1 puntos por GN⁺ 2023-10-15 | 1 comentarios | Compartir por WhatsApp
  • En medio de la preocupación de que las computadoras cuánticas puedan inutilizar la criptografía actual, Daniel Bernstein critica que la estandarización de criptografía poscuántica de NIST no revele suficientemente la participación de la NSA ni los cálculos de seguridad
  • NIST ha impulsado la estandarización de PQC desde 2012, y Bernstein sostiene que la NSA intenta introducir debilidades secretas en el nuevo estándar, algo que NIST niega
  • Sobre Kyber512, uno de los principales puntos de disputa, Bernstein afirma que NIST sobreestimó su seguridad, mientras que Dustin Moody, de NIST, no está de acuerdo y dice que se trata de un área sin certeza científica
  • NIST considera que Kyber512 cumple con el criterio de level one, comparable a AES-128, pero recomienda para uso real el más fuerte Kyber768, siguiendo la propuesta de los desarrolladores
  • Aunque NIST asegura que reforzó sus lineamientos de transparencia tras las filtraciones de Snowden, las solicitudes de acceso a la información y la demanda de Bernstein dejan abierta la pregunta de si el proceso de selección de estándares criptográficos puede verificarse desde fuera

Controversia por la estandarización de la criptografía poscuántica

  • Daniel Bernstein, de la University of Illinois Chicago, considera que NIST está difuminando deliberadamente el nivel de participación de la NSA en el desarrollo de estándares de criptografía poscuántica
  • Bernstein también afirma que puede haber errores o fallas intencionales en los cálculos del nivel de seguridad de los nuevos estándares
  • NIST rechaza estas afirmaciones y señala que no coincide con el análisis de Bernstein
  • El punto central que exige Bernstein es que la organización que elige los estándares criptográficos siga reglas públicas de manera transparente y verificable
    • Aunque NIST prometió transparencia, él considera que no es cierto que haya hecho público todo su trabajo

Por qué importan los estándares de PQC

  • Los problemas matemáticos usados hoy para proteger datos son, en la práctica, imposibles de romper incluso para las supercomputadoras más grandes actuales
  • Si aparecen computadoras cuánticas estables y potentes, podrían romper muy rápido la criptografía actual
  • No está claro cuándo llegarán, pero NIST lleva desde 2012 con un proyecto para estandarizar nuevos algoritmos resistentes a ataques de computación cuántica
  • Bernstein fue quien acuñó en 2003 el término post-quantum cryptography para referirse a este tipo de algoritmos
  • Como los estándares de NIST pueden usarse en todo el mundo, cualquier defecto también podría tener un impacto global

Choque por los cálculos de seguridad de Kyber512

  • Bernstein sostiene que los cálculos de NIST sobre Kyber512, uno de los candidatos al próximo estándar de PQC, están “claramente equivocados”
  • Su crítica principal es que NIST usó una multiplicación en una situación en la que sumar dos números habría sido más preciso, y que eso hizo que la resistencia de Kyber512 a los ataques se evaluara por encima de su nivel real
  • Dustin Moody, de NIST, no está de acuerdo con ese análisis
    • Señala que en este tema no hay certeza científica y que personas inteligentes pueden llegar a conclusiones distintas
    • Dice que respeta la opinión de Bernstein, pero no comparte sus conclusiones
  • Moody considera que Kyber512 sí cumple con el criterio de seguridad level one de NIST
    • Ese nivel significa que es tan difícil de romper como AES-128, un algoritmo ampliamente utilizado
    • Para uso real recomienda el más robusto Kyber768
    • Moody afirma que la recomendación de Kyber768 provino de los propios desarrolladores del algoritmo

Calendario de definición del estándar y posición de Kyber

  • NIST se encuentra actualmente en un período de consulta pública
  • Espera publicar los estándares finales de algoritmos PQC el próximo año
  • Una vez definidos, las organizaciones podrán comenzar a adoptar los nuevos algoritmos
  • Como Kyber ya superó varias etapas del proceso de selección, parece muy probable que se incluya en el estándar final

Casos del pasado que alimentan la desconfianza

  • Es difícil afirmar con certeza qué influencia real tuvo la NSA sobre el estándar de PQC, debido al secretismo de la organización
  • Desde hace tiempo existen sospechas y rumores de que la NSA debilita deliberadamente algoritmos criptográficos
  • En 2013, The New York Times informó que la NSA tenía un presupuesto de 250 millones de dólares para ese tipo de trabajo
  • Ese mismo año, documentos filtrados por Edward Snowden incluían información según la cual la NSA introdujo deliberadamente puertas traseras en algoritmos criptográficos
    • Ese algoritmo luego fue retirado de los estándares oficiales

La respuesta de NIST y su defensa de la transparencia

  • Moody afirma que NIST nunca aceptó debilitar deliberadamente un estándar a petición de la NSA
  • Según su explicación, si hubiera existido una debilidad secreta, habría tenido que incorporarse sin que NIST lo supiera
  • Tras las filtraciones de Snowden, NIST señaló que reforzó sus lineamientos de transparencia y seguridad para recuperar la confianza de los expertos en criptografía
  • Moody dice que siempre hay criptógrafos preocupados cuando se menciona a la NSA, y que NIST ha intentado manejar abiertamente sus interacciones con la agencia
  • También explica que la propia NSA intentó ser más abierta dentro de las limitaciones de ser una agencia de inteligencia secreta
  • La NSA no respondió a la solicitud de comentarios de New Scientist
  • Moody reconoce que puede decir que las decisiones las toma NIST, pero que si uno no está dentro de NIST no hay forma de verificarlo

Documentos revelados por solicitudes de acceso a la información

  • Bernstein afirma que NIST no reveló el nivel de intervención de la NSA y bloqueó sus solicitudes de información
  • Presentó una solicitud de acceso a la información y demandó a NIST, logrando que se revelaran detalles sobre la participación de la NSA
  • Entre los documentos entregados a Bernstein se indica que un grupo descrito como “Post Quantum Cryptography Team, National Institute of Standards and Technology” incluía a varios miembros de la NSA
  • Los documentos también indican que NIST se reunió con funcionarios de GCHQ, el equivalente británico de la NSA

Evaluación de expertos externos

  • Alan Woodward, de la University of Surrey, considera que sí hay razones para ser cautelosos con los algoritmos criptográficos
  • Como ejemplo menciona el código GEA-1, usado en redes de telefonía móvil en los años 90 y 2000
    • En ese código se encontró una falla que permitía romperlo con millones de veces menos cómputo del esperado
    • No se ha confirmado quién introdujo esa debilidad
  • Woodward señala que los actuales candidatos de PQC han sido fuertemente revisados por la academia y la industria, y que hasta ahora no se ha demostrado que sean insuficientes
  • En etapas previas de la competencia, otros algoritmos fueron descartados tras probarse que tenían fallas
  • Aunque reconoce que los servicios de inteligencia tienen historial de debilitar criptografía, Woodward cree que se ha hecho tanto análisis de seguridad sobre los candidatos que le sorprendería que Kyber tuviera una trampa incorporada

1 comentarios

 
GN⁺ 2023-10-15
Opiniones de Hacker News
  • Esa frase de Moody —“lo único que podemos hacer es decir que NIST es quien toma las decisiones en la sala, y si no nos creen, no hay forma de comprobarlo a menos que estén dentro de NIST”— es justamente el problema.
    Si una institución tan importante como NIST no es lo suficientemente transparente como para que cualquier interesado pueda revisar todas las reuniones, memorandos e incluso conversaciones durante los descansos, debería desmantelarse y reemplazarse por una organización que realmente sirva al público.
    Hemos distorsionado la tecnología para crear un mundo de vigilancia total y la hemos usado indebidamente para mirar la vida privada de ciudadanos comunes.
    Si las tecnologías de vigilancia y auditoría tienen usos legítimos, quienes moralmente deberían ceder parte de su privacidad son las personas que trabajan en funciones públicas en el Congreso, legislaturas locales, organismos gubernamentales y organismos de estandarización.
    No basta con “decirlo”: hay que demostrarlo, y si no pueden demostrarlo, deberían ceder el lugar a un liderazgo más adecuado para el interés público.

    • Me hace imaginar un gobierno un poco distinto al nuestro, donde un organismo de supervisión verifica que los funcionarios no hablen entre sí fuera de reuniones públicas.
      La carga sería enorme, pero en un universo paralelo quizá se sentiría natural. Al fin y al cabo, los representantes tienen que rendirnos cuentas.
    • La vigilancia total moderna no se implementa debilitando el cifrado; está integrada en plataformas y apps, y la gente la instala voluntariamente a cambio de servicios gratis y feeds adictivos de redes sociales.
      No hace falta debilitar el cifrado para vigilar a la gente. Les muestras un conejito bailando y, para verlo, haces que presionen “permitir acceso a contactos”, “permitir acceso a la cámara”, “permitir acceso al micrófono” y “permitir acceso a documentos”.
      Dicho de forma un poco más sofisticada: en lugar del conejito bailando, pon un servicio gratuito.
      Si a eso le sumamos una mayor adopción de estructuras de mando y control en la nube, la vigilancia se vuelve todavía más fácil. Cualquiera con acceso dentro del proveedor de nube puede pinchar casi en tiempo real la actividad de todo el mundo, incluso sin que el propio proveedor lo sepa. Cuantos más de estos servicios usemos, más puntos de datos entregamos, y al combinarse generan, casi en tiempo real, una cantidad considerable de información sobre nosotros.
    • ¿La propuesta es someter a las personas que hacen este trabajo a una vigilancia 24 horas en la que todo lo recopilado sobre ellas sea visible para cualquiera? Me pregunto quién aceptaría ese tipo de empleo.
    • Incluso desde la perspectiva de NIST, esto parece extremadamente cortoplacista.
      Éticamente, está claro cómo lo verá la mayoría, pero para efectos del debate, desde el punto de vista de NIST o de NSA, se podría creer que, por alguna amenaza específica, NIST o NSA deberían introducir una puerta trasera.
      Para eso, NIST tendría que conservar un gran capital de confianza social y confianza de la industria, que pudiera gastar en un asunto muy acotado.
      Pero durante años hubo suficientes cosas raras como Dual EC DRBG, y especialmente en diseño criptográfico casi no queda esa confianza. Tengo la impresión de que los estándares ECC más recientes impulsados por NIST generan mucha menos confianza que cuando se publicó AES, y se me ocurren varios incidentes importantes que justificarían esa desconfianza.
      Al final, NIST terminará perdiendo mucha influencia sobre la industria, y eso tampoco le conviene a NIST.
    • El solo hecho de que NIST no sea transparente basta para asumir que cualquier trabajo relacionado con criptografía que NIST haya tocado está comprometido.
      Sinceramente, creo que el cifrado moderno está básicamente comprometido. La apuesta depende de quién lo comprometió, de qué manera, y de qué tan probable sea que intenten acceder a mis datos.
  • El artículo es un poco raro, así que, desde la perspectiva de alguien que trabaja en seguridad, resumiría la situación así:
    Bernstein, un investigador de seguridad respetado, publicó la semana pasada una entrada larga en su blog criticando el proceso de estandarización de NIST para nuevos algoritmos criptográficos resistentes a la computación cuántica. El foco está en los mecanismos de encapsulación de claves, es decir, áreas como el intercambio de claves en TLS, y los grandes candidatos son Kyber y NTRU, del cual Bernstein es coautor.
    La queja central es que NIST manejó el proceso de selección de forma laxa y descartó una variante rápida de NTRU que no alcanzaba por muy poco cierto umbral de seguridad. Al quedar fuera esa variante, NTRU parece más lento y menos flexible de lo que realmente es.
    En cambio, NIST aceptó una variante de Kyber de velocidad similar basándose en supuestos inestables. Bernstein argumenta extensamente que esa variante tampoco cumple el umbral de seguridad, por lo que también debería ser descartada. Curiosamente, NIST usó la propia investigación de Bernstein, aparentemente de forma incorrecta, para sostener la seguridad de Kyber.
    Hay un aire de impropiedad, como si NIST hubiera favorecido un algoritmo sobre otro por motivos desconocidos. Al inicio del texto, Bernstein también muestra el resultado de una demanda reciente que presentó para obligar a divulgar más información sobre los procedimientos internos de NIST, y parece que NIST y NSA se reunieron con más frecuencia de lo que se sabía.
    Mi interpretación se inclina más a que NIST cometió errores internos en la evaluación de algoritmos, no a que NSA haya impuesto una agenda. También podría verse como que Bernstein está dolido porque quizá no elijan su algoritmo y está usando tácticas indirectas, pero tiene una gran reputación y argumenta de forma convincente que NIST cometió errores importantes y no ha sido lo bastante transparente.
    https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
    https://blog.cr.yp.to/20231003-countcorrectly.html

    • Me da curiosidad saber por qué lo ves así. La NSA ya hizo exactamente este tipo de cosas en el pasado; ¿por qué deberíamos asumir buena fe esta vez?
      https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
    • Si “un académico está molesto porque no le reconocieron el mérito” y “un académico quiere ayudar al mundo” aparecen ambas como posibilidades, siempre hay que mirar durante más tiempo la primera posibilidad.
      Yo también soy académico, y este texto también debería leerse así.
  • Pasé toda la semana pasada en espacios donde criptógrafos intentaban descifrar qué significaba exactamente esa entrada de Bernstein, y me cuesta creer que Matthew Sparkes, de The New Scientist, la haya entendido mejor que ellos.
    Sparkes ni siquiera entrevistó directamente a Bernstein, y si a nadie aquí le interesan las citas de NIST, parece correcto tratar este artículo como una cobertura duplicada.

  • Cada vez que sale el tema de DJB contra NIST, siempre aparece la reacción de “puede parecer algo menor, pero tiene un historial impecable, así que hay que creerle”.
    Quiero matizar un poco eso, por eso enlazo este hilo de Twitter:
    https://nitter.net/FiloSottile/status/1555669786826244096
    Muestra que Bernstein y sus colegas tienen un patrón de intimidación hacia otros criptógrafos.
    Se puede ser un criptógrafo brillante y, al mismo tiempo, una persona mezquina; ambas cosas no son mutuamente excluyentes.

    • No revisé todos los enlaces de ese hilo de Twitter, pero varios de los primeros tuits son bastante engañosos.
      Los tuits dicen que DJB insinuó que los científicos que presentaron algoritmos fueron comprados por la NSA, pero eso malinterpreta por completo lo que escribió DJB. Su argumento era más bien que la NSA ni siquiera necesitaría sobornar a esos científicos. Como ya había contratado años antes a los mayores expertos del área, podría estar muy por delante de lo presentado, y entonces solo tendría que presionar para que NIST eligiera un algoritmo que sabe cómo romper.
      No sé lo suficiente sobre este asunto como para juzgar si la afirmación de DJB es una paranoia delirante, como sugiere el autor del hilo con el GIF del tercer tuit. Lo único que veo es que la afirmación del autor distorsiona fuertemente lo que escribió DJB.
    • En ese hilo y sus referencias hay demasiado por desentrañar, y buena parte es un cruce de versiones contradictorias.
      Por ejemplo, una de las referencias usadas como prueba de que DJB es malvado se queja de que, tras tomarse una licencia por enfermedad durante un tiempo, tomó como un insulto que el empleador le sugiriera ver a un médico de la empresa. Pero en Países Bajos eso es un procedimiento 100% estándar, y ese médico no pertenece a la empresa, sino que es independiente y mantiene la confidencialidad.
      Es la forma de resolver el conflicto entre no poder afirmar que se está enfermo indefinidamente, sin dar motivos, mientras se sigue esperando cobrar el sueldo, y que el empleador no tenga derecho a conocer los expedientes médicos. Garantiza a la vez el secreto médico y las licencias largas por enfermedad, mientras el empleador puede confiar en que un médico imparcial verifica que se tomen las medidas adecuadas.
      Este asunto aparece como parte de un conflicto entre DJB, la autora y la universidad donde trabajan. Además, dentro de las acusaciones de que DJB y otros permitieron abusos, se insinúan varios puntos que parecen surgir de desconocer el sistema local.
      Creo la mayor parte de lo escrito, pero al mismo tiempo parece claro que no consultar con colegas, amigos o Google/DDG sobre el marco legal al que acababa de mudarse también agravó el problema. DJB también sugirió emprender acciones legales y RR. HH. propuso una mediación, pero la persona afectada rechazó ambas. Así que, por ahora, la evidencia es solo el relato de la persona en un blog, y quienes fueron señalados como agresores no enfrentaron ninguna consecuencia.
      Esas referencias sí inclinan a pensar “DJB = malo”, pero al mismo tiempo hacen pensar que puede haber más contexto que el relato de una sola parte.
    • Muy de acuerdo. A Bernstein alguna vez lo describieron como alguien “con tanta sutileza como The Incredible Hulk”. Quizá se le dejan pasar cosas porque es un criptógrafo brillante.
      Creo que haber diseñado curve25519 es un logro que, en términos de impacto práctico, se puede poner en la misma categoría que la invención de RSA o Diffie-Hellman. No porque la idea fuera novedosa, sino porque se combinó de una forma que en la práctica “simplemente funciona”. No hay que preocuparse por puntos inválidos de la curva, ataques de twist, usar por accidente fórmulas de suma para duplicación de puntos, etc.
      La idea de que se podía crear una biblioteca criptográfica que hiciera bien una sola cosa, en vez de un framework donde se enchufan parámetros y solo algunos de ellos quizá sean seguros, era lo suficientemente nueva en ese momento como para que nadie lo estuviera haciendo así. Lo demuestra el hecho de que, cuando se necesita una clave real, la mayoría usa ssh-keygen -t ed25519 o el comando equivalente en otro sistema.
      Lo mismo con que GitHub haya retirado el tipo de clave ssh-dss y recomiende ed25519 y los valores predeterminados. En firmas digitales, la competencia entre Ed25519 y DSA/ECDSA fue una victoria total de Bernstein, y NIST quedó mal parado. No hay pruebas de mala fe, pero todavía no he escuchado una explicación razonable de por qué ECDSA destrozó tanto el protocolo Schnorr que muchas implementaciones terminaron creando agujeros de seguridad terribles.
      También están las filtraciones de Snowden y DUAL_EC. Para mí, decir “la NSA intervino en estándares criptográficos en el pasado, filtraciones creíbles muestran que eso era parte de su declaración de misión, y podría volver a hacerlo” no se parece mucho a una teoría conspirativa común, sino a una afirmación plausible respaldada por evidencia razonable. No está en el mismo terreno que la teoría de que el alunizaje fue falso.
      Además, de las muchas formas en que Bernstein podría ser malo, hay varias que, hasta donde sé, nunca se le han atribuido. No hay acusaciones de agresión sexual ni violación, y no sé que haya dicho cosas particularmente racistas ni promovido ideologías de extrema derecha. Hay acusaciones de que insulta y a veces intimida a quienes no están de acuerdo con él en temas técnicos, pero eso no suele significar lo mismo que “es una mala persona/malvado y hay que evitarlo en lo posible”.
      Diría que tiene un historial bastante impecable en diseño de protocolos criptográficos, y uno bastante manchado en relaciones humanas. Al enfrentarse a decisiones de diseño realmente tontas o maliciosas, eso es un activo; en muchos otros casos, no.
    • Este contexto es importante.
      El punto clave es: “si su método no es adoptado por NIST, la gente pensará que es porque no tiene backdoor y citará la demanda FOIA como prueba”.
  • Lamentablemente, al hablar de las motivaciones del autor se puede pasar por alto el error de cálculo de NIST.
    El error central de NIST está en haber multiplicado incorrectamente dos costos que debía sumar. Si esta afirmación es correcta, lo prudente sería al menos revisar y corregir el borrador.

  • Discusión anterior: https://news.ycombinator.com/item?id=37756656

  • Irónicamente, la forma y el contenido con que DJB trata a sus colegas y al NIST probablemente hagan que ambos lados le den la espalda a sus argumentos, aunque estos puedan ser creíbles.
    Lo que DJB percibe como la “resistencia” del NIST podría ser una actitud de evitar involucrarse con un civil hostil y cada vez más extraño.
    Que Dustin Moody, del NIST, haya dicho “no estamos de acuerdo con su análisis. Es un problema sin certeza científica, y personas inteligentes pueden tener opiniones distintas. Respetamos la opinión de Dan, pero no estamos de acuerdo” queda bien para un artículo de divulgación científica, pero yo y muchas otras personas quisiéramos ver que se examinen debidamente los detalles de este análisis.
    DJB pudo haber creado esa oportunidad, pero la arruinó. Aun así, eso no significa que las preguntas sobre su cálculo del nivel de seguridad de Kyber-512 puedan quedar sin respuesta.

    • “Es un problema sin certeza científica y personas inteligentes pueden tener opiniones distintas”: ¿qué significa eso?
      No es ese tipo de problema. DJB básicamente está diciendo que la NSA afirma algo parecido a “3 + 3 = 9”, y esa afirmación es verdadera o falsa.
      El artículo tiene muro de pago, así que después de ver los comentarios no tengo intención de atravesarlo, pero una frase así, visible antes del muro de pago, es completamente deshonesta.
  • Dan Bernstein creó Qmail, DJBDNS y algoritmos criptográficos.
    https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
    Qmail
    https://en.m.wikipedia.org/wiki/Qmail
    Djbdns
    https://en.m.wikipedia.org/wiki/Djbdns
    https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein

  • El cifrado, como muchas otras cosas, es demasiado importante para dejarlo en manos del Estado