1 points par GN⁺ 2023-10-15 | 1 commentaires | Partager sur WhatsApp
  • Alors que les inquiétudes grandissent quant au fait que les ordinateurs quantiques puissent neutraliser les systèmes de chiffrement existants, Daniel Bernstein critique la standardisation du chiffrement post-quantique par le NIST, estimant qu’elle ne rend pas suffisamment visibles l’implication de la NSA ni les calculs de sécurité
  • Le NIST travaille depuis 2012 sur la standardisation du PQC, et Bernstein estime que la NSA cherche à introduire des faiblesses secrètes dans les nouvelles normes, ce que le NIST nie
  • À propos de Kyber512, l’un des points de friction, Bernstein affirme que le NIST a surestimé son niveau de sécurité, tandis que Dustin Moody, du NIST, répond qu’il s’agit d’un domaine où il n’existe pas de certitude scientifique et rejette cette analyse
  • Le NIST considère que Kyber512 satisfait au critère level one correspondant au niveau d’AES-128, tout en recommandant en pratique le plus robuste Kyber768, conformément à la proposition des développeurs
  • Bien que le NIST affirme avoir renforcé ses règles de transparence depuis les révélations de Snowden, les demandes d’accès à l’information et le procès intentés par Bernstein laissent ouverte la question de savoir si le processus de sélection des normes cryptographiques peut être vérifié de l’extérieur

Controverse autour de la standardisation du chiffrement post-quantique

  • Daniel Bernstein, de l’University of Illinois Chicago, estime que le NIST brouille intentionnellement le niveau d’implication de la NSA dans l’élaboration des normes de chiffrement post-quantique
  • Bernstein affirme aussi que les calculs du niveau de sécurité des nouvelles normes peuvent contenir des erreurs, voire des erreurs intentionnelles
  • Le NIST rejette ces accusations et indique ne pas être d’accord avec l’analyse de Bernstein
  • Le point central soulevé par Bernstein est qu’une organisation chargée de choisir des normes cryptographiques doit suivre des règles publiques de manière transparente et vérifiable
    • Selon lui, le NIST a promis de la transparence, mais il n’est pas exact d’affirmer que tout le travail a été rendu public

Pourquoi les normes PQC sont importantes

  • Les problèmes mathématiques utilisés aujourd’hui pour protéger les données sont en pratique extrêmement difficiles à résoudre, même pour les plus grands supercalculateurs actuels
  • Si des ordinateurs quantiques stables et puissants voient le jour, ils pourraient casser très rapidement le chiffrement actuel
  • On ignore encore quand de telles machines existeront, mais le NIST mène depuis 2012 un projet de standardisation de nouveaux algorithmes résistants aux attaques d’ordinateurs quantiques
  • Bernstein est la personne qui a forgé en 2003 le terme post-quantum cryptography pour désigner ce type d’algorithmes
  • Les normes du NIST pouvant être utilisées à l’échelle mondiale, une faille éventuelle pourrait avoir un impact très large

Désaccord sur les calculs de sécurité de Kyber512

  • Bernstein affirme que les calculs du NIST concernant Kyber512, l’un des candidats à la future norme PQC, sont « manifestement faux »
  • Sa critique principale est que le NIST a utilisé une multiplication là où l’addition de deux nombres aurait été plus juste, ce qui a conduit à surestimer la résistance de Kyber512 aux attaques
  • Dustin Moody, du NIST, n’est pas d’accord avec cette analyse
    • Il explique qu’il n’existe pas de certitude scientifique sur cette question et que des personnes intelligentes peuvent avoir des avis différents
    • Il dit respecter l’opinion de Bernstein, tout en rejetant sa conclusion
  • Moody considère que Kyber512 répond au niveau de sécurité level one du NIST
    • Ce niveau correspond à une difficulté de cassage comparable à celle d’AES-128, un algorithme largement utilisé
    • Pour les usages réels, il recommande toutefois Kyber768, plus robuste
    • Selon lui, cette recommandation en faveur de Kyber768 venait des développeurs de l’algorithme

Calendrier de finalisation des normes et position de Kyber

  • Le NIST se trouve actuellement dans une phase de consultation publique
  • Il espère publier les normes finales des algorithmes PQC l’année prochaine
  • Une fois les normes entérinées, les organisations pourront commencer à adopter ces nouveaux algorithmes
  • Kyber ayant déjà franchi plusieurs étapes du processus de sélection, son inclusion dans la norme finale semble probable

Un problème de confiance hérité des précédents

  • Il est difficile d’affirmer avec certitude quelle influence réelle la NSA a eue sur les normes PQC, en raison du secret entourant l’organisation
  • Les soupçons et rumeurs selon lesquels la NSA affaiblirait volontairement des algorithmes cryptographiques existent depuis longtemps
  • En 2013, The New York Times rapportait que la NSA disposait d’un budget de 250 millions de dollars pour ce type d’opérations
  • La même année, des documents des services de renseignement divulgués par Edward Snowden indiquaient que la NSA avait volontairement introduit une porte dérobée dans un algorithme cryptographique
    • Cet algorithme a ensuite été retiré de la norme officielle

Réponse du NIST et revendication de transparence

  • Moody affirme que le NIST n’a jamais accepté d’affaiblir délibérément une norme à la demande de la NSA
  • Selon son explication, si une faiblesse secrète avait existé, elle aurait dû être introduite à l’insu du NIST
  • Le NIST indique avoir renforcé ses règles de transparence et de sécurité après les révélations de Snowden afin de regagner la confiance des spécialistes en cryptographie
  • Moody explique que chaque fois que la NSA est mentionnée, certains cryptographes s’inquiètent, et que le NIST a cherché à traiter ouvertement ses interactions avec l’agence
  • Selon lui, la NSA a elle aussi tenté d’être plus ouverte, dans les limites imposées par son statut de service de renseignement secret
  • La NSA n’a pas répondu à la demande de commentaire de New Scientist
  • Moody reconnaît qu’il peut affirmer que les décisions sont prises par le NIST, mais que sans en faire partie, il n’existe pas de moyen de le vérifier

Des documents révélés par une demande d’accès à l’information

  • Bernstein affirme que le NIST n’a pas divulgué le niveau d’intervention de la NSA et a bloqué ses demandes d’information
  • Il a déposé une demande d’accès à l’information et engagé une procédure contre le NIST, obtenant ainsi la publication de détails sur l’implication de la NSA
  • Les documents qui lui ont été communiqués montrent qu’un groupe désigné comme « Post Quantum Cryptography Team, National Institute of Standards and Technology » comprenait de nombreux membres de la NSA
  • Les documents indiquent aussi que le NIST a rencontré des responsables du GCHQ, l’équivalent britannique de la NSA

Évaluation d’un expert externe

  • Alan Woodward, de l’University of Surrey, estime qu’il existe de bonnes raisons d’être prudent avec les algorithmes cryptographiques
  • Il cite par exemple GEA-1, utilisé dans les réseaux de téléphonie mobile des années 1990 et 2000
    • Une faille a été découverte, permettant de le casser avec des besoins de calcul des millions de fois inférieurs à ce qui était prévu
    • On ne sait pas qui a introduit cette faiblesse
  • Woodward souligne que les candidats PQC actuels ont fait l’objet d’un examen approfondi de la part du monde académique et de l’industrie, et qu’aucun n’a encore été jugé insuffisant
  • D’autres algorithmes des phases précédentes de la compétition ont été éliminés après démonstration de failles
  • Woodward rappelle que les services de renseignement ont déjà un historique d’affaiblissement du chiffrement, mais estime qu’au vu de l’ampleur des analyses de sécurité menées sur ces candidats, il serait surprenant que Kyber contienne un piège dissimulé

1 commentaires

 
GN⁺ 2023-10-15
Avis sur Hacker News
  • La phrase de Moody, selon laquelle « tout ce que nous pouvons faire, c’est vous dire que le NIST est l’entité qui prend les décisions dans la pièce ; si vous ne nous croyez pas, il n’y a aucun moyen de le vérifier sans être à l’intérieur du NIST », est précisément le problème
    Si une institution aussi importante que le NIST n’est pas assez transparente pour que toute personne intéressée puisse passer en revue toutes les réunions, notes et conversations de pause, il faut la dissoudre et la remplacer par une organisation qui serve correctement le public
    Nous avons déformé la technologie pour créer un monde de surveillance omniprésente, et nous l’avons détournée pour regarder dans la vie privée de citoyens ordinaires
    Si les technologies de surveillance et d’audit ont des usages légitimes, les personnes qui devraient moralement renoncer à une partie de leur vie privée sont celles qui travaillent publiquement au Congrès, dans les conseils locaux, les agences gouvernementales et les organismes de normalisation
    Il ne suffit pas de « le dire » : il faut le prouver, et s’ils ne peuvent pas le prouver, ils doivent céder la place à une direction plus adaptée à l’intérêt public

    • Cela fait imaginer un gouvernement un peu différent du nôtre, où un organe de surveillance vérifierait que les fonctionnaires ne se parlent pas en dehors des réunions publiques
      La charge serait énorme, mais dans un univers parallèle cela pourrait sembler évident. Après tout, les représentants doivent nous rendre des comptes
    • La surveillance omniprésente moderne n’est pas déployée en affaiblissant le chiffrement : elle est intégrée aux plateformes et aux applications, et les gens l’installent volontairement à cause des services gratuits et des fils de réseaux sociaux addictifs
      Il n’est pas nécessaire d’affaiblir le chiffrement pour surveiller les gens. Montrez-leur un lapin qui danse, puis faites-leur cliquer sur « autoriser l’accès aux contacts », « autoriser l’accès à la caméra », « autoriser l’accès au micro » et « autoriser l’accès aux documents » pour le voir
      Dit de façon un peu plus sophistiquée, remplacez le lapin qui danse par un service gratuit
      Ajoutez à cela une adoption accrue des architectures de commande et contrôle dans le cloud, et la surveillance devient encore plus facile. Quiconque dispose d’un accès interne chez le fournisseur cloud peut intercepter presque en temps réel les actions de tout le monde, parfois même à l’insu du fournisseur lui-même. Plus nous utilisons ce type de services, plus nous transmettons de points de données qui, une fois combinés, produisent presque en temps réel une quantité considérable d’informations sur nous
    • Tu proposes une surveillance 24 h/24 où tout ce qui est collecté sur les personnes qui font ce travail serait visible par n’importe qui ? Je me demande qui accepterait un tel poste
    • Même du point de vue du NIST, cela paraît extrêmement court-termiste
      Sur le plan éthique, tout le monde voit bien comment juger la chose, mais pour les besoins de la discussion, regardons cela du point de vue du NIST ou de la NSA : ils pourraient croire qu’une menace précise justifie que le NIST ou la NSA introduise une backdoor
      Pour cela, le NIST devrait conserver un important capital de confiance sociale et la confiance de l’industrie, à utiliser sur un sujet très étroit
      Or il y a eu assez d’affaires étranges au fil des ans, comme Dual EC DRBG, et dans la conception cryptographique en particulier, il ne reste presque plus de cette confiance. J’ai l’impression que les derniers standards ECC promus par le NIST inspirent beaucoup moins confiance qu’AES au moment de sa publication, et plusieurs événements majeurs susceptibles d’alimenter cette défiance me viennent à l’esprit
      Au final, le NIST perdra beaucoup d’influence sur l’industrie, ce qui n’est pas non plus dans son intérêt
    • Le simple fait que le NIST ne soit pas transparent suffit à supposer que tout travail lié à la cryptographie auquel il a touché est compromis
      Franchement, je considère que le chiffrement moderne est fondamentalement compromis. Le pari dépend de qui l’a compromis, comment, et de la probabilité qu’ils cherchent à accéder à mes données
  • L’article est un peu étrange ; en tant que personne travaillant dans la sécurité, je résumerais la situation ainsi
    Bernstein, chercheur en sécurité respecté, a publié la semaine dernière un long billet de blog critiquant le processus de normalisation du NIST pour les nouveaux algorithmes de cryptographie post-quantique. Le sujet porte sur les mécanismes d’encapsulation de clés, c’est-à-dire des domaines comme l’échange de clés TLS, et les grands candidats sont Kyber et NTRU, dont Bernstein est coauteur
    Son principal grief est que le NIST aurait mené la procédure de sélection de façon laxiste, en éliminant une variante rapide de NTRU qui manquait de très peu certains seuils de sécurité. Sans cette variante, NTRU paraît plus lent et moins flexible qu’il ne l’est réellement
    À l’inverse, le NIST a accepté une variante de Kyber tout aussi rapide sur la base d’hypothèses fragiles. Bernstein soutient longuement qu’elle aussi ne satisfait pas les seuils de sécurité et devrait donc être éliminée. Fait intéressant, le NIST a apparemment utilisé les propres travaux de Bernstein de manière incorrecte pour défendre la sécurité de Kyber
    Il y a une impression d’irrégularité, comme si le NIST avait favorisé un algorithme plutôt qu’un autre pour des raisons inconnues. Au début du texte, Bernstein présente aussi les résultats d’un récent procès qu’il a intenté pour obtenir davantage d’informations sur les procédures internes du NIST ; il semble que le NIST et la NSA se soient rencontrés plus souvent qu’on ne le savait auparavant
    Mon interprétation penche davantage vers des erreurs internes du NIST dans l’évaluation des algorithmes que vers une NSA imposant son agenda. On peut aussi y voir Bernstein vexé que son algorithme ne soit peut-être pas choisi et utilisant des tactiques détournées, mais il jouit d’une excellente réputation et avance de manière convaincante que le NIST a commis des erreurs importantes et n’est pas assez transparent
    https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
    https://blog.cr.yp.to/20231003-countcorrectly.html

    • Je me demande pourquoi tu vois les choses ainsi. La NSA a déjà fait exactement ce genre de choses par le passé ; pourquoi faudrait-il présumer de sa bonne foi cette fois-ci ?
      https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
    • Si « un universitaire est contrarié de ne pas recevoir le crédit qu’il mérite » et « un universitaire veut aider le monde » sont tous deux des possibilités, il faut toujours examiner longuement la première
      Je suis moi-même universitaire, et il faut aussi lire ce texte sous cet angle
  • Pendant toute la semaine dernière, j’ai vu des cryptographes essayer de comprendre ce que signifiait exactement ce billet de blog de Bernstein, et j’ai du mal à croire que Matthew Sparkes, de The New Scientist, l’ait mieux compris qu’eux
    Sparkes n’a pas non plus interviewé Bernstein directement, et si personne ici ne s’intéresse aux citations du NIST, cet article semble bien faire doublon

  • Chaque fois que l’histoire DJB contre NIST revient, il y a toujours une réaction du genre « cela peut sembler anodin, mais il a un parcours irréprochable, donc il faut le croire »
    Je mets ce fil Twitter en lien parce que j’aimerais nuancer un peu cela
    https://nitter.net/FiloSottile/status/1555669786826244096
    Il montre qu’il existe un schéma d’intimidation de Bernstein et de ses collègues envers d’autres cryptographes
    On peut être un excellent cryptographe et, en même temps, quelqu’un de mesquin ; les deux ne s’excluent pas

    • Je n’ai pas fouillé tous les liens de ce fil Twitter, mais les premiers tweets prêtent pas mal à confusion
      Les tweets disent que DJB a laissé entendre que les scientifiques ayant soumis les algorithmes avaient été achetés par la NSA, mais c’est une incompréhension complète de ce qu’il a écrit. Son argument était plutôt que la NSA n’avait même pas besoin de soudoyer ces scientifiques. Comme elle avait déjà recruté, des années auparavant, les meilleurs experts du domaine, elle pouvait avoir une longueur d’avance considérable sur les soumissions, et il lui suffisait alors de pousser le NIST à choisir un algorithme dont elle savait comment le casser
      Je ne connais pas assez ce dossier pour dire si l’argument de DJB relève de la paranoïa délirante, comme l’auteur du fil le suggère avec le GIF de son 3e tweet. Ce que je vois, en revanche, c’est que l’auteur déforme fortement ce que DJB a écrit
    • Il y a énormément de choses à démêler dans ce fil et ses références, et beaucoup se contredisent mutuellement
      Par exemple, l’une des références utilisées comme preuve que DJB serait mauvais se plaint qu’après un certain temps en arrêt maladie, l’employeur ait proposé de consulter un médecin du travail, ce qui a été perçu comme une insulte. Or, aux Pays-Bas, c’est une procédure 100 % standard, et ce médecin n’est pas rattaché à l’entreprise : il est indépendant et tenu au secret
      C’est la manière de résoudre le conflit suivant : on ne peut pas se déclarer malade indéfiniment sans en donner la raison tout en continuant à attendre son salaire, mais l’employeur n’a pas non plus le droit de connaître le dossier médical. Cela permet de garantir à la fois le secret médical et les arrêts maladie longs, tout en permettant à l’employeur de faire confiance à un médecin impartial pour vérifier que les mesures appropriées sont prises
      Ce point apparaît comme une partie du conflit entre DJB, l’auteur et l’université où ils travaillent. Ailleurs aussi, dans les accusations selon lesquelles DJB et d’autres auraient laissé des abus se produire, certains éléments semblent découler d’une méconnaissance du système local
      Je crois la majeure partie de ce qui est écrit, mais il me paraît aussi clair que le fait de ne pas s’être renseigné auprès de collègues, d’amis ou via Google/DDG sur le système juridique du nouveau pays a aggravé les problèmes. DJB a aussi suggéré d’engager une action en justice, et les RH ont proposé une médiation, mais la personne concernée a refusé les deux. Donc, à ce stade, les preuves se résument aux propos de cette personne sur un blog, et les personnes désignées comme agresseurs n’ont subi aucune conséquence
      Ces références peuvent certes convaincre dans le sens « DJB = mauvais », mais elles donnent aussi l’impression qu’il pourrait y avoir plus de contexte qu’un seul récit
    • Je suis tout à fait d’accord. Bernstein a déjà été décrit comme quelqu’un qui « manque de délicatesse autant que l’Incroyable Hulk », ou quelque chose du genre. Il est probable que certaines choses lui soient passées parce qu’il est un cryptographe remarquable
      La conception de curve25519 me semble être une réussite comparable, par son impact pratique, à l’invention de RSA ou de Diffie-Hellman. Non pas parce que l’idée était nouvelle, mais parce que les éléments ont été assemblés sous une forme qui « fonctionne tout simplement » en pratique. Pas besoin de se soucier des points de courbe invalides, des attaques par twist, ou de l’utilisation accidentelle de formules d’addition pour le doublement de points
      L’idée qu’on puisse créer une bibliothèque cryptographique qui fasse bien une seule chose, plutôt qu’un framework où l’on insère des choix de paramètres dont seuls certains peuvent être sûrs, était suffisamment nouvelle à l’époque pour que personne ne procède vraiment ainsi. Le fait que, lorsqu’on a besoin de vraies clés, la plupart des gens utilisent ssh-keygen -t ed25519 ou la commande équivalente dans un autre système en dit long
      Il en va de même du fait que GitHub abandonne le type de clé ssh-dss et recommande ed25519 ainsi que les valeurs par défaut. Dans les signatures électroniques, la compétition entre Ed25519 et DSA/ECDSA est une victoire écrasante de Bernstein, et le NIST y a perdu la face. Je ne vois pas de preuve de malveillance, mais je n’ai toujours pas entendu d’explication raisonnable à la manière dont ECDSA a pu autant abîmer le protocole de Schnorr, au point que de nombreuses implémentations ont créé des failles de sécurité catastrophiques
      Il y a aussi les révélations Snowden et DUAL_EC. Dire que « la NSA est déjà intervenue par le passé dans des standards cryptographiques, des fuites crédibles montrent que cela faisait partie de sa mission, et elle pourrait recommencer » me semble être une affirmation plausible et étayée par des preuves, très loin d’une théorie du complot ordinaire. On n’est pas dans le registre de la falsification de l’alunissage
      Par ailleurs, parmi les nombreuses façons dont Bernstein pourrait être mauvais, il y en a beaucoup dont, à ma connaissance, il n’a jamais été accusé. Il n’y a pas d’allégations d’agression sexuelle ou de viol, et je ne sais pas non plus qu’il ait tenu des propos particulièrement racistes ou promu une idéologie d’extrême droite. On lui reproche d’avoir insulté des personnes qui n’étaient pas d’accord avec lui sur des sujets techniques, et parfois de les avoir menacées, mais ce n’est pas la même chose que ce qu’on entend généralement par « mauvaise/personne toxique à éviter si possible »
      Je dirais qu’il a un parcours assez irréprochable en conception de protocoles cryptographiques, et un parcours assez entaché dans les relations humaines. C’est un atout lorsqu’il s’agit de s’opposer à des décisions de conception réellement stupides ou malveillantes, mais pas dans beaucoup d’autres cas
    • Ce contexte est important
      Le passage clé est : « si sa méthode n’est pas adoptée par le NIST, les gens penseront que c’est parce qu’elle n’a pas de backdoor, et citeront le procès FOIA comme preuve »
  • En parlant des motivations de l’auteur, on risque malheureusement de passer à côté de l’erreur de calcul du NIST
    L’erreur centrale du NIST est d’avoir multiplié à tort deux coûts qui auraient dû être additionnés. Si cet argument est correct, la prudence voudrait au minimum que le brouillon soit réexaminé et corrigé

  • Discussion précédente : https://news.ycombinator.com/item?id=37756656

  • Ironiquement, la manière dont DJB traite ses collègues et le NIST, sur le fond comme sur la forme, risque fort de détourner les deux camps de ses arguments, même s’ils peuvent être crédibles
    Ce que DJB perçoit comme de l’« obstination » de la part du NIST pourrait aussi être une réticence à s’impliquer avec un civil hostile et de plus en plus étrange
    Quand Dustin Moody, du NIST, dit : « Nous ne sommes pas d’accord avec son analyse. C’est une question sans certitude scientifique, et des personnes intelligentes peuvent avoir des avis différents. Nous respectons l’avis de Dan, mais nous ne sommes pas d’accord », c’est bon pour un article de vulgarisation scientifique, mais moi et beaucoup d’autres aimerions voir les détails de cette analyse réellement examinés
    DJB aurait pu créer cette occasion, mais il l’a gâchée. Cela ne veut pas dire pour autant que les questions sur son calcul du niveau de sécurité de Kyber-512 peuvent rester sans réponse

    • « C’est une question sans certitude scientifique, et des personnes intelligentes peuvent avoir des avis différents » : qu’est-ce que ça veut dire ?
      Ce n’est pas ce genre de problème. DJB dit en substance que la NSA affirme quelque chose comme « 3 + 3 = 9 », et cette affirmation est soit vraie, soit fausse
      L’article est derrière un paywall, donc après avoir lu les commentaires je n’ai pas particulièrement envie de le contourner, mais cette phrase visible avant le paywall est franchement malhonnête
  • Dan Bernstein a créé Qmail, DJBDNS et des algorithmes cryptographiques
    https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
    Qmail
    https://en.m.wikipedia.org/wiki/Qmail
    Djbdns
    https://en.m.wikipedia.org/wiki/Djbdns
    https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein

  • Comme beaucoup d’autres choses, le chiffrement est trop important pour être laissé entre les mains des États