Criptólogo/profesor de informática Daniel Bernstein alega que la Agencia de Seguridad Doméstico de Estados Unidos está intentando influir en los estándares de criptografía post-cuántica del NIST.

Bernstein primero enfatiza que es común que la criptografía poscuántica (o “PQ”) sea parte de la seguridad “híbrida” que asimismo incluye la criptografía precuántica tradicional. (Bernstein dice que esto es importante porque desde 2016, “hemos manido Muchas rupturas de propuestas poscuánticas.…”)

“El problema en pocas palabras. La agencia de vigilancia NSA y su (contraparte del Reino Unido) GCHQ están tratando de que las organizaciones de crecimiento de estándares respalden el debilidad (pre-cuántico) de ECC+PQ hasta solo PQ”.
Parte de esto es que la NSA y el GCHQ han estado repitiendo sin cesar argumentos de que este debilidad es un acertadamente cosa… En puesto de eso, estoy observando lo tratable que es para la NSA simplemente ponerse mosca para corromper el proceso de estandarización… El enorme presupuesto marcial de los EE.UU. ahora exige públicamente que los “componentes” criptográficos tengan Aprobación de la NSA… En junio de 2024, William Layton de la NSA escribió que “no prevemos apoyar híbridos en los sistemas de seguridad nacionales”…

(Más tarde, un empleado de Cisco escribió de traicionar criptografía no híbrida a un cliente importante, “eso es lo que están dispuestos a comprar. Por lo tanto, Cisco lo implementará”).

¿Qué hace usted con su control sobre el presupuesto marcial estadounidense? Esa es otra oportunidad para “dar forma al mercado mundial de criptografía comercial”. Puede decirle a la gentío que no autorizará la negocio de criptográfico doble. Incluso puede hacer que los militares compren públicamente un criptográfico único. Mientras tanto, usted gasta silenciosamente una cantidad insignificante de mosca en una capa de criptográfico independiente para proteger los datos que le interesan, por lo que en verdad está utilizando criptográfico doble.
Este parece ser un proscenio reflexivo. Pero a Bernstein asimismo le preocupa cómo el Corro de Trabajo de Ingeniería de Internet manejó dos borradores que especificaban mecanismos de criptográfico poscuánticos para TLS (“la capa de seguridad adentro de HTTPS y adentro de varios otros protocolos”). Para un boceto que sugería un criptográfico “no híbrido”, hubo 20 declaraciones de apoyo (más 2 más que solo lo apoyaban condicionalmente), pero 7 declaraciones más que se oponían inequívocamente a su prohijamiento, incluida una de Bernstein. El IETF ha dicho en ocasiones que su objetivo es “consenso a ojo” – o para “amplio consenso” – pero Bernstein insiste en que no se puede opinar que 7 opositores en un campo de 29 (24,13%) coincidan con la definición permitido de consenso (que es “acuerdo normal”). “He presentado una queja formal sobre el publicidad de consenso para adoptar”.

Todavía ha escrito una segunda entrada en el blog. analizando el proceso de toma de decisiones del IETF en detalle. “Ya es malo que el asociación de trabajo IETF TLS haya recogido un criptográfico poscuántico no híbrido sin respuestas oficiales a las objeciones que se plantearon. Es mucho peor si las objeciones no se pueden idear en primer puesto”.

Gracias a alanw (Leyente de mostrador diagonal n.º 1.822) por detectar las publicaciones del blog.