพลิเคชันส่วนใหญ่ การซ้อนชั้นการเข้ารหัสหลาย ๆ ชั้นไม่ได้มีต้นทุนสูงมาก ซ้อนกันสัก 10 ชั้นก็แทบไม่มีอะไรเสียหาย

  • ข้ออ้างที่ว่า "อัลกอริทึมหลังยุคควอนตัมอาจถูกเจาะได้แม้ด้วยคอมพิวเตอร์ในปัจจุบัน" ในทางปฏิบัติก็เท่ากับเสนอ "Security Through Ignorance" แบบหนึ่ง การเข้ารหัสนี้ปลอดภัยไหม? ไม่มีใครรู้! ก็รอดูผลกันไปก่อน

  • ดูเหมือนจะมีดราม่าจากหลายเหตุการณ์ที่พันกันอยู่ แต่แยกจากเรื่องนั้นแล้ว พออ่านบทความนี้ก็ทำให้คิดว่ามาตรฐานสำคัญไม่ควรถูกกำหนดโดยรัฐบาล แล้วควรให้ที่ไหนมารับผิดชอบกระบวนการมาตรฐานแทนดี? Linux Foundation? ตอนนี้ดูเหมือนว่าคนเก่งด้านคณิตศาสตร์การเข้ารหัสกำลังไปรวมตัวกันในฝั่ง zero-knowledge proof (ZK proof) ของระบบนิเวศ Ethereum ถ้า Vitalik จัดการแข่งขันแบบ NIST ขึ้นมา คนก็น่าจะให้ความสนใจมาก สิ่งที่จำเป็นที่สุดคือการสร้าง "โครงสร้างให้รางวัลกับผู้โจมตีที่พยายามเจาะการเข้ารหัสด้วยข้อมูลปลอมก่อนนำไปใช้จริง" อุดมคติคือทำให้การเข้ารหัสถูกโจมตีก่อนที่จะกลายเป็นมาตรฐาน ฝั่ง Ethereum ก็ดูจะบริหารระบบ bounty แบบนี้ได้ดีอยู่แล้ว ถ้าผู้เชี่ยวชาญด้านคริปโตได้รับรางวัลจริงผ่านการเปิดเผยอย่างมีจริยธรรม แรงจูงใจที่จะเอาไปขายให้ฝั่งไร้จริยธรรมก็จะลดลง

  • สิ่งที่น่ากลัวคือคนชื่อ Wouters ได้ขู่แบน Bernstein ด้วยข้อความ CoC (หลักปฏิบัติ) ที่ไม่เป็นมิตรและก้าวร้าวมาก (อ้างอิง: อีเมลต้นฉบับ) เป็นประสบการณ์ย้อนแย้งของคำว่า "จงเชื่อกระบวนการ"

  • FIPS เปรียบเสมือนปราการด่านสุดท้ายของมาตรฐานความปลอดภัย

    • ตอนแรกผมอ่าน FIPS ผิดเป็น "bassoon ของมาตรฐานความปลอดภัย" แล้วงงไปพักหนึ่ง สมองเริ่มจินตนาการไปคนละเรื่องเลย