Dieser Artikel ist wahrhaftig blantant schlecht recherchiert und stellt die Situation einseitig, verzerrt und übersimplifiziert dar.
Er suggeriert, die komplette Kryptografie Community sei von der NSA unterwandert „Diese Fehler in der Methodik, sind schockierend. Dass diese Fehler dutzende Mathematiker übersehen haben, wirkt unrealistisch.“ und vergisst dabei völlig die Frage zu stellen, weshalb djb scheinbar alleine mit seiner Folgerung ist? Auch eine inhaltliche Auseinandersetzung mit der Sicherheit von Kyber512 unter Einbezug der vorliegenden Argumente sucht man hier vergeblich.
Natürlich sind die prozeduralen Probleme zu kritisieren und es ist toll, dass er diese zu Tage gefördert hat!
Ich empfehle dringend die Lektüre der entsprechenden Threads auf der NIST PQC Mailing Liste, um ein weniger einseitiges Bild von der Situation zu erhalten, bspw: groups.google.com/a/list.nist.gov/g/pqc-forum/c/W2VOzy0wz_E oder diverse andere Threads zu selbigem Thema.
1 „Gefällt mir“
Mitnichten. Explizit NIST, und dafür gibt es nunmal leider Dokumente, die es belegen. Ob, bzw. in welchem Umfang davon weiß ist allerdings etwas, was man dringend hinterfragen, aber nicht unterstellen sollte.
Hier geht es, wie zuvor erwähnt, nicht (oder nur nebensächlich) um Kyber512. Ich bin mir meiner Fähigkeiten bewusst und eine umfangreiche kryptologische Analyse eines Verschlüsselungsalgorithmus übersteigt diese um Längen. Ich habe lediglich die Funde von djb wiedergegeben und, sofern für den Kontext relevant, mit zusätzlichen Informationen (wie Snowdens Veröffentlichungen) unterfüttert. Falls du Vorschläge für eine akkuratere Formulierung hast, lese ich mir die gerne durch und werde – sofern ich sie für besser halte – in Zukunft verwenden.
So sehr ich es mir wünsche, besitze ich diese Fähigkeiten nicht. Das haben die wenigsten. Zusätzlich wage ich zu unterstellen, dass nur eine Minderheit der Leser wissen, was ECC ist, geschweige denn wie sie im Detail funktioniert. Da würde mir Lars (zu recht) das Fell über die Ohren ziehen.
Vielen Dank, das werde ich mir zu Gemüte führen (angesichts der fortgeschrittenen Stunde aber wohl nicht mehr heute) und den Artikel entsprechend ergänzen
Das war auch das Hauptziel des Artikels: Die aufgezeigten Missstände in eine etwas weitere Öffentlichkeit bringen. Besonders in Kombination mit der Geschichte der NSA-Einflussnahme hinterlässt das definitiv ein unangenehmes Geschmäckle und sollte extrem ernst genommen werden. Von allen.
PS: Entschuldige die etwas ungewöhnliche Form der Antwort, aber ich finde es ist wichtig auf das gesagte Bezug zu nehmen und bei der Entwicklung eines Mailclients mitzuhelfen, ist dem „Normie-Faktor“ in der schriftlichen Kommunikation nicht zuträglich. 
Hi mpldr, danke für deine sachliche und ausführliche Antwort. Entschuldige meinen etwas harschen Ton in meinem ersten Kommentar, aber der Artikel geht/ging mir ziemlich gegen den Strich.
Ich bin besonders an „Dass diese Fehler dutzende Mathematiker übersehen haben“ angestoßen, für mich wurde dort nicht klar, dass dort NIST-Mathematiker gemeint sein sollen. Außerdem bin ich mir nicht sicher/wüsste nicht, dass die NIST „dutzende“ Mathematiker darauf angesetzt hat, was den Eindruck bei mir verstärkt hat.
Stimme ich zu.
In dem Satz fehlt mir der wichtigste Teil, das Subjekt. 
Naja, dafür, dass es nebensächlich um Kyber512 geht spielt der „Rechenfehler“ im Artikel schon eine prominente Rolle. Auch „absurde Historie von Kyber512“ klingt jetzt nicht gerade wertfrei, wenn wir mal ehrlich sind.
Ich denke, das geht den meisten Leuten so. Das ist aber nicht das, was ich meine. Es gibt diverse weitere Statements zu dem Thema, auch offiziell vom Kyber Team – ich hätte zumindest erwartet, dass diese hier dann ebenfalls Erwähnung finden würden. Mir ging’s dabei einfach darum, mehr als die eine Perspektive auf die Situation darzulegen.
Hauptsächlich finde ich, man sollte das Thema NIST/NSA und die Kyber512 Thematik mehr auseinanderhalten und nicht vorschnell Überschneidungen implizieren. Die Situation ist eine völlig andere, als bei Dual_EC_DRBG und es besteht kein Grund zur Vermutung, dass eine konkrete Schwachstelle vorliegt. Für eine bessere Formulierung ist es mir gerade aber auch zu spät 
Das sehe ich im Grunde ein, allerdings ist der Kern der Diskussion gar nicht so schwer zu erfassen. Eigentlich geht es darum, welchen Einfluss die „Kosten“ von RAM(-Operationen) auf das Sicherheitsniveau der Algorithmen haben, da diese Metrik für eine „realistische“ Betrachtung ebenfalls herangezogen werden muss. Wie gesagt, schau die mal den/die Threads auf der Mailingliste an, da wird einiges klarer (man muss auch nicht jedes Detail verstehen, um grob der Diskussion zu folgen).
Das ist schon richtig, allerdings sollte man den Einfluss der NIST hier auch nicht überschätzen. Die Vorschläge der Algorithmen kommen aus der Forschungsgemeinschaft, sind seit Jahren öffentlich und wurden nicht von der NSA/NIST selbst vorgeschlagen (wie gesagt, anders als Dual_EC_DRBG). Ich bin prozedural voll bei dir, allerdings bin ich auch kein Fan von Panikmache, die sich aus technischer Sicht jeglicher Grundlage entzieht.
Für eine „zugänglichere“ Diskussion zu dem Thema kann ich auch die Kommentare hier empfehlen news.ycombinator.com/item?id=37756656
Ich auch
Für mich ist die Kryptologie ein Fachgebiet der Mathematik, das ist zumindest die Schlussfolgerung, die ich nach einem Semester davon gezogen habe.
Gute Punkt. Das Subjekt ist NIST ^^
Ist es auch definitiv nicht. Auch hier allerdings vor allem am von NIST verwendeten Prozess, und die Antworten lesen sich mitunter schon ‚absurd‘ unter dem Gesichtspunkt, dass sie von einer Regierungsbehörde kommen. Das sollte in keinster Weise eine Einschätzung der Sicherheit sein. Ich kann mir aber durchaus vorstellen, dass einige der Leser der Liste sich, bevor sie einen Thread lesen, erstmal eine Tüte Popcorn machen. Da geht es schon hoch her.
Kyber war, wie gesagt, mehr „Mittel zum Zweck“, als eigentliches Thema. NIST scheint sehr auf Kyber zu pochen, zumindest war das mein Eindruck nach dem Studium der Maillingliste. Und da fragt man sich eben schon, wie verlässlich dieser Standpunkt ist. Eben vor allem vor der historischen Nähe der Organisationen, bei oft entgegengesetzten Zielen. (ja, mir ist klar, dass die NSA auch Geheimnisse schützen soll)
Ich würde den Artikel nicht als Panikmache bezeichnen, um ehrlich zu sein. Handwerklich definitiv nicht mein bestes Werk, insofern muss ich dir zustimmen, aber keine Panikmache. Ich möchte einfach nur Aufmerksamkeit für die komplette Situation gewinnen. Besonders die von Leuten, die intelligenter sind als ich und tatsächlich was dazu beitragen können. Umso mehr freue ich mich dann über so einen so produktiven Austausch in den Kommentaren 
Moment, ich hab glaube noch eine Tüte Mikrowellen Popcorn ^^
PS: hab den Artikel ergänzt, hoffe so gefällt er dir besser
Definitiv. Die Betonung meiner Aussage sollte aber auf der Anzahl der Personen liegen. Außerdem sind es ja nur zum geringsten Teil NIST-Mathematiker, die die Kryptanalyse vornehmen. Der Großteil der Arbeit kommt von Forschenden aus der ganzen Welt. Die Korrektur im Text macht das klarer 
Was auch einfach objektiv daran liegt, dass Kyber a) ein sicheres, effizientes Verfahren ist und b) im letzten Jahr zur Standardisierung gewählt wurde.
Andersrum könnte man ja auch mal anmerken, dass djb mit NTRU Prime einen Kandidaten im Renne hatte, der (bisher) nicht zur Standardisierung ausgewählt wurde („verloren hat“) – vielleicht ein Grund ein bisschen extra salty zu sein
Mir gefällt der Gesamtton des Artikels nicht, aber die Anpassungen machen ihn definitiv besser. Danke für die Reaktion, das hat man auch nicht oft 
In dem Fall habe ich das schlicht falsch verstanden. Ich konnte dazu allerdings auch keine offiziellen Zahlen zu diesem Vorgang finden.
Definitiv. NTRU hatte ich während meiner Recherche gefunden, über Motive zu spekulieren, ist aber nicht meine Aufgabe. Werde beim nächsten Mal aber sicher darauf achten das einzubauen.
Sehr gerne! Ich danke für den konstruktiven Input. Das hat man (leider) auch nicht oft!