- Inti kritiknya adalah bahwa dalam proses NIST mendorong Kyber-512 sebagai standar kriptografi pasca-kuantum, NIST salah menghitung biaya serangan sehingga tingkat keamanannya tampak lebih tinggi dari yang sebenarnya
- Titik sengketanya adalah bahwa biaya komputasi dan biaya akses memori per iterasi harus dijumlahkan, tetapi NIST dipandang memperlakukannya seolah-olah dikalikan, sehingga menambahkan “40 bit keamanan ekstra” ke estimasi 2^137 dari Matzov
- Kyber-512 dipresentasikan berada di kisaran 2^118 menurut Core-SVP, dan NIST berusaha mencocokkannya dengan sekitar 2^143 operasi bit sebagai patokan AES-128, tetapi dikritik karena satuan dan makna angka yang digabungkan tidak selaras
- Kyber hanya menyediakan pilihan parameter yang terbatas seperti Kyber-512, Kyber-768, dan Kyber-1024, sedangkan NTRU dan NTRU Prime dibandingkan sebagai opsi yang menawarkan pilihan ukuran dan tingkat keamanan yang lebih rapat
- Standardisasi Kyber-512 dinilai dibayangi ketidakpastian analisis serangan, belum terkuantifikasinya model biaya memori, dan kurangnya peninjauan publik, sehingga penulis menuntut penghapusan Kyber-512 serta pengungkapan kesalahan perhitungan NIST
Inti kesalahan perhitungan
- Titik berangkatnya adalah contoh sederhana: “2^40 + 2^40 bukan 2^80, melainkan 2^41”
- Jika angka yang seharusnya dikalikan dan angka yang seharusnya dijumlahkan tertukar, tingkat keamanan bisa tampak jauh lebih tinggi dari kenyataan
- Struktur yang dipersoalkan dalam perdebatan tingkat keamanan Kyber-512 adalah sebagai berikut
- Serangan terdiri dari banyak iterasi (iteration)
- Tiap iterasi memiliki biaya komputasi dan biaya akses memori
- Biaya total harus dihitung sebagai
jumlah iterasi × biaya per iterasi - Di dalam biaya per iterasi, biaya komputasi dan biaya akses memori harus dijumlahkan
- Kritik utamanya adalah bahwa NIST menghasilkan efek seolah-olah biaya komputasi dan biaya akses memori tidak dijumlahkan, melainkan dikalikan
- Sebagai contoh, 2^25 operasi bit/iterasi dan 2^35 operasi bit/iterasi harus dijumlahkan
- Jika dikalikan, satuannya menjadi
bitops^2/iter^2, yang bukan satuan biaya serangan - Perkalian semacam itu dapat membesar-besarkan biaya serangan hingga jutaan kali atau lebih
Latar belakang NISTPQC dan Kyber-512
- NIST mengumumkan rencana standardisasi Kyber-512 pada 2022, lalu menerbitkan draf standar Kyber-512 pada 2023
- Fokus kritiknya adalah bahwa NIST melakukan kesalahan perhitungan serius saat membenarkan tingkat keamanan Kyber-512
- Pada Maret 2022, diajukan permintaan FOIA untuk NSA, NIST, and post-quantum cryptography, dan kemudian sebagian dokumen internal NIST dibuka melalui gugatan
- Melalui perbandingan dokumen yang dibuka dan yang tidak dibuka, penulis menilai keterlibatan NSA dalam proses NISTPQC lebih besar daripada penjelasan publik NIST
- Daftar tim
pqc@nist.govtahun 2016 disebut berisi lebih banyak personel NSA daripada personel NIST - NIST sebelumnya menyatakan dalam materi publik tahun 2020 bahwa umpan balik NSA tidak memengaruhi keputusan dan hanya NIST yang mengambil keputusan berdasarkan informasi publik
- Pada Januari 2023, permintaan FOIA baru diajukan terkait klaim tingkat keamanan Kyber-512, dan disebutkan bahwa NIST kembali menunda tanggapan sehingga berujung pada gugatan baru
Pilihan parameter Kyber yang terbatas
- Kyber dikritik karena, tidak seperti RSA, ECC, McEliece, atau NTRU, sulit menaikkan tingkat keamanan sedikit demi sedikit ke ukuran yang diinginkan
- Tidak ada Kyber-576, dan opsi yang lebih kuat dari Kyber-512 adalah Kyber-768, yang memerlukan kenaikan dimensi 50%
- Opsi yang lebih kuat dari Kyber-768 adalah Kyber-1024
- Tidak ada opsi yang lebih kuat dari Kyber-1024
- Dokumen resmi Kyber menonjolkan kemampuan memproses semua set parameter dengan “dimension-256 NTT” sebagai keunggulan, tetapi dalam struktur ini dimensi yang bukan kelipatan 256 memerlukan perubahan desain inti
- Dalam aplikasi dengan batas 1KB, Kyber-768 sulit digunakan sehingga Kyber-512 menjadi opsi Kyber dengan keamanan tertinggi yang tersedia
- Kyber-768 menggunakan public key 1184-byte dan ciphertext 1088-byte
- Kyber-512 menggunakan key 800-byte dan ciphertext 768-byte
- Pada batas 1KB yang sama, keluarga NTRU dibandingkan sebagai pemberi estimasi Core-SVP yang lebih tinggi
sntrup653: key 994-byte, ciphertext 897-byte, Core-SVP 2^129- NTRU-677 (
ntruhps2048677): key 931-byte, ciphertext 931-byte, Core-SVP 2^145 - Versi round-3 Kyber-512 dipresentasikan dengan Core-SVP 2^118
- Core-SVP adalah mekanisme yang digunakan tim Kyber untuk memperkirakan tingkat keamanan dalam submission round-1 dan round-2, dan laporan round-2 NIST tahun 2020 juga menggunakan Core-SVP untuk perbandingan
Kriteria evaluasi NIST dan perbandingan dengan NTRU
- Permintaan submission resmi NIST tahun 2016 memasukkan fleksibilitas (flexibility) sebagai kriteria evaluasi
- Dengan asumsi “keamanan keseluruhan dan kinerja yang baik”, pendekatan yang lebih fleksibel dinilai dapat memenuhi lebih banyak kebutuhan pengguna
- Disebutkan secara eksplisit bahwa bahkan dalam kategori yang sama, beberapa set parameter dapat diajukan untuk menyesuaikan kinerja atau margin keamanan
- Saat menggugurkan NewHope pada 2020, NIST menyebut kemampuan Kyber mendukung set parameter category 3 secara alami sebagai salah satu alasannya
- Jika Kyber-512 tidak memenuhi tingkat keamanan minimum, maka Kyber hanya menyisakan Kyber-768 dan Kyber-1024, sehingga masalah fleksibilitas yang kalah dari NTRU menjadi lebih besar
- Selection report NIST tahun 2022 menyatakan yakin pada keamanan Kyber maupun NTRU, dan menilai kinerja KEM secara umum dapat diterima untuk aplikasi tujuan umum
- Dalam kondisi ini, logikanya adalah jika Kyber-512 dihapus, NTRU menjadi lebih unggul daripada Kyber karena menawarkan opsi yang lebih kecil, opsi keamanan yang lebih tinggi, dan trade-off ukuran-keamanan yang lebih rapat
Empat kritik bahwa NIST memiringkan persaingan
-
1. Mengabaikan fleksibilitas tambahan NTRU
- Literatur NTRU disebut telah lama menunjukkan bahwa banyak pilihan tingkat keamanan dan ukuran dapat disediakan
- Pada 2020, NIST menyatakan bahwa “too many parameter sets” membuat evaluasi dan analisis lebih sulit
- Kritiknya adalah bahwa kriteria resmi mempresentasikan fleksibilitas secara positif, tetapi di tengah proses muncul kritik “too many” dan NIST tidak menjawab dengan jelas di mana batas kriterianya
-
2. Membesar-besarkan biaya pembuatan key
- Dalam benchmark berbasis Golden Cove, Kyber-512 memiliki encapsulation 25829 cycles dan decapsulation 20847 cycles
- NTRU-509 memiliki encapsulation 15759 cycles dan decapsulation 25134 cycles, sehingga total pemrosesan ciphertext disebut 13% lebih kecil daripada Kyber-512
- Sebaliknya, key generation NTRU-509 adalah 112866 cycles, lebih besar daripada 17777 cycles milik Kyber-512
- Namun, penulis berargumen bahwa dalam KEM key dapat dipakai ulang untuk banyak ciphertext, biaya kirim-terima byte jauh lebih penting daripada cycle, dan key generation NTRU dapat dipercepat dengan Montgomery trick
-
3. Menyembunyikan tingkat keamanan NTRU yang lebih tinggi
- Dalam laporan round-2 tahun 2020, NIST mulai sangat menganjurkan set parameter category 5
- NTRU mengajukan NTRU-1229 dan NTRU-HRSS-1373, yang masing-masing disebut memiliki Core-SVP 2^301 dan 2^310, lebih tinggi daripada 2^254 milik Kyber-1024
- NTRU Prime juga mengajukan opsi seperti
sntrup1277danntrulpr1277dengan Core-SVP 2^270 dan 2^271 - Grafik NIST dikritik karena tidak cukup menonjolkan opsi NTRU dengan keamanan tinggi tersebut
-
4. Mengecualikan NTRU-509, opsi berkinerja tertinggi
- NIST dikritik karena menghilangkan NTRU-509 dari grafik besar serta gambar dan tabel dalam selection report berikutnya
- NTRU-509 menawarkan key dan ciphertext yang lebih kecil daripada Kyber-512, sehingga dianggap tidak sesuai dengan deskripsi NIST bahwa “NTRU memiliki public key dan ciphertext yang somewhat larger daripada Kyber”
- Untuk mengecualikan NTRU-509, NIST harus menyatakan bahwa ia tidak memenuhi tingkat keamanan minimum AES-128, tetapi mempertahankan Kyber-512 dengan kriteria yang sama dikritik sebagai pembedaan yang sangat lemah
Ketidakpastian setelah Core-SVP
- Core-SVP Kyber-512 adalah 2^118, sedangkan biaya serangan terhadap AES-128 diperkirakan sedikit di atas 2^140 operasi bit
- Dokumen submission Kyber tahun 2017 dan 2019 mengklaim setidaknya 30 bit lebih aman daripada Core-SVP, tetapi sebagian dasar klaim itu dikritik sebagai salah atau tidak memadai
- rounding noise disebut tidak berlaku untuk serangan terhadap key, sehingga bukan dasar peningkatan keamanan
- Klaim kenaikan biaya subeksponensial untuk sieving disebut tidak berdasar, dan asimtotik sebenarnya mungkin lebih cepat daripada Core-SVP
- Jumlah pemanggilan SVP oracle dan gate count mungkin cukup masuk akal sampai tingkat tertentu, tetapi dipandang belum cukup untuk menyelamatkan Kyber-512
- Biaya akses memori mungkin penting sebagai biaya serangan nyata, tetapi kriteria resmi NIST menuntut 2^143 “classical gates”, sehingga sulit dipakai langsung sebagai argumen penyelamat Kyber-512
- Submission Kyber round-3 disebut mengubah Kyber-512 dan juga mengubah definisi Core-SVP sehingga menghasilkan 2^118, bukan 2^112
- Submission itu menyajikan keamanan Kyber-512 sebagai 151 bits ±16, dan mengklaim bahwa bahkan jika turun ke 135, hal itu tidak “catastrophic” karena kebutuhan memorinya
- Setelah itu muncul berbagai analisis serangan lattice seperti Matzov, sehingga estimasi keamanan Kyber-512 menjadi lebih rumit dan tidak stabil
Logika NIST dalam menyelamatkan Kyber-512
- Call resmi NIST menyatakan bahwa tiap security category menggunakan primitive acuan seperti AES-128 sebagai batas bawah dalam berbagai metric yang “potentially relevant”
- Artinya, serangan apa pun harus memerlukan sumber daya setidaknya setara dengan acuan dalam semua metric yang dipandang NIST berpotensi relevan untuk keamanan praktis
- NIST lama menghindari permintaan untuk mendefinisikan “classical gates” secara jelas, lalu dalam selection report 2022 menjelaskan bahwa one-bit memory read/write diizinkan dihitung sebagai gate berbiaya 1
- NIST dikritik karena saat mengecualikan NTRU-509, ia menggunakan “non-local cost model”, yaitu kriteria yang pada dasarnya menganggap biaya akses memori gratis
- Sebaliknya, saat mempertahankan Kyber-512 sebagai category 1, NIST menilai bahwa jika “realistic memory access costs” diperhitungkan, maka category 1 terpenuhi
- Akibatnya, NTRU-509 dinilai dengan metric free-memory sementara Kyber-512 dinilai dengan metric memory-expensive
NISTBS: sanggahan terhadap penjelasan 7 Desember 2022
- Pada 7 Desember 2022, NIST menjelaskan alasan mengapa Kyber-512 dianggap memenuhi NIST category I, dan tulisan ini menyebut penjelasan itu sebagai “NISTBS”
- NISTBS berangkat dari laporan Matzov yang memperkirakan biaya serangan terhadap Kyber-512 sebesar 2^137 operasi bit
- Biaya serangan klasik terhadap AES-128 diperkirakan sekitar 2^143 operasi bit
- Jadi ada kekurangan 6 bit
- NISTBS menjelaskan bahwa serangan lattice sieving memerlukan akses tak terstruktur ke memori besar, dan RAM model mengabaikan biaya tersebut
- Lalu NISTBS mengutip evaluasi dari dokumen submission NTRU dan NTRU Prime, dan menyatakan bahwa jika biaya akses memori diperhitungkan dalam serangan sieving category 1, hasilnya bisa “20~40 bits” lebih tinggi daripada RAM model
- Masalahnya adalah NIST tampak menafsirkan ini sebagai menambahkan 40 bit dari NTRU Prime ke 2^137 milik Matzov, sehingga dibaca menjadi sekitar 2^177
- Angka 40 bit dari NTRU Prime tampaknya diperkirakan dari selisih antara “real” 2^169 dan “free” 2^129 pada
sntrup653 - Namun 2^129 adalah Core-SVP, yakni kira-kira jumlah iterasi, bukan gate count RAM model seperti yang dikatakan NIST
- Biaya akses memori harus ditambahkan ke biaya per iterasi, dan tidak bisa dikalikan dengan biaya komputasi total yang sudah dihitung dalam operasi bit atau ditambahkan sebagai eksponen begitu saja
- Angka 40 bit dari NTRU Prime tampaknya diperkirakan dari selisih antara “real” 2^169 dan “free” 2^129 pada
Makna angka yang sebenarnya
- Dokumen NTRU Prime melaporkan Core-SVP 2^129 untuk
sntrup653- Ini adalah perkiraan kasar jumlah iterasi
- Dokumen yang sama memperkirakan total biaya akses memori setara dengan 2^169 operasi bit
- Kyber-512 dipresentasikan dengan Core-SVP 2^118
- Dengan cara yang sama, jika biaya akses memorinya diperkirakan secara kasar, hasilnya disebut sekitar 2^154 operasi bit
- Estimasi 2^151 “gates” dalam dokumen Kyber bukanlah estimasi biaya akses memori
- Itu adalah estimasi jumlah operasi bit dalam komputasi internal serangan
- Dengan mempertimbangkan “known unknowns”, rentangnya disajikan sebagai 2^135~2^167
- Karena itu, estimasi biaya komputasi 2^151 dan estimasi biaya akses memori bukanlah faktor yang harus dikalikan satu sama lain, melainkan komponen yang harus dijumlahkan pada level biaya per iterasi agar maknanya sejalan
Mengapa kesalahan ini dianggap mudah ditangkap
- Sanity check sederhananya adalah sebagai berikut
- Dokumen Kyber memperkirakan biaya komputasi serangan Kyber-512 sebesar 2^135~2^167 operasi bit
- NTRU Prime memperkirakan biaya akses memori untuk
sntrup653, yang tampak lebih sulit daripada Kyber-512, setara dengan 2^169 operasi bit - Jika serangannya membaik sebesar 2^14, maka aneh jika NIST menghitung biaya serangan Kyber-512 menjadi 2^177
- NISTBS menulis bahwa dokumen NTRU Prime memperkirakan “40 bits additional security dibandingkan RAM model”, tetapi menurut tulisan ini tidak ada ungkapan langsung “40” atau “RAM model” dalam Section 6.11 dokumen tersebut
- Kritiknya adalah bahwa demi peninjauan yang jelas, NIST seharusnya menjelaskan secara tepat dari mana angka 40 berasal dan nilai dari metric apa yang dimaksud
- Setelah Desember 2022, pertanyaan konfirmasi diajukan untuk skenario spesifik X: “apakah benar dihitung sebagai 137+40=177”, tetapi disebutkan NIST tidak menjawab
- NIST kemudian menjawab bahwa email tersebut “speaks for itself”, dan dikritik karena tidak mengonfirmasi penafsiran perhitungan tertentu maupun menawarkan penafsiran alternatif
Riset yang diperlukan untuk perhitungan yang benar
- Perhitungan yang benar harus membedakan dua efek
- Sebagian kenaikan estimasi keamanan di atas Core-SVP berasal dari biaya operasi bit dalam komputasi internal iterasi
- Sebagian lagi berasal dari bertambahnya jumlah iterasi itu sendiri pada loop luar
- Efek bertambahnya jumlah iterasi dapat dikalikan dengan biaya akses memori
- Sebaliknya, biaya komputasi internal iterasi dan biaya memori internal iterasi harus dijumlahkan, dan mengalikan keduanya adalah kesalahan intinya
- Perhitungan yang akurat menuntut penelusuran ratusan halaman makalah tentang state-of-the-art lattice attacks dan optimisasi ulang seluruh stack serangan ketika biaya akses memori dimasukkan
- Misalnya, bahkan pilihan antara low-memory enumeration dan high-memory sieving di dalam BKZ harus dihitung ulang jika biaya akses memori dipertimbangkan
Draf standar dan masalah tanggung jawab
- Pada Agustus 2023, NIST merilis draf standar Kyber, yaitu ML-KEM
- ML-KEM-512 adalah security category 1
- ML-KEM-768 adalah category 3
- ML-KEM-1024 ditulis sebagai “claimed” category 5
- Masalahnya adalah subjek dari kata “claimed” tidak jelas
- Dikritik karena tidak jelas apakah itu klaim NIST, klaim perancang, atau klaim pihak lain
- Appendix A dalam draf itu kembali menyajikan kriteria bahwa category harus melampaui AES-128, AES-192, dan AES-256 pada semua metric yang potentially relevant
- Analisis terbaru dalam dokumen Kyber menyatakan bahwa biaya serangan terhadap Kyber-512 bisa serendah 2^135 “classical gates”, dan ini lebih rendah daripada estimasi NIST untuk AES-128 sebesar 2^143 gates
- Karena itu, diperlukan analisis terbuka mengenai bagaimana NIST membenarkan klaim bahwa Kyber-512 setidaknya setara dengan AES-128 dalam semua metric yang relevan
Kesimpulan dan usulan
- Kesimpulannya, karena permukaan serangan lattice tidak stabil dan belum cukup dipahami, standardisasi Kyber-512 dinilai sembrono
- Kyber-512 mungkin jauh lebih mudah diserang daripada AES-128 bahkan setelah mempertimbangkan serangan yang sudah dipublikasikan dan biaya akses memori, meskipun kebalikannya juga mungkin, sehingga riset sulit tetap diperlukan untuk menjelaskan keadaan sebenarnya
- AES-128 sendiri dalam serangan multi-target bisa turun menjadi sekitar 2^88 komputasi untuk memecahkan satu dari 1 triliun key, sehingga kehilangan 10~30 bit dinilai tidak bisa diabaikan
- Jika Kyber-512 tetap menjadi opsi standar, aplikasi yang sebenarnya mampu menanggung Kyber-1024 atau NTRU-1229 kemungkinan besar tetap memilih opsi yang lebih cepat
- Rekomendasi akhirnya adalah menghapus Kyber-512, dan NIST secara terbuka mengakui kesalahan perhitungan tingkat keamanan Kyber-512 serta pemilihan data yang tidak transparan dalam proses perbandingan dengan NTRU
1 komentar
Komentar Hacker News
Hal yang wajib diketahui sebelum membaca tulisan ini adalah bahwa NIST dan NSA bukanlah pihak yang membuat algoritma ini, melainkan menilai kompetisinya
Sebagian besar analisis dilakukan oleh para pesaing dan kalangan akademik, dan tim Kyber mencakup Roberto Avanzi, Joppe Bos, Léo Ducas, Eike Kiltz, Tancrède Lepoint, Vadim Lyubashevsky, John M. Schanck, Gregor Seiler, Damien Stehlé, serta Peter Schwabe, kolaborator Bernstein
Secara historis, sering kali hanya pemenang yang diadopsi. Lihat saja kompetisi AES; coba pikirkan seberapa sering Serpent, yang dinilai memiliki margin keamanan lebih besar daripada Rijndael, disebut-sebut
NIST tampaknya tidak mengeluarkan rekomendasi berdasarkan analisis rahasia tertentu
Kenyataan yang disayangkan adalah, Bernstein mungkin saja benar, tetapi sulit membedakan apakah jawaban—atau ketiadaan jawaban—dari pihak NIST harus dilihat sebagai penipuan, atau mereka memang tidak ingin berurusan dengan orang yang datang dengan sikap sangat agresif
Di NIST juga bekerja orang-orang biasa, dan besar kemungkinan mereka menerima tuntutan penjelasan yang tajam itu mirip dengan cara kebanyakan dari kita menerima laporan bug yang agresif
Tuduhan yang dilebih-lebihkan seperti “mereka menyuruh orang memakai Kyber sejak lisensi patennya aktif pada 2024, sehingga mengekspos data pengguna selama 3 tahun kepada penyerang, dan tidak menyuruh memakai NTRU sejak 2021” tidak membantu. Untuk sementara waktu juga mungkin belum ada yang langsung menerapkan kriptografi pascakuantum mandiri, dan pada 2021 pun ada beberapa alternatif yang bisa diusulkan NIST. SIKE tampak cukup bagus sampai akhirnya ditembus tahun lalu
NIST memang tidak punya reputasi tanpa cela di bidang ini, tetapi jika ingin mengkritik algoritme dan prosesnya, akan lebih baik ada ringkasan singkat tentang alasannya serta satu-dua bukti yang menentukan. Analisis email yang sangat banyak, perbandingan hanya dengan satu pengajuan, dan tuduhan bahwa semua orang sengaja mengulur waktu untuk menyedot data membuatnya sulit dianggap serius. Jika Kyber-512 benar-benar sebegitu berbahaya, hal itu perlu disampaikan dengan lebih jelas
Fakta bahwa halamannya mencapai 17.000 kata juga besar pengaruhnya. Bahkan menurut ukuran Harry Potter, itu jumlah yang membutuhkan sekitar 70 menit bagi pembaca rata-rata, dan tulisan ini bukan novel, melainkan penuh angka, pertimbangan, dan kalimat yang pilihan katanya harus ditelaah, seperti kutipan NIST. Bahkan jika sejak awal punya latar belakang yang cukup untuk memahami kriptografi pascakuantum, tulisan ini sulit dibaca cepat seperti buku biasa
Di bagian awal saya mengeklik “That lawsuit has been gradually secret NIST documents, shedding some light on what was actually going on behind the scenes” lalu terseret ke tulisan lain, dan halaman yang ditautkan itu ternyata 54.000 kata lagi. Karena di ponsel tidak ada scrollbar, saya tidak tahu panjangnya dan menelusurinya secara linear, sampai pada satu titik saya merasa seperti terdaftar dalam proyek riset doktoral, lalu menutup tab itu dan kembali ke tulisan semula
Pembaca HN banyak yang cerdas dan teknis, tetapi bidangnya beragam, sehingga sulit menilai secara wajar bukti yang penuh jargon yang konon mendukung “NIST=buruk”. Saya berada di bidang yang berdekatan dan merasa lebih paham daripada pembaca rata-rata, tetapi saya tidak merasa berhak menilai tanpa membacanya dengan benar. Tulisan itu memang menjelaskan konteks dan singkatan, tetapi volumenya terlalu besar, sehingga saya tidak tahu apakah orang yang belum tahu sebelumnya akan mau membacanya. Tidak semua pengajuan harus bisa dipahami semua orang, tetapi karena tulisan ini berisi tuduhan, saya bertanya-tanya apakah ini cocok untuk HN
Jadi mungkin saya bisa sedikit menarik kembali apa yang saya katakan di bawah, atau setidaknya, mengingat sejarah djb dengan rekomendasi NIST, saya bisa lebih memahami nadanya yang agresif. Informasi terkait ada di https://en.wikipedia.org/wiki/Daniel_J._Bernstein#Cryptograp...
Saya tidak suka terlalu mementingkan bentuk daripada isi, tetapi dalam kasus ini bentuk tulisan blognya begitu buruk sehingga sulit menilai apakah isinya bernilai. Karena saya bukan orang bidang kriptografi, saya tidak bisa menilai pokok perkaranya, tetapi sindiran dan peremehan yang tidak perlu membuat pesannya sangat mencurigakan. Meski tampaknya ada poin yang bagus, nada keseluruhannya mirip video YouTube tipe “WhaT ThE ElITe DoN'T WanT YoU TO KnoW!!”, dan sekalipun benar, penulisnya terdengar cukup menyebalkan
Saya juga penasaran apakah ada orang yang benar-benar membaca ini sampai selesai. Bisa saja benar bahwa internet telah membunuh rentang perhatian, tetapi sebaliknya, sekarang ada begitu banyak informasi sehingga kita menjadi sangat ketat dalam memilih ke mana waktu akan dihabiskan. Kalau ini tulisan blog, detail yang relevan dan ringkasan seharusnya diletakkan di beberapa paragraf awal, sementara catatan panjang yang berkelok-kelok diletakkan di belakang. Jika potongan-potongan penting tersembunyi seperti Where's Waldo di dalam catatan panjang yang bertele-tele, sulit mengharapkan orang membacanya sampai tuntas
Inti yang terus ia tanyakan adalah mengapa kriteria evaluasi terus diubah setelahnya, mengapa hasilnya disajikan dengan cara yang menyesatkan, dan mengapa terjadi kesalahan perhitungan dasar. Mereka ini para ahli, tetapi semua hal semacam ini menguntungkan satu algoritme
Di mata saya, itu terlihat sebagai sinyal bahwa mereka ingin menjadikan algoritme tersebut sebagai standar. Jika ditambah dengan fakta bahwa keterlibatan NSA jauh lebih besar daripada yang diketahui dan ada upaya menyembunyikannya, standar ini menjadi sangat patut dicurigai
Ini menjadi masalah karena algoritme-algoritme ini akan segera tertanam dalam perangkat keras
Setelah implementasi yang akan distandardisasi ditetapkan, para vendor perangkat keras kemungkinan mulai merancang blok yang menghitung standar FIPS 203 dengan lebih efisien. Mungkin beberapa bahkan sudah dirancang
Mengingat publikasi standar diperkirakan pada 2024, dan peninjauan NIST CMVP untuk modul FIPS memakan waktu 1–2 tahun, tidak mengherankan jika sekitar pertengahan 2026 muncul modul perangkat keras FIPS 140-3 yang berisi ML-KEM (Kyber dan sejenisnya)
Poin utamanya tampaknya adalah kalimat di [1]: “Namun NIST tidak membuat pernyataan end-to-end yang jelas bahwa Kyber-512 memiliki margin keamanan N bit dalam skenario X untuk (N,X) yang ditentukan secara jelas”
djb merangkum secara singkat “skenario X” yang ia maksud di [2], dan mengatakan bahwa yang dibutuhkan hanya jawaban ya/tidak. Ia sebenarnya bertanya kepada orang-orang yang memang perlu mengetahui masalah ini dan memiliki latar belakang teknis untuk mendiskusikannya. Karena tidak mendapat jawaban, ia mengunggah [1]
Jawaban NIST di [3] menepis [1] tanpa membahas keamanan itu sendiri. Khususnya paragraf kedua terasa membuat frustrasi. “Email yang dikutip (https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...) sudah berbicara sendiri. NIST tetap tertarik pada pendapat orang-orang tentang apakah rencana saat ini untuk menstandarkan Kyber512 itu baik. Para peninjau bebas, demi hiburan, mencoba membantah apa yang tampaknya diklaim NIST tentang margin keamanan, tetapi hasilnya tidak akan terlalu berguna bagi proses standardisasi. Klaim NIST sebelumnya dan penafsirannya tidak relevan dengan apakah orang percaya bahwa menstandarkan Kyber512 adalah ide yang baik”
Jika NIST memandang klaim terkait keamanan dari para peninjau sebagai “tidak terlalu berguna bagi proses standardisasi”, mengingat para peninjau itu adalah kriptografer, mengapa publik harus memercayai standar tersebut?
Bukti yang menentukan memang tidak mungkin ada. Sebab pokok persoalan saat ini adalah tidak adanya penjelasan yang jelas. Jika mereka bisa menjelaskan bagaimana menghitung tingkat keamanan Kyber-512, itu akan menjadi persoalan lain
Saat ini, berdasarkan estimasi pihak ketiga, nilai yang agak kabur yang disebut tingkat keamanan Kyber-512 tampak lebih rendah daripada persyaratan awal, sehingga tampaknya diperlukan penjelasan atau justifikasi
[1]: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...
[2]: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...
[3]: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/4MBu...
Jika tulisan ini berasal dari orang tak dikenal, saya mungkin akan setuju, tetapi penulisnya adalah DJB atau Tanja Lange, dan keduanya bukan orang tak dikenal
Hal seperti ini mau tidak mau bersifat agak adversarial. Kriptanalisis memang membutuhkan sikap semacam itu, dan juga karena dulu pernah ada berbagai hal yang mencurigakan. Ini bagian dari bidang tersebut dan politiknya, jadi sulit dihindari
Ini lebih mirip catatan harian daripada artikel. Banyak istilah teknis, tidak tertata, berputar-putar di tempat yang sama, dan sangat sulit diikuti
Meski begitu, informasinya sendiri mungkin penting. Ada implikasi kuat bahwa NIST, dengan bantuan NSA, sengaja menstandardisasi algoritma yang lemah
Semua orang tahu hal seperti itu mungkin terjadi
Namun jika ada yang mengikuti bidang ini lebih dekat, saya berharap mereka bisa menjelaskan apa maksud angka-angka di sini. Saya selalu berpikir melemahkan kriptografi publik dengan cara seperti ini adalah taruhan berbahaya, karena tidak ada jaminan penyerang lain tidak akan menemukan fakta yang sama secara independen. Kunci backdoor rahasia bisa disembunyikan. Begitulah kecurigaan saat Dual_EC_DRBG muncul. Tetapi hasil matematis benar-benar sulit disembunyikan
Mengapa mereka mau mengambil risiko seperti itu di sini?
Sekarang saya bahkan tidak tahu mengapa diskusi seperti ini masih diperlukan. Kita tidak lagi membutuhkan mereka. Pembatasan ekspor juga sudah hilang
Yang dibutuhkan adalah konsorsium yang dapat menarik perhatian para produsen hardware dan membatasi NIST serta NSA hanya sebagai peserta biasa. Dengan begitu, kalaupun pemerintah mengadopsi standar ber-backdoor, hanya mereka sendiri yang akan memakainya
Mengapa mereka harus peduli soal itu?
Ini adalah dugaan saat ini tentang apa yang mungkin terjadi pada kurva eliptik NIST
Jika demikian, itu bisa menjadi backdoor yang secara praktis eksklusif untuk AS selama waktu yang sangat lama
Pemikirannya adalah mereka bisa tetap unggul dalam serangan, dan pada saat kunci 56 bit secara umum menjadi terlalu lemah, DES sudah akan digantikan oleh sesuatu yang lain. Apakah itu berisiko? Ya. Namun dalam arti tertentu itu “berhasil”. Jadi saya tidak akan berasumsi hal serupa tidak akan pernah terjadi lagi
Teori di baliknya disebut kleptography. Itu juga berarti NSA cukup delusional untuk mengira mereka bisa mencuri informasi secara “aman”
Tahun lalu ada thread terkait dengan 443 komentar
https://news.ycombinator.com/item?id=32360533 ("NSA, NIST, and post-quantum crypto: my second lawsuit against the US government (cr.yp.to)")
“Mencari tahu cara kerja rahasia NISTPQC. Pada Maret 2022 saya mengajukan permintaan FOIA berjudul ‘NSA, NIST, and post-quantum cryptography’. NIST melanggar hukum dan mengulur waktu. Firma hukum hak sipil Loevy & Loevy mengajukan gugatan atas nama saya”
Secara pribadi saya pada umumnya tidak menyukai djb, tetapi secara profesional ia terus-menerus menekan pemerintah federal di pengadilan, jadi saya selalu mendukungnya. Saya sangat senang melihat ia masih melanjutkannya
Terlepas dari fakta bahwa DJB adalah tokoh penting dalam kriptografi, dan bahwa saya tidak mengetahui banyak detail di sini, ada satu titik yang membuat kredibilitasnya turun tajam bagi saya
Khususnya pada bagian grafik, ia mengatakan “NIST memilih memakai batang merah yang lebih tipis pada grafik bandwidth agar kurang menonjol”, tetapi bukti yang ia berikan sama sekali tidak membuktikan itu. Ada penjelasan yang jauh lebih masuk akal. Grafik dengan batang lebih tipis adalah diagram batang dengan lebih banyak titik data dibanding grafik lainnya. Buka saja alat chart apa pun dan bandingkan grafik dengan 12 titik data dan grafik dengan 9 titik data; wajar jika garis pada yang berisi 12 menjadi lebih tipis. Pada titik ini saya sangat merasa ia mencoba menafsirkan setiap tindakan sejahat mungkin
Pada poin berikutnya ia mengeluh karena mereka tidak memakai sumbu logaritmik, padahal nilainya masih berada dalam rentang orde magnitudo yang sama. Itu tidak terdengar seperti kasus yang cocok untuk sumbu logaritmik, dan saya tidak yakin mengapa itu bisa dibenarkan dalam kasus ini
Mengetahui bahwa DJB terlibat dalam NTRU, sulit menyingkirkan kesan bahwa sebagian besar ini adalah reaksi getir karena kalah dalam kompetisi
Mengasumsikan hal lain, setidaknya bagi saya, terlihat cukup naif
Ada cukup alasan untuk curiga
Wajar jika para pesaing di bidang ini meninjau pekerjaan satu sama lain
Hal yang saya pelajari dari mengamati perseteruan sengit para kriptografer secara profesional: jangan bertaruh melawan Bernstein, dan jangan percaya NIST
NIST sudah menjawab: https://groups.google.com/a/list.nist.gov/g/pqc-forum/c/W2VO...
Saya tidak yakin masih ada sisa kepercayaan pada N(IST)SA
Menggembirakan bahwa curve25519 lebih banyak dipakai daripada kurva P mereka, dan saya berharap komunitas terus bergerak ke arah ini serta pada dasarnya mengabaikan mereka ke depannya
Pemerintah tidak seharusnya memimpin atau memutuskan. Untuk FIPS, regulasi, dan semacamnya, lebih baik perannya diatur terutama untuk mengumpulkan dan mengikuti konsensus yang ada