Számtalanszor foglalkoztunk vele, hogy az államhatalmi szervek nem kedvelik a titkosításokat, mármint azokat, amikhez ők nem férnek hozzá. (A témával kapcsolatban ezen a linken talál cikkeket.) Az amerikai Nemzetbiztonsági Ügynökség, az NSA már azon munkálkodik, hogy kedvére gyengüljön a következő generációs titkosítás, állította a New Scientistnek egy neves kriptográfiai szakértő.

A chicagói Illinois Egyetemen (UIC) kutató Daniel Bernstein matematikus (és a kriptográfia harcosa) szerint az amerikai Nemzeti Szabványügyi és Technológiai Intézet (NIST, National Institute of Standards and Technology) emiatt ködösít azzal kapcsolatban, hogy az NSA milyen mértékben folyik bele az ún. posztkvantum titkosítás szabványainak kidolgozásában. A NIST tagadta Berstein állításait.

A matematikus szerint a szabványosítási folyamatnak – és értelemszerűen a szabványosításon dolgozó személyek kiválasztásának is – teljesen transzparensnek kell lenniük. Ez azonban jelen esetben nem valósul meg.

A probléma

Azok a matematikai problémák, melyeket ma a titkosításoknál alkalmaznak, egyelőre a legerősebb szuperszámítógépek számára is megoldhatatlan feladatot jelentenek. Feltörésük gyakorlatilag lehetetlen, legalábbis akkora erőforrást igényelne, amennyit a támadók nem tudnak mozgósítani. Sokak szerint azonban a kvantumszámítógépek pont ilyen területen teljesítenek majd jól, és a legerősebb hagyományos titkosításokat is pillanatok alatt megtörik. (A Booz Allen Hamilton már 2021-ben erős figyelmeztetést adott ki ezzel kapcsolatban.)

Azt még nem látni, hogy mikor lesz a kvantumszámítógép mindennapi eszköz (bár ígéretes fejlesztésekből nincs hiány), de a technológia megvalósíthatóságában senki sem kételkedik. Olyannyira nem, hogy a NIST már 2012 óta dolgozik a kvantumkorszak PQC-ként (post-quantum cryptography – a kifejezés a New Scientist szerint Bernstein találmánya) is emlegetett titkosítási szabványán, ami kvatumszámítógépekkel sem törhető.

A UIC matematikusa szerint az NSA homályos szerepe a szabványosítási folyamatban arra utal, hogy az amerikai kiberkémek szeretnék gyengíteni a titkosítást, illetve a szabványba csempésznének olyan gyenge pontokat, melyeken keresztül később az implemetációkat fel tudják törni. Mivel a NIST szabványait világszerte használják, ezeknek a hibáknak óriási lehet a hatása.

És a bizonyítás

Ez a szándék jól tetten érhető az egyik készülőfélben lévő szabványban: a Kyber512-ben, állítja Bernstein. Szerinte a NIST számításai "kirívóan hibásak" (nagyjából úgy kell elképzelni, mintha a két számnak nem az összegével, hanem a szorzatával számoltak volna), így a szabvány sokkal biztonságosabbnak tűnik, mint amilyen valójában.

Itt azonban belép a kvantumvilág bizonytalansága: a NIST szakértője ugyanis nem ért egyet Bernsteinnel. Dustin Moody érvelése figyelemre méltó: a vitatott problémával kapcsolatban nincs tudományos konszenzus, több eltérő nézet verseng egymással, és nekik itt egyszerűen más a véleményük, amely szintén kielégíti az érvényességi kritériumokat.

Másrészt Moody szerint a Kyber512 csupán a NIST "első szintű" biztonsági feltételeinek felel meg, azaz legalább olyan nehéz feltörni, mint a ma is létező AES-128-at. Ezért javasolja maga a szabványügyi szervezet is azt, hogy a gyakorlatban inkább a Kyber768-at kellene használniuk, ami lényegesen erősebb, mint a Berstein által kritizált szabvány.

Nem zörög a haraszt

A szabványok már eljutottak a nyilvános konzultációs szakaszba, és ha minden a menetrend szerint alakul, jövőre már készülhetnek az implementációk. Ugyanakkor a New Scientist is utal arra, hogy az NSA szerepe továbbra sem világos a folyamatban. Az NSA ugyanis egyáltalán nem igyekezett megvilágítani, mi volt a feladata a PQC-szabványok kialakításában (a New Scientistnek sem nyilatkozott). Mindenesetre nem lenne példa nélküli, ha valóban azon dolgozna, hogy backdoorokat rakjon titkosítási szabványokba. A Snowden-botrány kapcsán például kiderült, erre külön költségvetése volt, nem is kevés: 250 millió dollár. És az is kiderült, hogy nem fölöslegesen tapsolták el a pénzt.

A NIST szakértője azonban tagadta, hogy az NSA utasítására valaha is szándékosan gyengítettek volna bármely titkosítási szabványt. Ráadásul a Snowden-botrány után szigorították a szabványalkotási irányelveket, hogy a folyamat még átláthatóbb legyen.

Bernstein azonban épp az átláthatósággal elégedetlen. Kitart amellett, hogy a NIST nem adott elegendő információt az NSA közreműködésének mértékéről, ezért bíróságon szeretné kikényszeríteni, hogy beleláthasson a szabványügyi szervezet és a titkosszolgálat együttműködésének részleteibe. A megkapott dokumentumokból ugyanis csak annyi derül ki, hogy a Post Quantum Cryptography Teamben számos szakértő dolgozott az NSA részéről, illetve hogy a NIST találkozott a brit kibekémszervezet, a GCHQ (Government Communications Headquarters) munkatársával is.

A New Scientist megkérdezett más titkosítási szakértőt is, aki azt mondta, hogy nem árt az óvatosság, mert már derült fény olyan hibára, ami valószínűleg szándékosan került titkosítási algoritmusba. A lehetséges PQC-szabványok esetében azonban még nem bukkantak ilyesmire.

A teljes sztorit a New Scientist oldalán lehet elolvasni.