Dokumente zeigen: NIST von NSA unterwandert


Kommentare zu folgendem Beitrag: Dokumente zeigen: NIST von NSA unterwandert

Dieser Artikel ist wahrhaftig blantant schlecht recherchiert und stellt die Situation einseitig, verzerrt und ĂŒbersimplifiziert dar.
Er suggeriert, die komplette Kryptografie Community sei von der NSA unterwandert „Diese Fehler in der Methodik, sind schockierend. Dass diese Fehler dutzende Mathematiker ĂŒbersehen haben, wirkt unrealistisch.“ und vergisst dabei völlig die Frage zu stellen, weshalb djb scheinbar alleine mit seiner Folgerung ist? Auch eine inhaltliche Auseinandersetzung mit der Sicherheit von Kyber512 unter Einbezug der vorliegenden Argumente sucht man hier vergeblich.
NatĂŒrlich sind die prozeduralen Probleme zu kritisieren und es ist toll, dass er diese zu Tage gefördert hat!

Ich empfehle dringend die LektĂŒre der entsprechenden Threads auf der NIST PQC Mailing Liste, um ein weniger einseitiges Bild von der Situation zu erhalten, bspw: groups.google.com/a/list.nist.gov/g/pqc-forum/c/W2VOzy0wz_E oder diverse andere Threads zu selbigem Thema.

1 Like

Mitnichten. Explizit NIST, und dafĂŒr gibt es nunmal leider Dokumente, die es belegen. Ob, bzw. in welchem Umfang davon weiß ist allerdings etwas, was man dringend hinterfragen, aber nicht unterstellen sollte.

Hier geht es, wie zuvor erwĂ€hnt, nicht (oder nur nebensĂ€chlich) um Kyber512. Ich bin mir meiner FĂ€higkeiten bewusst und eine umfangreiche kryptologische Analyse eines VerschlĂŒsselungsalgorithmus ĂŒbersteigt diese um LĂ€ngen. Ich habe lediglich die Funde von djb wiedergegeben und, sofern fĂŒr den Kontext relevant, mit zusĂ€tzlichen Informationen (wie Snowdens Veröffentlichungen) unterfĂŒttert. Falls du VorschlĂ€ge fĂŒr eine akkuratere Formulierung hast, lese ich mir die gerne durch und werde – sofern ich sie fĂŒr besser halte – in Zukunft verwenden.

So sehr ich es mir wĂŒnsche, besitze ich diese FĂ€higkeiten nicht. Das haben die wenigsten. ZusĂ€tzlich wage ich zu unterstellen, dass nur eine Minderheit der Leser wissen, was ECC ist, geschweige denn wie sie im Detail funktioniert. Da wĂŒrde mir Lars (zu recht) das Fell ĂŒber die Ohren ziehen.

Vielen Dank, das werde ich mir zu GemĂŒte fĂŒhren (angesichts der fortgeschrittenen Stunde aber wohl nicht mehr heute) und den Artikel entsprechend ergĂ€nzen

Das war auch das Hauptziel des Artikels: Die aufgezeigten MissstĂ€nde in eine etwas weitere Öffentlichkeit bringen. Besonders in Kombination mit der Geschichte der NSA-Einflussnahme hinterlĂ€sst das definitiv ein unangenehmes GeschmĂ€ckle und sollte extrem ernst genommen werden. Von allen.

PS: Entschuldige die etwas ungewöhnliche Form der Antwort, aber ich finde es ist wichtig auf das gesagte Bezug zu nehmen und bei der Entwicklung eines Mailclients mitzuhelfen, ist dem „Normie-Faktor“ in der schriftlichen Kommunikation nicht zutrĂ€glich. :smiley:

Hi mpldr, danke fĂŒr deine sachliche und ausfĂŒhrliche Antwort. Entschuldige meinen etwas harschen Ton in meinem ersten Kommentar, aber der Artikel geht/ging mir ziemlich gegen den Strich.

Ich bin besonders an „Dass diese Fehler dutzende Mathematiker ĂŒbersehen haben“ angestoßen, fĂŒr mich wurde dort nicht klar, dass dort NIST-Mathematiker gemeint sein sollen. Außerdem bin ich mir nicht sicher/wĂŒsste nicht, dass die NIST „dutzende“ Mathematiker darauf angesetzt hat, was den Eindruck bei mir verstĂ€rkt hat.

Stimme ich zu.

In dem Satz fehlt mir der wichtigste Teil, das Subjekt. :wink:

Naja, dafĂŒr, dass es nebensĂ€chlich um Kyber512 geht spielt der „Rechenfehler“ im Artikel schon eine prominente Rolle. Auch „absurde Historie von Kyber512“ klingt jetzt nicht gerade wertfrei, wenn wir mal ehrlich sind.

Ich denke, das geht den meisten Leuten so. Das ist aber nicht das, was ich meine. Es gibt diverse weitere Statements zu dem Thema, auch offiziell vom Kyber Team – ich hĂ€tte zumindest erwartet, dass diese hier dann ebenfalls ErwĂ€hnung finden wĂŒrden. Mir ging’s dabei einfach darum, mehr als die eine Perspektive auf die Situation darzulegen.

HauptsĂ€chlich finde ich, man sollte das Thema NIST/NSA und die Kyber512 Thematik mehr auseinanderhalten und nicht vorschnell Überschneidungen implizieren. Die Situation ist eine völlig andere, als bei Dual_EC_DRBG und es besteht kein Grund zur Vermutung, dass eine konkrete Schwachstelle vorliegt. FĂŒr eine bessere Formulierung ist es mir gerade aber auch zu spĂ€t :smile:

Das sehe ich im Grunde ein, allerdings ist der Kern der Diskussion gar nicht so schwer zu erfassen. Eigentlich geht es darum, welchen Einfluss die „Kosten“ von RAM(-Operationen) auf das Sicherheitsniveau der Algorithmen haben, da diese Metrik fĂŒr eine „realistische“ Betrachtung ebenfalls herangezogen werden muss. Wie gesagt, schau die mal den/die Threads auf der Mailingliste an, da wird einiges klarer (man muss auch nicht jedes Detail verstehen, um grob der Diskussion zu folgen).

Das ist schon richtig, allerdings sollte man den Einfluss der NIST hier auch nicht ĂŒberschĂ€tzen. Die VorschlĂ€ge der Algorithmen kommen aus der Forschungsgemeinschaft, sind seit Jahren öffentlich und wurden nicht von der NSA/NIST selbst vorgeschlagen (wie gesagt, anders als Dual_EC_DRBG). Ich bin prozedural voll bei dir, allerdings bin ich auch kein Fan von Panikmache, die sich aus technischer Sicht jeglicher Grundlage entzieht.
FĂŒr eine „zugĂ€nglichere“ Diskussion zu dem Thema kann ich auch die Kommentare hier empfehlen news.ycombinator.com/item?id=37756656

Ich auch :wink:

FĂŒr mich ist die Kryptologie ein Fachgebiet der Mathematik, das ist zumindest die Schlussfolgerung, die ich nach einem Semester davon gezogen habe.

Gute Punkt. Das Subjekt ist NIST ^^

Ist es auch definitiv nicht. Auch hier allerdings vor allem am von NIST verwendeten Prozess, und die Antworten lesen sich mitunter schon ‚absurd‘ unter dem Gesichtspunkt, dass sie von einer Regierungsbehörde kommen. Das sollte in keinster Weise eine EinschĂ€tzung der Sicherheit sein. Ich kann mir aber durchaus vorstellen, dass einige der Leser der Liste sich, bevor sie einen Thread lesen, erstmal eine TĂŒte Popcorn machen. Da geht es schon hoch her.

Kyber war, wie gesagt, mehr „Mittel zum Zweck“, als eigentliches Thema. NIST scheint sehr auf Kyber zu pochen, zumindest war das mein Eindruck nach dem Studium der Maillingliste. Und da fragt man sich eben schon, wie verlĂ€sslich dieser Standpunkt ist. Eben vor allem vor der historischen NĂ€he der Organisationen, bei oft entgegengesetzten Zielen. (ja, mir ist klar, dass die NSA auch Geheimnisse schĂŒtzen soll)

Ich wĂŒrde den Artikel nicht als Panikmache bezeichnen, um ehrlich zu sein. Handwerklich definitiv nicht mein bestes Werk, insofern muss ich dir zustimmen, aber keine Panikmache. Ich möchte einfach nur Aufmerksamkeit fĂŒr die komplette Situation gewinnen. Besonders die von Leuten, die intelligenter sind als ich und tatsĂ€chlich was dazu beitragen können. Umso mehr freue ich mich dann ĂŒber so einen so produktiven Austausch in den Kommentaren :slight_smile:

Moment, ich hab glaube noch eine TĂŒte Mikrowellen Popcorn ^^

PS: hab den Artikel ergÀnzt, hoffe so gefÀllt er dir besser

Definitiv. Die Betonung meiner Aussage sollte aber auf der Anzahl der Personen liegen. Außerdem sind es ja nur zum geringsten Teil NIST-Mathematiker, die die Kryptanalyse vornehmen. Der Großteil der Arbeit kommt von Forschenden aus der ganzen Welt. Die Korrektur im Text macht das klarer :+1:

Was auch einfach objektiv daran liegt, dass Kyber a) ein sicheres, effizientes Verfahren ist und b) im letzten Jahr zur Standardisierung gewÀhlt wurde.
Andersrum könnte man ja auch mal anmerken, dass djb mit NTRU Prime einen Kandidaten im Renne hatte, der (bisher) nicht zur Standardisierung ausgewĂ€hlt wurde („verloren hat“) – vielleicht ein Grund ein bisschen extra salty zu sein :wink:

Mir gefĂ€llt der Gesamtton des Artikels nicht, aber die Anpassungen machen ihn definitiv besser. Danke fĂŒr die Reaktion, das hat man auch nicht oft :+1: :slightly_smiling_face:

In dem Fall habe ich das schlicht falsch verstanden. Ich konnte dazu allerdings auch keine offiziellen Zahlen zu diesem Vorgang finden.

Definitiv. NTRU hatte ich wĂ€hrend meiner Recherche gefunden, ĂŒber Motive zu spekulieren, ist aber nicht meine Aufgabe. Werde beim nĂ€chsten Mal aber sicher darauf achten das einzubauen.

Sehr gerne! Ich danke fĂŒr den konstruktiven Input. Das hat man (leider) auch nicht oft!