Post-Quanten-Kryptografie: NIST in der Kritik wegen "dummen Rechenfehlers"
Die US-Normungsbehörde NIST hat sich beim Einschätzen der Stärke des Post-Quanten-Systems Kyber-512 völlig verrechnet. Der Experte Dan Bernstein ist besorgt.
(Bild: Bartlomiej K. Wroblewski/Shutterstock.com)
Der renommierte Kryptologe Daniel "Dan" Bernstein schlägt Alarm: Er hat Grund zu der Annahme, dass die National Security Agency (NSA) eine neue Generation von Algorithmen für das Zeitalter von Quantencomputern gezielt schwächt. Der Deutsch-Amerikaner wirft der US-Normungsbehörde NIST, dem National Institute of Standards and Technology, vor, absichtlich den Grad der Beteiligung des US-Geheimdienstes an der Entwicklung von Verschlüsselungsstandards für die Post-Quanten-Kryptografie (PQK) zu verschleiern. Das NIST habe bei Berechnungen der Sicherheit eines der neuen Standards schwere Fehler gemacht hat – entweder versehentlich oder vorsätzlich. Die Behörde bestreitet dies.
"Schwerwiegendes Versagen" durch "dummen Fehler"
Bernstein erklärte gegenüber dem US-Magazin New Scientist, die Berechnungen des NIST für das PQK-System Kyber-512 seien "eklatant falsch". Dies lasse das Verschlüsselungsverfahren viel sicherer erscheinen, als es tatsächlich ist. Bereits Anfang Oktober führte Bernstein in einem Blogbeitrag das Problem aus. Demnach hat das Normungsinstitut zwei Zahlen miteinander multipliziert, obwohl es sie hätte addieren müssen. Dies führe zu einer künstlich hohen Bewertung der Angriffsresistenz von Kyber-512. "40 plus 40 ist 80 und 240 mal 240 ist 280", schreibt der Chicagoer Professor. Aber 240 plus 240 ergebe eben nur 241. Das NIST habe für diese Rechnung mit einem "dummen Fehler" aber 280 angesetzt.
"Wie konnte ein so schwerwiegendes Versagen am Überprüfungsprozess des NIST vorbeigehen?", fragt Bernstein. "Tun wir das als Einzelfall ab? Oder kommen wir zu dem Schluss, dass in den Verfahren, die das NIST befolgt, etwas grundlegend falsch ist?" Für den Mathematiker, der den Begriff Post-Quanten-Kryptografie geprägt hat, spricht viel für Letzteres. Aufgrund seines Verdachts beantragte er auf Basis des US-Informationsfreiheitsgesetzes Einsicht in bislang vertrauliche Papiere. Diese belegen, dass es allein in 2016 zu diversen Besuchen von NSA-Mitarbeitern und britischen Geheimdienstpartnern beim NIST kam. Dabei ging es unter anderem um das "Vertrauen und Entwicklungen für jede der primären PQK-Familien."
"Analyse sei nicht nachvollziehbar"
Die Besprechungen allein könnte die Tatsache rechtfertigen, dass die NSA auch als Cybersicherheitsbehörde in den USA fungiert wie hierzulande das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bernstein wirft dem NIST nun aber auch vor, die öffentliche Überprüfung eigener Berechnungen "sabotiert" zu haben. Dustin Moody von dem Normungsinstitut betonte indes gegenüber dem New Scientist, Bernsteins Analyse sei nicht nachvollziehbar: "Es ist eine Frage, für die es keine wissenschaftliche Gewissheit gibt und intelligente Menschen können unterschiedliche Ansichten haben." Kyber-512 erfülle die NIST-Sicherheitskriterien der ersten Stufe. Damit sei der Mechanismus mindestens so schwer zu knacken wie der aktuell häufig verwendete NIST-Standard AES-128. Die Behörde rate aber dazu, in der Praxis im Sinne der Entwickler des Algorithmus eine stärkere Version, Kyber-768, einzusetzen.
Beim NIST läuft derzeit die finale Runde eines Wettbewerbs zur Kür eines oder mehrerer neuer nationaler Standards für quantengesicherte Verschlüsselung. Ziel ist es, einen Ersatz für aktuell genutzte Algorithmen für die Public-Key-Kryptografie zu finden, mit denen etwa E-Mails, Online-Banking, medizinische Daten, der Zugang zu Kontrollsystemen und nationale Sicherheitsaufgaben abgesichert werden. Hintergrund ist, dass leistungsfähige Quantencomputer gängige Verschlüsselungsverfahren im Handstreich überwinden könnten. Die NSA dürfte aufgrund ihres hohen Budgets und ihres Know-hows zu den ersten Einrichtungen weltweit gehören, die eine solche neue Rechnergeneration testet und in Betrieb nimmt.
"Es gibt keine Hintertüren"
Kyber gilt als einer der potenziellen Gewinner des Wettbewerbs und hat bereits mehrere Stufen bei der Auswahl durchlaufen. Der Messenger-Betreiber Signal hat sich aufgrund des laufenden Normungsprozesses bereits für diesen Algorithmus entschieden, um "auf einem starken Fundament" aufzubauen. Kyber soll dabei hybrid mit dem Protokoll X3DH verwendet werden, wie es etwa auch das BSI empfiehlt.
Führende Kryptologen beäugen den NIST-Wettbewerb schon länger skeptisch und setzen auf Alternativen. 2015 sah sich die Behörde auf Basis von Enthüllungen des NSA-Whistleblowers Edward Snowden sowie anhaltender Kritik aus der Security-Community gezwungen, den umstrittenen Algorithmus Dual_EC_DRBG (Dual Elliptic Curve) aus ihrer Empfehlung für Zufallszahlengeneratoren zurückzuziehen. Das Verfahren für elliptische Kurven war in die Kritik geraten, nachdem bekannt geworden war, dass die von der NSA entwickelte Programmroutine eine Hintertür enthält. Der Geheimdienst hatte sich viel Mühe gegeben, Dual_EC_DRBG als Standard zu etablieren. Dabei spielte auch die IT-Sicherheitsfirma RSA eine unglückliche Rolle.
Schon 2022 bemühte sich die NSA, zerstörtes Vertrauen wieder aufzubauen. "Es gibt keine Hintertüren", beteuerte Rob Joyce, Direktor für Cybersicherheit bei der Spionagebehörde, mit Blick auf das NIST-Verfahren. Die NSA habe diesmal keine Möglichkeit, die entwickelten PQK-Standards auszuhebeln. NSA-Mathematiker arbeiteten vielmehr mit dem NIST zusammen, um den Prozess zu unterstützen und Kandidaten auf ihre Leistungsfähigkeit hin zu untersuchen.
(bme)
