1P by GN⁺ | ★ favorite | 댓글 1개
  • 양자컴퓨터가 기존 암호를 무력화할 수 있다는 우려 속에서, Daniel Bernstein은 NIST의 포스트 양자 암호 표준화가 NSA 관여와 보안성 계산을 충분히 드러내지 않는다고 비판함
  • NIST는 2012년부터 PQC 표준화를 진행해 왔고, Bernstein은 NSA가 새 표준에 비밀 약점을 넣으려 한다고 보지만 NIST는 이를 부인함
  • 쟁점 중 하나인 Kyber512에 대해 Bernstein은 NIST가 보안성을 과대평가했다고 주장하고, NIST의 Dustin Moody는 과학적 확실성이 없는 영역이라며 동의하지 않음
  • NIST는 Kyber512가 AES-128 수준의 level one 기준을 충족한다고 보면서도, 실제 사용에는 개발자 제안에 따라 더 강한 Kyber768을 권장함
  • Snowden 폭로 이후 NIST는 투명성 지침을 강화했다고 하지만, Bernstein의 정보공개 청구와 소송은 암호 표준 선정 과정이 외부에서 검증 가능한지라는 문제를 남김

포스트 양자 암호 표준화 논란

  • University of Illinois Chicago의 Daniel Bernstein은 NIST가 포스트 양자 암호 표준 개발에서 NSA의 관여 수준을 의도적으로 흐리고 있다고 봄
  • Bernstein은 새 표준의 보안 수준 계산에도 실수 또는 의도적 오류가 있을 수 있다고 주장함
  • NIST는 이 주장을 부인하며, Bernstein의 분석에 동의하지 않는다고 밝힘
  • Bernstein이 요구하는 핵심은 암호 표준을 고르는 조직이 공개 규칙을 투명하고 검증 가능하게 따라야 한다는 점임
    • NIST가 투명성을 약속했지만 모든 작업을 공개했다는 말은 사실이 아니라고 봄

왜 PQC 표준이 중요한가

  • 현재 데이터 보호에 쓰이는 수학 문제는 오늘날 가장 큰 슈퍼컴퓨터로도 사실상 깨기 어려움
  • 안정적이고 강력한 양자컴퓨터가 등장하면 현재 암호를 매우 빠르게 깰 수 있음
  • 그런 컴퓨터가 언제 나올지는 불확실하지만, NIST는 2012년부터 양자컴퓨터 공격에 견디는 새 알고리듬 표준화 프로젝트를 진행해 왔음
  • Bernstein은 2003년에 이런 종류의 알고리듬을 가리키는 post-quantum cryptography라는 용어를 만든 인물임
  • NIST 표준은 전 세계적으로 쓰일 수 있어, 결함이 들어가면 영향 범위도 커질 수 있음

Kyber512 보안성 계산 충돌

  • Bernstein은 곧 나올 PQC 표준 후보 중 하나인 Kyber512에 대한 NIST 계산이 “명백히 틀렸다”고 주장함
  • 그의 핵심 비판은 NIST가 두 숫자를 더해야 더 정확한 상황에서 곱셈을 사용했고, 그 결과 Kyber512의 공격 저항성이 실제보다 높게 평가됐다는 것임
  • NIST의 Dustin Moody는 이 분석에 동의하지 않음
    • 이 문제에는 과학적 확실성이 없고, 지적인 사람들이 서로 다른 견해를 가질 수 있다고 말함
    • Bernstein의 의견은 존중하지만 그의 결론에는 동의하지 않는다는 입장임
  • Moody는 Kyber512가 NIST의 level one 보안 기준을 충족한다고 봄
    • 이는 널리 쓰이는 기존 알고리듬인 AES-128만큼 깨기 어렵다는 기준임
    • 실제 사용에는 더 강한 Kyber768을 권장함
    • Kyber768 권장은 알고리듬 개발자들의 제안이었다고 말함

표준 확정 일정과 Kyber의 위치

  • NIST는 현재 공개 의견수렴 기간에 있음
  • PQC 알고리듬 최종 표준은 내년에 공개하기를 희망함
  • 표준이 확정되면 조직들이 새 알고리듬 채택을 시작할 수 있음
  • Kyber는 이미 여러 단계의 선정 절차를 통과했기 때문에 최종 표준에 포함될 가능성이 높아 보임

과거 사례가 만든 신뢰 문제

  • NSA가 PQC 표준에 실제로 어떤 영향을 줬는지는 조직의 비밀성 때문에 확실히 말하기 어려움
  • NSA가 암호 알고리듬을 의도적으로 약화한다는 제안과 소문은 오래전부터 있었음
  • 2013년 The New York Times는 NSA가 이런 작업에 2억5000만 달러 예산을 갖고 있었다고 전함
  • 같은 해 Edward Snowden이 유출한 정보기관 문서에는 NSA가 암호 알고리듬에 백도어를 의도적으로 넣었다는 내용이 포함돼 있었음
    • 해당 알고리듬은 이후 공식 표준에서 제외됨

NIST의 반박과 투명성 주장

  • Moody는 NIST가 NSA의 요청으로 표준을 의도적으로 약화하는 데 동의한 적이 없다고 말함
  • 만약 비밀 약점이 있었다면 NIST가 모르는 사이에 들어갔어야 한다는 것이 Moody의 설명임
  • Snowden 폭로 이후 NIST는 암호학 전문가들의 신뢰를 회복하기 위해 투명성과 보안 지침을 강화했다고 밝힘
  • Moody는 NSA가 언급될 때마다 우려하는 암호학자들이 있으며, NIST가 NSA와의 상호작용을 개방적으로 다루려 했다고 말함
  • NSA도 비밀 정보기관이라는 한계 안에서 더 개방적이려 했다고 Moody는 설명함
  • NSA는 New Scientist의 논평 요청에 응답하지 않음
  • Moody는 의사결정은 NIST가 한다고 말할 수는 있지만, NIST 내부에 있지 않다면 이를 검증할 방법은 없다고 인정함

정보공개 청구로 드러난 문서

  • Bernstein은 NIST가 NSA의 입력 수준을 공개하지 않고 자신의 정보 요청을 막았다고 주장함
  • 그는 정보공개 청구를 냈고 NIST를 상대로 소송을 진행해 NSA 관여 세부사항을 공개하게 함
  • Bernstein에게 공개된 문서에는 “Post Quantum Cryptography Team, National Institute of Standards and Technology”로 표현된 그룹에 다수의 NSA 구성원이 포함됐다는 내용이 있음
  • 문서에는 NIST가 영국의 NSA에 해당하는 GCHQ 관계자와 만났다는 내용도 포함됨

외부 전문가의 평가

  • University of Surrey의 Alan Woodward는 암호 알고리듬에 조심할 이유가 있다고 봄
  • 예시로 1990년대와 2000년대 휴대전화 네트워크에 쓰인 GEA-1 코드가 있음
    • 이 코드는 원래보다 수백만 배 적은 계산량으로 깨질 수 있는 결함이 발견됨
    • 그 결함을 누가 넣었는지는 확인되지 않음
  • Woodward는 현재 PQC 후보들이 학계와 산업계에서 강하게 검토됐고, 아직 부족하다고 판명되지 않았다고 말함
  • 이전 경쟁 단계의 다른 알고리듬들은 결함이 입증되어 탈락한 사례가 있음
  • Woodward는 정보기관이 암호를 약화한 역사가 있지만, 후보들에 대해 매우 많은 보안 분석이 이뤄졌기 때문에 Kyber에 함정이 심어져 있다면 놀랄 것이라고 봄

댓글과 토론

Hacker News 의견들
  • “우리가 할 수 있는 건 NIST가 방 안에서 결정을 내리는 주체라고 말해주는 것뿐이고, 믿지 않는다면 NIST 내부에 있지 않고서는 확인할 방법이 없다”는 Moody의 말이 바로 문제임
    NIST처럼 중요한 기관이 모든 회의, 메모, 휴식 시간 대화까지 관심 있는 누구나 훑어볼 수 있을 만큼 투명하지 않다면 해체하고 공공에 제대로 봉사하는 조직으로 대체해야 함
    우리는 기술을 왜곡해 전방위 감시의 세계를 만들고, 평범한 시민의 사생활을 들여다보는 데 오용해 왔음
    감시와 감사 기술에 정당한 용도가 있다면, 도덕적으로 사생활 일부를 내놓아야 할 사람들은 의회, 지방의회, 정부기관, 표준화 기구에서 공적으로 일하는 사람들임
    “말해주는 것뿐”이 아니라 증명해야 하며, 증명할 수 없다면 공익에 더 적합한 리더십에 자리를 내줘야 함

    • 공개된 회의 밖에서 공무원들이 서로 대화하지 못하게 감시기구가 확인하는, 우리와 조금 다른 정부를 상상하게 됨
      부담은 엄청나겠지만, 평행우주에서는 당연하게 느껴질 수도 있음. 대표자는 우리에게 책임을 져야 하니까
    • 현대적인 전방위 감시는 암호화를 약화해서 배치되는 게 아니라, 플랫폼과 앱에 내장되어 있고 사람들은 무료 서비스와 중독성 있는 소셜 미디어 피드 때문에 자발적으로 설치함
      사람을 감시하는 데 암호화를 약화할 필요는 없음. 춤추는 토끼를 보여주고, 그 토끼를 보려면 “연락처 접근 허용”, “카메라 접근 허용”, “마이크 접근 허용”, “문서 접근 허용”을 누르게 하면 됨
      좀 더 고급스럽게 말하면 춤추는 토끼 대신 무료 서비스를 넣으면 됨
      여기에 클라우드 명령·제어 구조를 더 많이 채택할수록 감시는 더 쉬워짐. 클라우드 제공자 내부에 접근할 수 있는 누구든 거의 실시간으로 모든 사람의 행동을 탭할 수 있고, 제공자 자신도 모르게 가능할 수 있음. 이런 서비스를 많이 쓸수록 더 많은 데이터 지점을 넘겨주고, 그것들이 합쳐져 우리에 대한 상당한 정보를 거의 실시간으로 만들어냄
    • 이 일을 하는 사람들을 대상으로 수집된 모든 내용이 누구에게나 보이는 24시간 감시를 하자는 건가? 그런 일자리를 누가 맡을지 의문임
    • NIST 입장에서도 극도로 근시안적으로 보임
      윤리적으로는 다들 어떻게 볼지 명확하겠지만, 논의를 위해 NIST나 NSA 관점에서 보자면 어떤 특정 위협 때문에 NIST 또는 NSA가 백도어를 넣어야 한다고 믿을 수는 있음
      그러려면 NIST는 아주 좁은 사안에 쓸 수 있는 큰 사회적 신뢰 자본과 업계 신뢰를 유지해야 함
      그런데 수년간 Dual EC DRBG 같은 이상한 일이 충분히 있었고, 특히 암호 설계에서는 그 신뢰가 거의 남아 있지 않음. NIST가 추진한 최신 ECC 표준들은 AES가 공개됐을 때보다 훨씬 덜 신뢰받는다는 인상이고, 이런 불신을 낳을 만한 주요 사건들이 여럿 떠오름
      결국 NIST는 업계에 대한 영향력을 많이 잃게 되고, 이는 NIST 자신에게도 이롭지 않음
    • NIST가 투명하지 않다는 사실만으로도, NIST가 건드린 암호 관련 작업은 손상됐다고 가정하기에 충분함
      솔직히 현대 암호화는 기본적으로 손상됐다고 봄. 도박은 누가 어떤 방식으로 손상했는지, 그리고 그들이 내 데이터에 접근하려 할 가능성이 얼마나 되는지에 달려 있음
  • 기사가 좀 이상해서 보안 업계 종사자 입장에서 상황을 요약하면 이렇다
    존경받는 보안 연구자인 Bernstein이 지난주 긴 블로그 글을 내고, 새 양자내성암호 알고리즘에 대한 NIST 표준화 과정을 비판했음. 초점은 키 캡슐화 메커니즘, 즉 TLS 키 교환 같은 영역이고, 큰 후보는 Kyber와 Bernstein이 공동 저자인 NTRU임
    핵심 불만은 NIST가 선정 절차를 느슨하게 운영하면서, 특정 보안 임계값을 아주 약간 못 맞춘 빠른 NTRU 변형을 탈락시켰다는 것임. 그 변형이 빠지면 NTRU가 실제보다 느리고 유연하지 않게 보임
    반면 NIST는 비슷하게 빠른 Kyber 변형을 불안정한 가정에 기반해 받아들였음. Bernstein은 그것 역시 보안 임계값을 만족하지 못하므로 탈락해야 한다고 길게 주장함. 흥미롭게도 NIST는 Kyber의 안전성을 주장하는 데 Bernstein 자신의 연구를 겉보기에는 잘못된 방식으로 사용했음
    NIST가 알 수 없는 이유로 한 알고리즘을 다른 알고리즘보다 선호한 듯한 부적절함의 분위기가 있음. 글 앞부분에서 Bernstein은 NIST 내부 절차에 대한 정보를 더 공개하게 하려고 낸 최근 소송 결과도 보여주는데, NIST와 NSA가 이전에 알려진 것보다 더 자주 만난 듯함
    내 해석은 NSA가 의제를 밀어붙였다기보다 NIST가 알고리즘 평가에서 내부 실수를 했다는 쪽에 더 기움. Bernstein이 자기 알고리즘이 선택되지 않을까 봐 억울해서 우회적인 전술을 쓰는 것이라고도 볼 수 있지만, 그는 훌륭한 평판이 있고 NIST가 중요한 실수를 했으며 충분히 투명하지 않다는 점을 설득력 있게 주장함
    https://www.metzdowd.com/pipermail/cryptography/2016-March/0...
    https://blog.cr.yp.to/20231003-countcorrectly.html

    • 왜 그렇게 보는지 궁금함. NSA는 과거에도 정확히 이런 일을 했는데, 이번에는 왜 선의를 추정해야 하나?
      https://en.m.wikipedia.org/wiki/Dual_EC_DRBG
    • “학자가 공을 인정받지 못해 속상해한다”와 “학자가 세상을 돕고 싶어 한다”가 둘 다 가능성으로 올라와 있다면, 항상 첫 번째 가능성을 오래 들여다봐야 함
      나도 학자이고, 이 글에 대해서도 그렇게 봐야 함
  • 지난주 내내 암호학자들이 Bernstein의 그 블로그 글이 정확히 무슨 뜻인지 파악하려는 자리에 있었는데, The New Scientist의 Matthew Sparkes가 그들보다 더 잘 이해했다고 믿기 어렵다
    Sparkes가 Bernstein을 직접 취재한 것도 아니고, 여기서 NIST 인용문에 관심 있는 사람도 없다면 이 기사는 중복으로 다루는 게 맞아 보임

  • DJB 대 NIST 이야기가 나올 때마다 “사소해 보일 수 있지만 그는 흠 없는 이력이 있으니 믿어야 한다”는 반응이 꼭 나옴
    여기에 조금 반박하고 싶어서 이 Twitter 스레드를 링크함
    https://nitter.net/FiloSottile/status/1555669786826244096
    Bernstein과 그의 동료들이 다른 암호학자들을 위협하는 패턴이 있음을 보여줌
    뛰어난 암호학자이면서 동시에 쩨쩨한 사람일 수 있고, 둘은 서로 배타적이지 않음

    • 그 Twitter 스레드의 링크들을 전부 파보지는 않았지만, 앞부분 트윗 몇 개는 꽤 오해를 부름
      트윗들은 DJB가 알고리즘을 제출한 과학자들이 NSA에 매수됐다고 암시했다고 말하지만, 이는 DJB가 쓴 내용을 완전히 잘못 이해한 것임. 그의 주장은 NSA가 그런 과학자들에게 뇌물을 줄 필요조차 없다는 쪽이었음. 이미 수년 전 해당 분야 최고 전문가들을 채용했기 때문에, 제출된 것보다 훨씬 앞서 있을 수 있고, 그러면 NIST가 자신들이 깨는 법을 아는 알고리즘을 고르도록 밀기만 하면 된다는 논리임
      이 사안에 대해 아는 바가 없어서 DJB 주장이 스레드 작성자가 3번째 트윗의 GIF로 암시하듯 미친 편집증인지 판단할 수는 없음. 다만 보이는 건, 작성자의 주장이 DJB가 쓴 내용을 심하게 왜곡했다는 것뿐임
    • 그 스레드와 참조 자료에는 풀어야 할 게 너무 많고, 상당수가 서로의 말이 엇갈리는 식임
      예를 들어 DJB가 악하다는 증거로 쓰인 참조 중 하나는, 병가를 한동안 낸 뒤 고용주가 회사 의사를 만나보라고 제안한 것을 모욕으로 받아들였다고 불평함. 그런데 네덜란드에서는 이는 100% 표준 절차이고, 그 의사는 회사 소속이 아니라 독립적이며 비밀을 지킴
      무기한 이유를 밝히지 않고 아프다고 주장하면서 계속 급여를 기대할 수는 없지만, 고용주가 의료 기록을 알 권리도 없는 충돌을 해결하는 방식임. 의료 비밀과 장기 병가를 동시에 보장하면서, 고용주는 공정한 의사가 적절한 조치가 이뤄지는지 확인한다고 믿을 수 있음
      이 사안은 DJB, 작성자, 그들이 일하는 대학 사이의 갈등 일부로 등장함. 그 밖에도 DJB와 다른 이들이 학대를 방치했다는 주장 속에서, 현지 제도를 몰라 생긴 듯한 부분들이 암시됨
      쓰인 내용 대부분은 믿지만, 동시에 새로 옮겨간 법 체계를 동료, 친구, Google/DDG로 알아보지 않아 문제가 더 커진 것도 분명해 보임. DJB도 법적 조치를 하라고 제안했고 HR은 중재를 제안했지만 당사자는 둘 다 거절함. 그래서 지금 증거는 블로그에 적힌 당사자 말뿐이고, 가해자로 지목된 사람들은 아무런 결과도 맞지 않았음
      그런 참조들이 DJB=악이라는 쪽으로 설득하기도 하지만, 동시에 한쪽 이야기보다 더 많은 맥락이 있을 수 있다는 생각도 들게 함
    • 강하게 동의함. Bernstein은 예전에 “The Incredible Hulk만큼 섬세함이 없다”는 식으로 묘사된 적이 있음. 아마 뛰어난 암호학자이기 때문에 넘어가는 일들이 있을 수 있음
      curve25519를 설계한 건 실용적 영향 면에서 RSA나 Diffie-Hellman 발명과 같은 범주에 둘 만한 성취라고 봄. 아이디어가 새로워서가 아니라, 실제로 “그냥 작동하는” 형태로 결합됐기 때문임. 잘못된 곡선 점, 트위스트 공격, 점 배가에 덧셈 공식을 실수로 쓰는 문제 등을 걱정하지 않아도 됨
      매개변수 선택을 꽂아 넣는 프레임워크가 있고 그중 일부만 안전할 수도 있는 방식이 아니라, 한 가지를 잘하는 암호 라이브러리를 만들 수 있다는 생각은 당시 아무도 그렇게 하지 않았을 만큼 충분히 새로웠음. 실제 키가 필요할 때 대부분 ssh-keygen -t ed25519 또는 다른 시스템의 동등한 명령을 쓰는 사실이 말해줌
      GitHub가 ssh-dss 키 유형을 폐기하고 ed25519와 기본값을 권장하는 것도 마찬가지임. 전자서명에서 Ed25519와 DSA/ECDSA의 경쟁은 Bernstein의 완승이고 NIST는 체면을 구겼음. 악의의 증거는 없지만, ECDSA가 Schnorr 프로토콜을 왜 그렇게 심하게 망가뜨려 많은 구현이 끔찍한 보안 구멍을 만들게 됐는지 합리적인 설명을 아직 듣지 못했음
      Snowden 유출과 DUAL_EC도 있음. “NSA는 과거에 암호 표준에 개입했고, 신뢰할 만한 유출은 그것이 임무 선언의 일부였음을 보여주며, 다시 그럴 수 있다”는 말은 나에게 보통 음모론과는 거리가 먼, 그럴듯한 증거가 뒷받침된 진술임. 달 착륙 조작설 같은 영역이 아님
      또 Bernstein이 악할 수 있는 여러 방식 중, 내가 알기로는 그에게 제기된 적이 없는 것들도 많음. 성폭행이나 강간 의혹은 없고, 특별히 인종차별적인 말을 하거나 극우 이념을 밀었다는 것도 모름. 기술적 사안에서 동의하지 않는 사람을 모욕하고 가끔 위협했다는 비난은 있지만, 보통 “나쁜/악한 사람이라 가능하면 피해야 한다”는 의미와는 다름
      암호 프로토콜 설계에서는 꽤 흠 없는 이력이 있고, 인간관계에서는 꽤 얼룩진 이력이 있다고 보겠음. 실제로 어리석거나 악한 설계 결정에 맞설 때는 자산이지만, 많은 다른 경우에는 그렇지 않음
    • 이 맥락은 중요함
      “그의 방식이 NIST에 채택되지 않으면, 사람들은 그것이 백도어가 없기 때문이라고 생각하고 FOIA 소송을 증거로 들 것”이라는 대목이 핵심임
  • 저자의 동기를 이야기하다 보면 유감스럽게도 NIST의 계산 오류를 놓칠 수 있음
    NIST의 핵심 오류는 더해야 할 두 비용을 잘못 곱한 데 있음. 이 주장이 맞다면 초안은 적어도 다시 검토하고 고치는 게 신중한 태도임

  • 이전 논의: https://news.ycombinator.com/item?id=37756656

  • 아이러니하게도 DJB가 동료들과 NIST를 대하는 방식과 내용은, 그의 주장이 신빙성 있을 수 있음에도 양쪽 모두를 그 주장에 등 돌리게 만들 가능성이 큼
    DJB가 느끼는 NIST의 “버티기”는, 적대적이고 점점 이상해지는 민간인과 엮이기를 꺼리는 태도일 수도 있음
    NIST의 Dustin Moody가 “우리는 그의 분석에 동의하지 않는다. 과학적 확실성이 없는 문제이고, 지적인 사람들도 서로 다른 견해를 가질 수 있다. Dan의 의견은 존중하지만 동의하지 않는다”고 말한 건 대중과학 기사에는 좋지만, 나와 많은 사람들은 이 분석의 세부가 제대로 따져지는 걸 보고 싶음
    DJB는 그 기회를 만들 수 있었지만 망쳤음. 그렇다고 그의 Kyber-512 보안 수준 계산에 대한 질문이 답 없이 남아도 된다는 뜻은 아님

    • “과학적 확실성이 없는 문제이고 지적인 사람들도 서로 다른 견해를 가질 수 있다”니, 이게 무슨 말인가
      그런 문제가 아님. DJB는 NSA가 “3 + 3 = 9”와 비슷한 주장을 한다고 말하는 셈이고, 그 주장은 맞거나 틀린 것 중 하나임
      기사는 유료벽이 있어서 댓글을 본 뒤 굳이 뚫을 생각이 없지만, 유료벽 전에 보인 이런 문장은 완전히 부정직함
  • Dan Bernstein은 Qmail, DJBDNS, 암호 알고리즘을 만들었음
    https://en.m.wikipedia.org/wiki/Bernstein_v._United_States
    Qmail
    https://en.m.wikipedia.org/wiki/Qmail
    Djbdns
    https://en.m.wikipedia.org/wiki/Djbdns
    https://en.m.wikipedia.org/wiki/Daniel_J._Bernstein

  • 암호화는 다른 많은 것처럼 국가 손에 맡기기엔 너무 중요함