ハクソク

世界を動かす技術を、日本語で。

NSAとIETF:攻撃者は弱体化された暗号化の標準化を購入できるのか?

233日前原文(blog.cr.yp.to)

概要

  • cr.yp.toブログの目次と主要トピックの和訳と要約
  • 近年の標準化、暗号、量子計算、NSAの関与に関する議論
  • 2025年10月4日記事「NSAとIETF:攻撃者は弱い暗号の標準化を買収できるのか?」の詳細解説
  • ECC+PQハイブリッド導入の意義とNSAの動向
  • IETFでのTLS暗号化提案の現状と背景

cr.yp.toブログ目次(Access-I インデックスページ)

  • 2025.10.04: NSAIETF :攻撃者は弱い暗号の標準化を単純に買収できるのか? #pqcrypto #hybrids #nsa #ietf #antitrust
  • 2025.09.30: 秘密監視:見られないことの重要性 #marketing #stealth #nsa
  • 2025.04.23: McEliece 標準化:現状と合理性分析 #nist #iso #deployment #performance #security
  • 2025.01.18: 飛行機のフライト並みに高価:量子コンピュータが動作しないという主張の検証 #quantum #energy #variables #errors #rsa #secrecy
  • 2024.10.28: 90年代の罪:大量監視に関する不可解な主張への疑問 #attackers #governments #corporations #surveillance #cryptowars
  • 2024.08.03: Clang vs. Clang:Clangを怒らせるとどうなるか #compilers #optimization #bugs #timing #security #codescans
  • 2024.06.12: 文献キー:簡単な[1], [2], [3]の使い方 #bibliographies #citations #bibtex #votemanipulation #paperwriting
  • 2024.01.02: 二重暗号化:NSA/GCHQによるハイブリッド反対論の分析 #nsa #quantification #risks #complexity #costs
  • 2023.11.25: Kyber-512のセキュリティ分析失敗の新たな例:最近のブログ投稿への反論 #nist #uncertainty #errorbars #quantification
  • 2023.10.23: Kyber-512の「ゲート」数削減:NIST計算に反するアルゴリズム分析 #xor #popcount #gates #memory #clumping
  • 2023.10.03: 正しく数えられない問題:Kyber-512セキュリティレベルに関するNIST計算の誤りの論破 #nist #addition #multiplication #ntru #kyber #fiasco
  • 2023.06.09: Turbo Boost:セキュリティ問題の永続化手法 #overclocking #performancehype #power #timing #hertzbleed #riskmanagement #environment
  • 2022.08.05: NSA、NIST、ポスト量子暗号:米国政府への2件目の訴訟発表 #nsa #nist #des #dsa #dualec #sigintenablingproject #nistpqc #foia
  • 2022.01.29: 特許増幅器としての盗用:ポスト量子暗号導入遅延の背景 #pqcrypto #patents #ntru #lpr #ding #peikert #newhope
  • 2020.12.06: 間違った指標の最適化(パート1):Microsoft WordとLaTeXの効率比較論文レビュー #latex #word #efficiency #metrics
  • 2019.10.24: EdDSAがECDSAよりMinerva攻撃に強かった理由:設計者による実装失敗予測と防御 #ecdsa #eddsa #hnp #lwe #bleichenbacher #bkw
  • 2019.04.30: ベクトル化入門:高速ソフトウェアエコシステムの重要な変化の理解 #vectorization #sse #avx #avx512 #antivectors
  • 2017.11.05: ROCAの再構築:限定的な情報公開から攻撃開発までの事例 #infineon #roca #rsa
  • 2017.10.17: 衝突発見の量子アルゴリズム:複数アルゴリズムの分析 #collision #preimage #pqcrypto
  • 2017.07.23: 高速キー消去乱数生成器:同時に複数の問題を解決する試み #rng #forwardsecrecy #urandom #cascade #hmac #rekeying #proofs
  • 2017.07.19: ポスト量子暗号のベンチマーク:SUPERCOPシステムとNISTへの提言 #benchmarking #supercop #nist #pqcrypto
  • 2016.10.30: ポスト量子標準化の課題:NISTへの初回コメント #standardization #nist #pqcrypto
  • 2016.06.07: 手続き的正義の死:技術によるリンチの常態化について #ethics #crime #punishment
  • 2016.05.16: 欧州「Quantum Manifesto」におけるセキュリティ詐欺:量子暗号学者による資金搾取 #qkd #quantumcrypto #quantummanifesto
  • 2016.03.15: Thomas JeffersonとApple vs FBI:ソフトウェア出版における表現の自由入門 #censorship #firstamendment #instructions #software #encryption
  • 2015.11.20: 12個の秘密鍵を破れば100万個が無料:バッチ攻撃の経済性 #batching #economics #keysizes #aes #ecc #rsa #dh #logjam
  • 2015.03.14: 最適化コンパイラの死:ETAPS 2015チュートリアル要旨 #etaps #compilers #cpuevolution #hotspots #optimization #domainspecific #returnofthejedi
  • 2015.02.18: Follow-You Printing:Equitracのマーケティングの誤解と妨害 #equitrac #followyouprinting #dilbert #officespaceprinter
  • 2014.06.02: Saberクラスター:5万ユーロで3×10^21乗回の乗算可能なクラスター構築 #nvidia #linux #howto
  • 2014.05.17: Intel命令セットへの小さな提案:低コストで暗号をより安全かつ高速に #constanttimecommitment #vmul53 #vcarry #pipelinedocumentation
  • 2014.04.11: NIST暗号標準化プロセス:改善の第一歩は失敗の認識 #standardization #nist #des #dsa #dualec #nsa
  • 2014.03.23: 楕円曲線署名システム設計法:多様な選択肢とECDSAの限界 #signatures #ecc #elgamal #schnorr #ecdsa #eddsa #ed25519
  • 2014.02.13: イデアル格子への部分体対数攻撃:計算代数的数論と格子暗号
  • 2014.02.05: エントロピー攻撃!:ハッシュ出力の制御可能性についての誤解

NSAとIETF:攻撃者は弱い暗号の標準化を買収できるのか?

  • ポスト量子暗号( PQ)は従来の暗号とのハイブリッド(二重暗号化)で導入されるのが一般的
  • 例:Googleの CECPQ1 (X25519+NewHope1024)、 CECPQ2 (ECC+NTRUHRSS701)、 CECPQ2b (ECC+SIKEp434)
  • 現在、Cloudflareの約半数の接続で ECC+MLKEM768 (95%)、 ECC+Kyber768 (5%)が使われる状況
  • PQ暗号が未来の量子コンピュータにも耐えるほど強力でも、 ECC層 を残す理由は「現実世界での安全性担保」
    • Googleが2016年に「PQアルゴリズムが現状のコンピュータでも破られた場合、ECCが最後の防御となる」と説明
    • 過去にはSIKEの崩壊やKyber/ML-KEMのセキュリティパッチなど、PQ暗号単独の危うさが露呈
    • ECC+PQ(二重暗号化)は現実的で常識的な安全策
  • ハイブリッド(ECC+PQ)とノンハイブリッド(PQ単独)の用語整理
    • 「ハイブリッド」は文脈により意味が異なるため、「二重暗号化」「二重署名」と表現するのが望ましい

NSAと標準化団体による影響力

  • NSAGCHQ は、ECC+PQ(二重暗号化)をPQ単独(ノンハイブリッド)に弱める標準化を推進
    • 過去にもNSAはDual ECを「保証強化」と宣伝し、後に脆弱性が発覚
  • 本記事の主題は「NSAが資金で標準化プロセスを腐敗させる容易さ」の検証

IETFとTLS暗号化ドラフトの現状

  • IETFTLS作業部会 で議論される2つのドラフト
    • ハイブリッド(二重暗号化)案:「Post-quantum hybrid ECDHE-MLKEM Key Agreement for TLSv1.3」
      • X25519MLKEM768などをTLSで利用(Cloudflareの95%接続が該当)
    • ノンハイブリッド(単独PQ)案:「ML-KEM Post-Quantum Key Agreement for TLS 1.3」
      • ML-KEM-512, ML-KEM-768, ML-KEM-1024のみを利用(シートベルトなし)
  • ノンハイブリッド案の動機
    • FIPS/CNSA 2.0準拠のため、ハイブリッドは「大きな疑問符」とされ、2033年までにML-KEM-1024単独化を要求
    • 米軍予算ではNSA認可の暗号コンポーネントのみ利用義務
    • CNSA 2.0は「すべてのNSS(国家安全保障システム)」に適用(軍事系情報システムの大半をカバー)
    • 2024年6月、NSAのWilliam Laytonは「NSSではハイブリッドをサポートしない」と明言
    • Cisco社員も「純粋なML-KEMを望む声が強い」と発言し、NSAの意向が業界に強く影響
  • 「純粋(pure)」という表現の誤解
    • CECPQ2のECC+SIKEを「pure SIKE」に置き換えた場合の危険性を指摘

まとめ

  • ポスト量子暗号の導入では、 ECC+PQハイブリッド が現実的な安全策
  • NSAなどが標準化団体に資金や影響力を行使し、PQ単独化を推進する動き
  • 標準化プロセスの透明性と独立性の重要性
  • セキュリティの多層防御(seatbelt analogy)の意義
  • 暗号標準化における政策・経済・技術の相互作用

(ご要望があれば、さらに各記事の要約や個別解説も作成可能です)

Hackerたちの意見

苦情を出したことを大げさに取り上げるのはちょっと変だね。でも、その投稿を公開する3日前に正式に却下されたことには触れないのはどうかと思う。

あなたと著者には大いに敬意を表しますが、却下された理由は文書で提起された問題に対する実質的な回答にはなっていないと思います。全然自信が持てませんでした。 > IESGは、SEC ADによるプロセスの失敗はなかったと結論付けました。IESGは、TLS WG文書の採用に関する苦情には直接対処しないとしています。代わりに、控訴者は指定されたプロセスに従ってSEC ADに再度苦情を提出すべきです。

完全性のためにこれが公開されたのは良いことだね。これらの問題には、暗号化を弱めることを支持する人々の長い悪い歴史があることを知っているから。

DJBは2022年からこのNSAの立場について文句を言ってるね(TLS WGで問題になるずっと前から)。実際、誰かが実際のアプリケーションに非ハイブリッドPQ鍵交換を推奨していることに驚いてる。もしこれがNSAがこれらを破るための何らかのギミックでないなら、最近開発されたメカニズムに対してかなりの自信を示していることになる。まるで「今、下水道でウイルスを検出できるようになったから、病院は可能性のある流行を報告するのをやめるべきだ。下水道の監視能力で十分だから」と言っているような感じだ。 (もっと悪いのは、秘密裏に他の人とは逆の目標を追求している人たちが関わっているかもしれないこと。) 編集: DJBはその2022年の投稿でこう言ってたね。 > NSAはこれを公に正当化していて、 > > . 余計なセキュリティ層を追加しようとした不注意な試みがセキュリティを損なったという周辺事例を指摘し、 > . 「NIST PQCプロセスへの信頼」を表明しています。

「最近開発されたメカニズム」について詳しく教えて。

これはかなり懸念されることで、DJBがそれに立ち向かっていることには敬意を表します。ただ、疑問に思うのは…実際にNSAにとって重要な妥協点は何なのか? * 技術的理解が十分なターゲットは、どうせハイブリッドを使うだろうし。 * 平均的なユーザーや技術に疎いターゲットは、すでにPRISMで監視されていて、暗号化は無意味になってる。だから…彼らの実際の目的は何なんだろう?

要するに…バックドア付きの技術を全員に採用させることができなくても、市場の30%がそれを採用すれば、1%未満よりずっと良いってことだよ。情報収集は数字のゲームだから、全てを手に入れることはできないけど、ネットが広ければ、諦めずにいれば、時間をかけてたくさんの魚が捕れるよ。

何がそんなに心配なの?具体的に教えて。

QUANTUMINSERTと組み合わせると、強力な暗号化手段を使っている人でもダウングレード攻撃が可能になる。

大多数の組織は、Ciscoルーターやウェブブラウザのデフォルトのセキュリティ設定をそのまま使ってるだけ。NSAはまず、いくつかの安全でないプロトコルをサポートさせることから始めて、サポートが広がるとデフォルトにするように要求して、デフォルト設定でのコンプライアンステストを求めるようになる。

世界のTLSトラフィックの99%?

彼らがこれをやりたいという考えだけで、他の2つの上に3層目の暗号化が欲しくなる。

暗号化のレイヤーは、ほとんどの暗号やアプリケーションにとって実際にはかなり安いんだよ。10個くらい持っておかないのはバカみたい。

ああ、FIPS、セキュリティ基準の砦だね。

それを「セキュリティ基準のファゴット」と読み間違えて、頭が全然違う方向に行っちゃった。

ここには議論すべきことがたくさんあるよ。A) サイバー連邦には絶対に信用しちゃダメ。B) NSAはみんなが思ってるような場所じゃない、めちゃくちゃなワイルドウェストみたいなもんだよ、経験から言わせてもらう。C) 暗号学はセキュリティやメッセージのやり取りだけじゃなくて、時にはどんな「生き物」が解読されてるかもわからないことがある。D) NSAはめちゃくちゃ汚い手を使う。デジタルCIAみたいなもので、いろんなところに入り込んでる(例えば、テックや通信、製造業のxyz社にサイバー諜報員がいる)。E) 絶対にクソみたいなNSAの言うことを聞いちゃダメだよ。搾取の文化に動かされてるから。

時にはどんな「生き物」が解読されてるかもわからないことがある。?

うーん、NSAを信用しないのはわかるけど、なんで君を信用すべきかもう少し詳しく教えてくれない?

なんかここには何かしらのドラマがあるっぽいけど、それを置いといて:この投稿を読んで、こんなに重要な基準は政府じゃない組織が決めるべきだって思ったよ。誰が標準化プロセスを合理的に運営できるんだろう?Linux Foundationとか?今、暗号学の才能はEthereumエコシステムでZK証明に集中してるみたいだし、VitalikがNISTみたいなコンテストを開いたら注目されると思う。最も大事なのは、攻撃者が実際の環境じゃなくてダミーの例で暗号を破るようにインセンティブを与えることだよね。理想的には、アルゴリズムが標準化される前に。Ethereumの人たちはこれに対して報酬を出す体制が整ってるし、もし暗号学者が責任ある開示で大金を得られるなら、不正な相手に脆弱性を売るインセンティブは減るよね。

ちょっと怖いのは、Woutersっていう人がBernsteinを禁止すると脅してるっていう、失礼なCoCメッセージがあることだね。信じて、プロセスを!

ポスト量子アルゴリズムは、今日のコンピュータでも破られる可能性がある これは、実際に提供されているのが「無知によるセキュリティ」だってことを示唆してるよね。この暗号は大丈夫なのかな?多分、誰にもわからない!待ってみよう!

RSAをECCに置き換えようっていう熱狂的な動きにも同じことが言えるよ。長年信頼されてきたアルゴリズムが突然、信頼されなくなって、実装が難しすぎる、遅すぎる、流行遅れだって言われるようになった。こういう非難があまりにも同期してて、テンプレート化されてるから、自然なものには見えなかった。