Quantensicherer Kryptostandard: Klage wegen Post-Quantum-Auswahlverfahren​

Inhaltsverzeichnis

Der bekannte Kryptoforscher Daniel J. Bernstein legte Klage gegen das National Institute for Standards and Technology (NIST) ein. Die für die Auswahl quantensicherer Krytpostandards verantwortliche US-Behörde habe die Auskunft über ihre Zusammenarbeit mit dem US-Geheimdienst National Security Agency (NSA) verweigert. Damit verstoße sie nach Bernsteins Ansicht nicht nur gegen eigene Transparenzversprechungen, sondern auch gegen die US-Bestimmungen zu Informationsfreiheit.

Das NIST hatte 2016 ein offenes Auswahlverfahren für die Suche nach Kryptoalgorithmen gestartet, die der Entschlüsselung durch zukünftige mächtige Quantencomputer widerstehen können. Bernstein hat gemeinsam mit Kollegen selbst mehrere Vorschläge in dem Verfahren eingereicht. Davon wurde das Signaturverfahren Sphinx+ zur Standardisierung ausgewählt und der Vorschlag Bit Flipping Key Encapsulation (BIKE) in die vierte Runde geschickt.

Bernstein lehrt an der Ruhr-Uni Bochum und ist Teil des dortigen Excellenzclusters CASA, aus dem auch der vom NIST ausgewählte Schlüsselkapselungsverfahren Kyber und das Signaturverfahren Dilithium kommen. Bernstein klagte in einem aufsehenerregenden Verfahren ab 1995 erstmals gegen die US-Regierung, um seinen kryptografische Forschung im Ausland entgegen US-Kryptoexportbestimmungen präsentieren zu können.

NSA-Einfluss undurchsichtig

Im laufenden Post-Quantum-Kryptografie-Verfahren des NIST hat der unbotmäßige Kryptoguru insgesamt sieben Informationsfreiheitsanfragen an die US-Behörde geschickt. Mit Nummer sieben forderte er die Behörde im März 2022 auf, ihre Kommunikation mit der National Security Agency (NSA) während, aber auch schon vor dem Start des Auswahlverfahrens offenzulegen. Weil die Behörde dieser Auskunftsanfrage nicht nachkam, wandte er sich nun an das US-Bundesgericht für Washington DC.

Schon die ersten sechs Ersuchen habe die Behörde mit unvollständiger Information beantwortet, schreibt Bernstein. Die aktuelle Anfrage gemäß Freedom of Information Act (FOIA) zur NSA habe sie gar nicht beantwortet, heißt es in der Klageschrift.

Warum er so nachdrücklich auf die Auskunft zum Einfluss der NSA besteht, begründet Bernstein am Wochenende in einem ausführlichen Blogpost. "Die klar belegte Geschichte der Sabotage durch die NSA, verbunden mit dem klaren Einfluss des Geheimdiensts auf das NIST machen eine Überprüfung von Interventionen durch die NSA vordringlich, auch wenn es wahrscheinlich ist, dass andere Organisationen versucht haben, den NIST-Prozess zu sabotieren", warnt Bernstein. Gegenüber dem Gericht verweisen seine Anwälte auf Belege dafür, dass die NSA lange vor 2020 im Post-Quantum-Standardisierungsverfahren bei der NIST vorstellig geworden ist.

Fool me twice, shame on me

Bernstein rekapituliert zur Begründung seines Misstrauens auf die Geschichte der Einflussnahme der NSA in Krypto-Standardisierungsverfahren. Das bekannteste, und im Zuge der Snowden-Enthüllungen letztlich vom NIST eingeräumte Beispiel, ist der Dual Elliptic Curve Deterministic Random Bit Generator. Der von der NIST auf Bitten der NSA standardisierte Pseudo-Zufallszahlengenerator war ein U-Boot des US-Geheimdienstes. Dieser konnte durch Kenntnis der verwendeten Konstanten die angeblichen Zufallszahlen errechnen und damit Verschlüsselung brechen.

Sicherheitsforscher wie Bruce Schneier hatten die Schwächen des Dual EC schon lange kritisiert, bevor die Behörde den Standard 2014 schließlich ganz offiziell zurückzog. Nachdem die kryptografische Community bereits erwogen hatte, neue Kryptoalgorithmen künftig selbst zu standardisieren, gelobte die NIST Besserung und vor allem umfassende Transparenz der eigenen Prozesse.

Genau dagegen verstoße die Behörde nun wieder, findet Bernstein. Nur Offenheit darüber, mit wem man kommuniziert und auch welche Kriterien am Ende den Ausschlag für eine Auswahl geben, könnten aber Manipulationen der so wichtigen Krypto-Standards verhindern. Insgesamt, so mahnt der Forscher, seien die von der NIST immer wieder erbetenen "privaten" Stellungnahmen eine heikle Sache, entzögen sie doch einen Teil des Entscheidungsprozesses der Prüfung durch Forschergemeinschaft und Öffentlichkeit.

Menetekel?

Für Bernstein gibt es dabei längst Anzeichen für heikle Interventionen durch die NSA. So warnt er davor, der NSA in deren Einschätzung zu folgen, die heute gängigen Kryptoverfahren aufzugeben, wenn zu Post-Quantum-Verschlüsselung und Signaturen migriert wird. Derzeit nutzen typische kryptografische Anwendungen wie OpenSSH eine Kombination aus herkömmlicher und PQC-Verschlüsselung (konkret NTRU mit X25519 ECD).

Die NSA hat sich in einem Tweet gegen diese sogenannte Hybrid-Verschlüsselung ausgesprochen. Doch Bernstein warnt, noch seien die neuen Schlüsselverfahren zu wenig erprobt, als dass man auf einen solche doppelte Absicherung verzichten kann. Die jüngst erfolgreich gezeigte Attacke gegen den 4-Runden Kandidaten SIKE habe das ziemlich eindrücklich demonstriert.

Zurückhaltung bei Kollegen

In der Krypto-Community hingegen äußern prominente Forscher Zweifel an Bernsteins Vorgehen. Während etwa Matthew Green und Filippo Valsorda allgemein die Forderung nach Transparenz unterstützen, warnen sie, dass Bernstein gut gemeinte Anliegen mit Verschwörungstheorien und unbegründeten Vorwürfen gegen Kollegen vermische. Das erschwere die Zusammenarbeit in der Community.

(ju)