Дэниэл Бернштейн подал в суд из-за утаивания NIST информации о посквантовых криптоалгоритмах

Дэниэл Бернштейн (Daniel J. Bernstein), известный эксперт в области криптографии и создания защищённого ПО, разработавший такие проекты, как qmail, djbdns, NaCl, Ed25519, Curve25519 и ChaCha20-Poly1305, инициировал судебное разбирательство против правительства США, связанное с невыполнением Национальным институтом стандартов и технологий США (NIST) требований по полному раскрытию информации, связанной со стандартизацией криптоалгоритмов.

Претензии Бернштейна касаются проводимой в настоящее время стандартизации алгоритмов, стойких к подбору на квантовом компьютере. NIST не раскрывает полной информации о проводимых обсуждениях и не полностью публикует результаты анализа стойкости предложенных алгоритмов. С учётом интереса спецслужб к подстановке закладок, предопределённых уязвимостей и бэкдоров в претендующие на стандартизацию системы, Бернштейн предположил, что NIST может утаивать отчёты, в которых выявлены слабые места проанализированных криптоалгоритмов.

После выявления бэкдора в стандартизированном алгоритме Dual EC DRBG, разработанном в Агентстве национальной безопасности США, организация NIST обязалась обеспечить прозрачность процесса стандартизации и раскрывать всю сопутствующую информацию. Тем не менее, все решения по выбору алгоритмов продолжают приниматься в NIST за закрытыми дверями с раскрытием лишь части имеющейся информации. В соответствии с законом FOIA (Freedom of Information Act), предписывающим передавать информацию по запросу, с 2020 года Бернштейн отправил семь запросов о раскрытии данных о работе проекта NISTPQC (Post-Quantum Cryptography Standardization Project), но получил лишь отписки и так ничего не добился.

Так как скрываемая информация имеет большое общественное значение и необходим анализ полученной от АНБ информации, а также изучение корректности принятия решений в NIST, Бернштейн подал в федеральный суд США иск с требованием принудить NIST к публикации всех записей, связанных с работой группы NISTPQC, а также записей всех встреч и совещаний NIST с участием представителей Агентства национальной безопасности США, в которых встречается слово ‘quantum’, независимо от их связи с проектом стандартизации алгоритмов постквантовой криптографии. Отмечается, что без полного раскрытия всех данных можно легко пропустить доказательства атак на предложенные алгоритмы и попытки саботажа со стороны злоумышленников, пытающихся влиять на проект через подставных лиц.

Источник: opennet.ru