Peringatan Matematikawan: NSA Bisa Melemahkan Standar Enkripsi Generasi Berikutnya
(newscientist.com)- Di tengah kekhawatiran bahwa komputer kuantum dapat melumpuhkan enkripsi yang ada, Daniel Bernstein mengkritik standardisasi kriptografi pascakuantum NIST karena tidak cukup mengungkap keterlibatan NSA dan perhitungan keamanannya
- NIST telah menjalankan standardisasi PQC sejak 2012, dan Bernstein menilai NSA berupaya menyisipkan kelemahan rahasia ke dalam standar baru, tetapi NIST membantah hal ini
- Terkait Kyber512, salah satu isu utama, Bernstein menyatakan NIST melebih-lebihkan tingkat keamanannya, sementara Dustin Moody dari NIST tidak setuju dan menyebut ini sebagai area tanpa kepastian ilmiah
- NIST menilai Kyber512 memenuhi kriteria level one setara AES-128, tetapi untuk penggunaan nyata merekomendasikan Kyber768 yang lebih kuat sesuai usulan para pengembang
- Setelah pengungkapan Snowden, NIST menyatakan telah memperkuat pedoman transparansi, tetapi permintaan keterbukaan informasi dan gugatan Bernstein menyisakan pertanyaan apakah proses pemilihan standar kriptografi dapat diverifikasi dari luar
Kontroversi Standardisasi Kriptografi Pascakuantum
- Daniel Bernstein dari University of Illinois Chicago menilai NIST sengaja mengaburkan tingkat keterlibatan NSA dalam pengembangan standar kriptografi pascakuantum
- Bernstein berpendapat mungkin ada kesalahan atau kekeliruan yang disengaja dalam perhitungan tingkat keamanan standar baru
- NIST membantah klaim ini dan menyatakan tidak setuju dengan analisis Bernstein
- Inti tuntutan Bernstein adalah bahwa organisasi yang memilih standar kriptografi harus mengikuti aturan publik secara transparan dan dapat diverifikasi
- Ia menilai klaim bahwa NIST telah menjanjikan transparansi tetapi membuka semua pekerjaannya bukanlah benar
Mengapa Standar PQC Penting
- Masalah matematika yang saat ini digunakan untuk melindungi data pada praktiknya sulit dipecahkan bahkan oleh superkomputer terbesar saat ini
- Jika komputer kuantum yang stabil dan kuat muncul, enkripsi saat ini dapat dipecahkan dengan sangat cepat
- Kapan komputer semacam itu akan hadir masih tidak pasti, tetapi sejak 2012 NIST telah menjalankan proyek standardisasi algoritme baru yang tahan terhadap serangan komputer kuantum
- Bernstein adalah orang yang pada 2003 menciptakan istilah post-quantum cryptography untuk menyebut jenis algoritme seperti ini
- Standar NIST dapat digunakan di seluruh dunia, sehingga jika ada cacat yang masuk, dampaknya juga bisa luas
Perbedaan Perhitungan Keamanan Kyber512
- Bernstein mengklaim perhitungan NIST untuk Kyber512, salah satu kandidat standar PQC yang akan datang, “jelas salah”
- Kritik utamanya adalah NIST menggunakan perkalian dalam situasi yang lebih tepat jika dua angka dijumlahkan, sehingga ketahanan Kyber512 terhadap serangan dinilai lebih tinggi daripada kenyataannya
- Dustin Moody dari NIST tidak setuju dengan analisis ini
- Ia mengatakan tidak ada kepastian ilmiah dalam persoalan ini, dan orang-orang cerdas bisa memiliki pandangan berbeda
- Posisinya adalah ia menghormati pendapat Bernstein tetapi tidak setuju dengan kesimpulannya
- Moody menilai Kyber512 memenuhi kriteria keamanan level one NIST
- Ini adalah kriteria bahwa algoritme tersebut sama sulitnya untuk dipecahkan seperti algoritme lama yang banyak digunakan, AES-128
- Untuk penggunaan nyata, ia merekomendasikan Kyber768 yang lebih kuat
- Ia mengatakan rekomendasi Kyber768 berasal dari usulan para pengembang algoritme
Jadwal Finalisasi Standar dan Posisi Kyber
- NIST saat ini berada dalam periode pengumpulan komentar publik
- Standar final algoritme PQC diharapkan dapat dipublikasikan tahun depan
- Setelah standar ditetapkan, organisasi dapat mulai mengadopsi algoritme baru
- Kyber tampaknya berpeluang besar masuk ke standar final karena telah melewati beberapa tahap proses seleksi
Masalah Kepercayaan dari Kasus Masa Lalu
- Sulit untuk memastikan pengaruh nyata NSA terhadap standar PQC karena sifat organisasi tersebut yang rahasia
- Usulan dan rumor bahwa NSA sengaja melemahkan algoritme kriptografi sudah ada sejak lama
- Pada 2013, The New York Times melaporkan bahwa NSA memiliki anggaran 250 juta dolar AS untuk pekerjaan semacam ini
- Pada tahun yang sama, dokumen badan intelijen yang dibocorkan Edward Snowden memuat informasi bahwa NSA sengaja memasukkan backdoor ke dalam algoritme kriptografi
- Algoritme tersebut kemudian dikeluarkan dari standar resmi
Bantahan NIST dan Klaim Transparansi
- Moody mengatakan NIST tidak pernah setuju untuk secara sengaja melemahkan standar atas permintaan NSA
- Menurut penjelasan Moody, jika ada kelemahan rahasia, kelemahan itu harus masuk tanpa sepengetahuan NIST
- Setelah pengungkapan Snowden, NIST menyatakan telah memperkuat pedoman transparansi dan keamanan untuk memulihkan kepercayaan para pakar kriptografi
- Moody mengatakan ada kriptografer yang khawatir setiap kali NSA disebut, dan NIST berusaha menangani interaksinya dengan NSA secara terbuka
- Moody menjelaskan bahwa NSA juga berusaha lebih terbuka dalam batasannya sebagai badan intelijen rahasia
- NSA tidak menanggapi permintaan komentar dari New Scientist
- Moody mengakui bahwa ia bisa mengatakan keputusan dibuat oleh NIST, tetapi jika tidak berada di dalam NIST, tidak ada cara untuk memverifikasinya
Dokumen yang Terungkap melalui Permintaan Keterbukaan Informasi
- Bernstein mengklaim NIST tidak mengungkap tingkat masukan dari NSA dan menghalangi permintaan informasinya
- Ia mengajukan permintaan keterbukaan informasi dan menggugat NIST hingga rincian keterlibatan NSA diungkapkan
- Dokumen yang diberikan kepada Bernstein menyebut bahwa kelompok yang dinyatakan sebagai “Post Quantum Cryptography Team, National Institute of Standards and Technology” mencakup banyak anggota NSA
- Dokumen tersebut juga memuat informasi bahwa NIST bertemu dengan perwakilan GCHQ, lembaga Inggris yang setara dengan NSA
Penilaian Pakar Eksternal
- Alan Woodward dari University of Surrey menilai ada alasan untuk berhati-hati terhadap algoritme kriptografi
- Contohnya adalah kode GEA-1 yang digunakan pada jaringan telepon seluler pada 1990-an dan 2000-an
- Pada kode ini ditemukan cacat yang memungkinkannya dipecahkan dengan jumlah komputasi jutaan kali lebih sedikit daripada seharusnya
- Siapa yang memasukkan cacat tersebut tidak dapat dipastikan
- Woodward mengatakan kandidat PQC saat ini telah ditinjau secara kuat oleh akademisi dan industri, dan belum terbukti tidak memadai
- Dalam tahap kompetisi sebelumnya, ada algoritme lain yang gugur karena cacatnya terbukti
- Woodward menilai badan intelijen memiliki sejarah melemahkan kriptografi, tetapi karena sangat banyak analisis keamanan telah dilakukan terhadap para kandidat, ia akan terkejut jika ada jebakan yang ditanamkan di Kyber
1 komentar
Komentar Hacker News
Pernyataan Moody bahwa “yang bisa kami lakukan hanyalah memberi tahu bahwa NIST-lah pihak yang mengambil keputusan di ruangan itu, dan jika Anda tidak percaya, tidak ada cara untuk memastikannya kecuali berada di dalam NIST” justru itulah masalahnya
Jika lembaga sepenting NIST tidak cukup transparan sehingga siapa pun yang berkepentingan bisa menelusuri semua rapat, memo, bahkan percakapan saat jeda, maka lembaga itu harus dibubarkan dan diganti dengan organisasi yang benar-benar melayani publik
Kita telah mendistorsi teknologi untuk menciptakan dunia pengawasan menyeluruh, lalu menyalahgunakannya untuk mengintip privasi warga biasa
Jika teknologi pengawasan dan audit memang punya penggunaan yang sah, maka orang-orang yang secara moral harus menyerahkan sebagian privasinya adalah mereka yang bekerja secara publik di kongres, dewan daerah, lembaga pemerintah, dan badan standardisasi
Mereka tidak cukup hanya “memberi tahu”; mereka harus membuktikannya, dan jika tidak bisa membuktikan, mereka harus menyerahkan tempatnya kepada kepemimpinan yang lebih sesuai dengan kepentingan publik
Bebannya tentu luar biasa besar, tetapi di alam semesta paralel mungkin terasa wajar. Bagaimanapun, para wakil harus bertanggung jawab kepada kita
Tidak perlu melemahkan enkripsi untuk mengawasi orang. Tampilkan saja kelinci menari, lalu agar bisa melihat kelinci itu, buat mereka menekan “izinkan akses kontak”, “izinkan akses kamera”, “izinkan akses mikrofon”, dan “izinkan akses dokumen”
Kalau mau terdengar lebih canggih, ganti kelinci menari itu dengan layanan gratis
Semakin banyak kita mengadopsi struktur komando-dan-kendali cloud, semakin mudah pula pengawasan dilakukan. Siapa pun yang punya akses di dalam penyedia cloud dapat menyadap perilaku semua orang nyaris secara real time, bahkan mungkin tanpa diketahui oleh penyedianya sendiri. Semakin banyak layanan seperti ini yang kita gunakan, semakin banyak titik data yang kita serahkan, dan jika digabungkan, semuanya menghasilkan informasi yang cukup besar tentang kita nyaris secara real time
Secara etis, jelas bagaimana semua orang akan memandangnya, tetapi demi argumen, jika dilihat dari perspektif NIST atau NSA, mereka bisa saja percaya bahwa NIST atau NSA harus memasukkan backdoor karena ancaman tertentu
Untuk itu, NIST harus mempertahankan modal kepercayaan sosial dan kepercayaan industri yang besar, yang bisa digunakan pada isu yang sangat sempit
Namun selama bertahun-tahun sudah cukup banyak kejadian aneh seperti Dual EC DRBG, dan khususnya dalam desain kriptografi, kepercayaan itu hampir tidak tersisa. Kesan saya, standar ECC terbaru yang didorong NIST jauh kurang dipercaya dibanding saat AES dipublikasikan, dan ada beberapa insiden besar yang terlintas yang memang layak menimbulkan ketidakpercayaan semacam ini
Pada akhirnya NIST akan kehilangan banyak pengaruhnya terhadap industri, dan itu juga tidak menguntungkan bagi NIST sendiri
Terus terang, saya menganggap enkripsi modern pada dasarnya sudah dikompromikan. Taruhannya bergantung pada siapa yang mengompromikannya, dengan cara apa, dan seberapa besar kemungkinan mereka mencoba mengakses data saya
Artikelnya agak aneh, jadi sebagai orang yang bekerja di industri keamanan, ringkasan situasinya kira-kira begini
Bernstein, seorang peneliti keamanan terhormat, menerbitkan tulisan blog panjang pekan lalu yang mengkritik proses standardisasi NIST untuk algoritma kriptografi tahan-kuantum baru. Fokusnya adalah mekanisme kapsulasi kunci, yaitu area seperti pertukaran kunci TLS, dan kandidat besarnya adalah Kyber serta NTRU, yang Bernstein ikut menjadi penulisnya
Keluhan utamanya adalah NIST menjalankan proses seleksi secara longgar, lalu menggugurkan varian NTRU yang cepat karena sedikit sekali tidak memenuhi ambang batas keamanan tertentu. Tanpa varian itu, NTRU tampak lebih lambat dan kurang fleksibel daripada kenyataannya
Sebaliknya, NIST menerima varian Kyber yang sama-sama cepat berdasarkan asumsi yang rapuh. Bernstein berargumen panjang bahwa varian itu juga tidak memenuhi ambang batas keamanan sehingga seharusnya digugurkan. Menariknya, NIST menggunakan penelitian Bernstein sendiri untuk mendukung klaim keamanan Kyber, tampaknya dengan cara yang keliru
Ada nuansa ketidakpatutan, seolah NIST karena alasan yang tidak diketahui lebih menyukai satu algoritma daripada algoritma lain. Di bagian awal tulisannya, Bernstein juga menunjukkan hasil gugatan terbaru yang ia ajukan untuk memaksa lebih banyak informasi tentang prosedur internal NIST dibuka, dan tampaknya NIST serta NSA bertemu lebih sering daripada yang sebelumnya diketahui
Interpretasi saya lebih condong bahwa NIST melakukan kesalahan internal dalam evaluasi algoritma, bukan bahwa NSA mendorong agendanya. Bisa juga dilihat bahwa Bernstein kesal karena algoritmanya mungkin tidak dipilih lalu memakai taktik tidak langsung, tetapi ia punya reputasi sangat baik dan secara meyakinkan berargumen bahwa NIST melakukan kesalahan penting serta tidak cukup transparan
https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
https://blog.cr.yp.to/20231003-countcorrectly.html
https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
Saya juga akademisi, dan tulisan ini pun harus dilihat seperti itu
Sepanjang pekan lalu saya berada di tempat para kriptografer mencoba memahami apa sebenarnya maksud tulisan blog Bernstein itu, dan sulit dipercaya bahwa Matthew Sparkes dari The New Scientist memahaminya lebih baik daripada mereka
Sparkes juga tidak mewawancarai Bernstein secara langsung, dan jika tidak ada orang di sini yang tertarik pada kutipan NIST, artikel ini tampaknya memang pantas dianggap sebagai duplikasi
Setiap kali muncul cerita DJB vs NIST, selalu ada respons seperti “ini mungkin terlihat sepele, tetapi rekam jejaknya tanpa cacat, jadi kita harus percaya padanya”
Saya menautkan thread Twitter ini karena ingin sedikit membantahnya
https://nitter.net/FiloSottile/status/1555669786826244096
Thread itu menunjukkan adanya pola intimidasi oleh Bernstein dan rekan-rekannya terhadap kriptografer lain
Seseorang bisa menjadi kriptografer hebat sekaligus orang yang picik; keduanya tidak saling meniadakan
Tweet-tweet itu mengatakan bahwa DJB menyiratkan para ilmuwan yang mengajukan algoritme telah disuap NSA, tetapi ini sepenuhnya salah memahami apa yang ditulis DJB. Argumennya justru bahwa NSA bahkan tidak perlu menyuap ilmuwan semacam itu. Karena mereka sudah merekrut para pakar terbaik di bidang tersebut bertahun-tahun sebelumnya, mereka bisa saja jauh lebih maju daripada proposal yang diajukan; lalu mereka tinggal mendorong NIST memilih algoritme yang mereka tahu cara membobolnya
Saya tidak tahu banyak tentang persoalan ini, jadi tidak bisa menilai apakah klaim DJB itu paranoia gila seperti yang disiratkan penulis thread lewat GIF di tweet ke-3. Yang terlihat bagi saya hanyalah bahwa klaim penulis sangat mendistorsi apa yang ditulis DJB
Misalnya, salah satu rujukan yang dipakai sebagai bukti bahwa DJB itu jahat mengeluhkan bahwa setelah mengambil cuti sakit untuk beberapa waktu, ia merasa tersinggung ketika pemberi kerja menyarankan agar ia menemui dokter perusahaan. Namun di Belanda, ini 100% prosedur standar, dan dokter tersebut bukan bagian dari perusahaan melainkan independen serta menjaga kerahasiaan
Ini adalah cara menyelesaikan konflik ketika seseorang tidak bisa terus mengaku sakit tanpa batas waktu dan tanpa menyebutkan alasannya sambil tetap mengharapkan gaji, tetapi pemberi kerja juga tidak berhak mengetahui rekam medisnya. Dengan tetap menjamin kerahasiaan medis dan cuti sakit jangka panjang, pemberi kerja dapat percaya bahwa dokter yang adil memastikan langkah yang tepat diambil
Kasus ini muncul sebagai bagian dari konflik antara DJB, penulis, dan universitas tempat mereka bekerja. Selain itu, dalam tuduhan bahwa DJB dan pihak lain membiarkan pelecehan, ada beberapa bagian yang tampaknya timbul karena ketidaktahuan tentang sistem setempat
Saya percaya sebagian besar yang ditulis, tetapi pada saat yang sama tampak jelas bahwa masalahnya juga membesar karena ia tidak mencari tahu sistem hukum yang baru ia masuki melalui kolega, teman, atau Google/DDG. DJB juga menyarankan untuk menempuh jalur hukum, dan HR menawarkan mediasi, tetapi pihak terkait menolak keduanya. Jadi bukti yang ada sekarang hanya pernyataan pihak tersebut di blog, dan orang-orang yang dituding sebagai pelaku tidak menghadapi konsekuensi apa pun
Rujukan-rujukan seperti itu memang dapat meyakinkan ke arah DJB=jahat, tetapi sekaligus juga membuat saya berpikir mungkin ada lebih banyak konteks daripada cerita dari satu pihak saja
Saya melihat perancangan curve25519 sebagai pencapaian yang, dari sisi dampak praktis, layak ditempatkan dalam kategori yang sama dengan penemuan RSA atau Diffie-Hellman. Bukan karena idenya baru, melainkan karena semuanya digabungkan dalam bentuk yang benar-benar “langsung bekerja”. Tidak perlu khawatir tentang titik kurva yang salah, serangan twist, atau tidak sengaja memakai rumus penjumlahan untuk penggandaan titik
Gagasan bahwa kita bisa membuat pustaka kripto yang melakukan satu hal dengan baik, alih-alih sebuah framework tempat pilihan parameter ditancapkan dan hanya sebagian di antaranya mungkin aman, cukup baru pada waktu itu sampai-sampai hampir tidak ada yang melakukannya. Fakta bahwa ketika membutuhkan kunci sungguhan kebanyakan orang memakai
ssh-keygen -t ed25519atau perintah padanannya di sistem lain sudah menunjukkan hal ituBegitu pula dengan GitHub yang menyingkirkan tipe kunci ssh-dss dan merekomendasikan ed25519 beserta default-nya. Dalam tanda tangan digital, persaingan Ed25519 melawan DSA/ECDSA adalah kemenangan telak Bernstein dan membuat NIST kehilangan muka. Tidak ada bukti niat jahat, tetapi saya belum pernah mendengar penjelasan masuk akal mengapa ECDSA merusak protokol Schnorr separah itu hingga banyak implementasi menciptakan lubang keamanan yang mengerikan
Ada juga kebocoran Snowden dan DUAL_EC. Pernyataan bahwa “NSA pernah ikut campur dalam standar kriptografi di masa lalu, kebocoran tepercaya menunjukkan bahwa itu bagian dari pernyataan misinya, dan mereka bisa melakukannya lagi” bagi saya adalah pernyataan yang masuk akal dan didukung bukti, sangat jauh dari teori konspirasi biasa. Ini bukan ranah seperti teori pendaratan di Bulan dipalsukan
Selain itu, dari berbagai cara Bernstein bisa saja menjadi jahat, banyak yang setahu saya tidak pernah dituduhkan kepadanya. Tidak ada tuduhan kekerasan seksual atau pemerkosaan, dan saya juga tidak tahu ia pernah mengucapkan sesuatu yang secara khusus rasis atau mendorong ideologi sayap kanan ekstrem. Ada tuduhan bahwa ia menghina orang yang tidak sependapat dalam urusan teknis dan kadang mengancam, tetapi itu berbeda dari makna umum “orang buruk/jahat yang sebaiknya dihindari jika mungkin”
Saya akan mengatakan ia punya rekam jejak yang cukup bersih dalam desain protokol kriptografi, dan rekam jejak yang cukup ternoda dalam hubungan antarmanusia. Saat menghadapi keputusan desain yang benar-benar bodoh atau jahat, itu bisa menjadi aset, tetapi dalam banyak kasus lain tidak
Bagian kuncinya adalah: “jika metodenya tidak diadopsi NIST, orang akan mengira itu karena tidak ada backdoor di dalamnya dan menjadikan gugatan FOIA sebagai bukti”
Saat membicarakan motif penulis, sayangnya kita bisa melewatkan kesalahan perhitungan NIST
Kesalahan inti NIST terletak pada keliru mengalikan dua biaya yang seharusnya dijumlahkan. Jika klaim ini benar, sikap yang hati-hati adalah setidaknya meninjau ulang dan memperbaiki drafnya
Diskusi sebelumnya: https://news.ycombinator.com/item?id=37756656
Ironisnya, cara dan isi DJB memperlakukan rekan-rekannya dan NIST kemungkinan besar justru membuat kedua pihak berpaling dari klaimnya, meskipun klaim itu mungkin kredibel
Sikap NIST yang dirasakan DJB sebagai “bertahan keras” bisa jadi sebenarnya adalah keengganan untuk berurusan dengan seorang warga sipil yang antagonistik dan makin aneh
Pernyataan Dustin Moody dari NIST bahwa “kami tidak setuju dengan analisisnya. Ini adalah persoalan tanpa kepastian ilmiah, dan orang-orang cerdas bisa memiliki pandangan berbeda. Kami menghormati pendapat Dan, tetapi tidak setuju” memang cocok untuk artikel sains populer, tetapi saya dan banyak orang ingin melihat rincian analisis ini benar-benar diperiksa
DJB sebenarnya bisa menciptakan kesempatan itu, tetapi ia merusaknya. Namun itu bukan berarti pertanyaan tentang perhitungan tingkat keamanan Kyber-512 miliknya boleh dibiarkan tanpa jawaban
Ini bukan persoalan seperti itu. DJB pada dasarnya mengatakan NSA membuat klaim yang mirip dengan “3 + 3 = 9”, dan klaim itu entah benar atau salah
Artikelnya berada di balik paywall, jadi setelah membaca komentar saya tidak berniat repot-repot menembusnya, tetapi kalimat seperti ini yang terlihat sebelum paywall sepenuhnya tidak jujur
Dan Bernstein membuat Qmail, DJBDNS, dan algoritma kriptografi
https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
Qmail
https://en.m.wikipedia.org/wiki/Qmail
Djbdns
https://en.m.wikipedia.org/wiki/Djbdns
https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein
Enkripsi, seperti banyak hal lain, terlalu penting untuk diserahkan ke tangan negara