← 返回信息流
AI 资讯Hacker News·4 小时前

NSA与IETF就公平性议题展开讨论

原标题:NSA and IETF: Fairness

速览

美国国家安全局(NSA)与互联网工程任务组(IETF)近期围绕互联网技术标准中的公平性议题进行合作或讨论。此举可能影响网络协议设计、安全机制及资源分配等关键领域。该动态反映了政府机构与标准组织在平衡安全、效率与公正性方面的持续博弈。

AI 深度解读

背景

本文源自 Hacker News 上的一则爆料,揭露了美国国家安全局(NSA)数十年间通过操控加密标准破坏全球通信安全的系统性行为。从 1970 年代推动弱密码 DES 以“驱逐竞争对手”,到 1990 年代利用出口法例外加固 RC4 和 RSA-512,再到 2000 年代破坏随机数生成器标准并付费让企业部署,NSA 的长期目标是让系统“可被利用”,同时让消费者和其他对手认为“系统安全性完好无损”。如今,NSA 正通过 IETF(互联网工程任务组)TLS 工作组推动一项 RFC(请求评议),要求 TLS 中单独使用 ML-KEM(后量子密码算法),而非混合使用现有的椭圆曲线密码(ECC)与 ML-KEM。反对者认为,这将是“不可原谅的安全灾难”,并指责 NSA 及其盟友通过操纵投票、压制反对声音来强行通过提案。

核心内容

IETF TLS 工作组正在进行一场被 IETF 官方委婉称为“最后征求”(last call)的投票,内容是是否发布关于在 TLS 中单独使用 ML-KEM(即 solo ML-KEM)的 RFC。发布该 RFC 意味着 IETF 正式认可 solo ML-KEM 在 TLS 中的使用。反对者担心,下一步将是 NSA 持续投入资金推动 solo ML-KEM 和 solo ML-DSA 的更广泛部署,而这必将因 ML-KEM 和 ML-DSA 软件漏洞的涌现导致灾难性后果,更不必说规范本身可能存在的安全缺陷。

这场投票截至 2026 年 7 月 8 日,但截止时间与时区均未明确。根据 IETF 规则,所有“正式工作”应在工作组邮件列表上进行。在本次投票中,邮件列表上已有超过 60 人提出反对意见。支持者则试图用各种理由阻止反对人数增长,例如:

  • 2026 年 7 月 1 日,来自英国 GCHQ(NSA 的英国伙伴)的“Michael P”声称,“对不安全的猜测性说法可能阻碍迁移到 ML-KEM”。反对者指出,2025 年 9 月时,ML-KEM 已占据 Cloudflare 一半的 HTTPS 连接——但那是 ECC+PQ(混合方案),而非 solo PQ。若担心 ML-KEM 安全性,迁移到 solo ML-KEM 是愚蠢的,而迁移到 ECC+ML-KEM 是合理的。指出安全问题怎么会减缓迁移呢?

  • 2026 年 7 月 3 日,Paul Hoffman 以“可信的密码学社区同时支持 ECC+ML-KEM 和 solo ML-KEM”为由投了赞成票。反对者反驳:著名密码学家 Orr Dunkelman(曾发现对 AES 的最佳攻击)、cryptlib 作者 Peter Gutmann、欧盟委员会后量子密码团队负责人 Fabiana Da Pieve 等均已提出反对。Hoffman 本人曾参与 NSA 推动的 TLS 扩展(使 Dual EC 更易被利用),且未披露从 NSA 获得的资金。他凭什么声称这些人“不可信”?

  • 2026 年 7 月 5 日,加拿大网络安全中心(属于 NSA 的加拿大伙伴 CSE)的 Kevin Milner 声称“纯 ML-KEM 的 RFC 几乎不影响他们的建议”。但 CSE 的 Keegan Dasilva Barbosa 却明确表示“我们计划在网络中心的 TLS 指南中包含纯 ML-KEM”。另一名 CSE 成员 Jonathan Hammell 在投票中回应“Yes”,承认他们依赖该文档才能推荐 solo ML-KEM。

反对者整理了详细的论据与反论据图表,指出支持者的论点存在漏洞,并且无视 IETF 规则中“分歧必须通过开放审查和讨论解决”的要求。支持者似乎明白 solo PQ 无法通过强制性的共识建立过程,因此采用政治投票程序,并公然“塞票”。例如,赞成票来自:

  • NSA 的 Mark Motley、Mike Jenkins、Nicholas Gajcowski
  • GCHQ 的“Flo D”、“Michael P”、“Peter C”
  • Cisco 的 David McGrew、Eliot Lear、Scott Fluhrer
  • Google 的 David Adrian、David Benjamin、Sophie Schmieg 等

反对者指出,IETF 内部存在亲认可的偏见:文档可以反复进行“最后征求”,目前已是第三次(2025 年 11 月、2026 年 2 月、当前 2026 年 6 月)。如果工作组主席宣布“粗略共识”即可通过,文档将经 IESG(互联网工程指导组)橡皮图章式批准后发布为 RFC,号称“IETF 社区共识”,而不承认分歧。IESG 主要由国防承包商成员(加上一位 NSA 终身雇员 Deb Cooley)组成,不可能拒绝 NSA 推动的文档。即使有上诉途径,也由同样偏倚的 IAB(互联网架构委员会)处理。如果主席不宣布共识,他们可以再次尝试——这正是第三次“最后征求”的原因。

关键要点

  • 历史模式:NSA 过去曾多次通过操纵标准(DES、RC4、RSA-512、RNG 标准)来破坏全球通信安全,当前推动 solo ML-KEM 是这一模式的延续。
  • 争议焦点:是单独使用 ML-KEM(solo PQ),还是坚持混合使用 ECC+ML-KEM(hybrid PQ)?反对者认为 solo PQ 风险极高,因为软件漏洞极易出现,且缺乏 ECC 作为安全后备。
  • 投票操纵指控:支持者主要由 NSA、GCHQ、CSE 及其合作伙伴(如 Cisco、Google)构成,反对者超过 60 人,包括多位知名密码学家。支持者无视 IETF 的开放审查与讨论规则,试图通过政治投票而非共识来强行通过。
  • 规则偏见:IETF 的“最后征求”机制允许无限次重试,且 IESG 缺乏中立性,导致亲认可倾向。一次通过即成定局,反对者无法有效阻止。
  • 风险不对称:如果反对者错误投下反对票,可能延缓部署,但部署正确方案(ECC+PQ)同样可以推进迁移;如果支持者错误通过 RFC,将导致全球大量系统使用脆弱方案(solo ML-KEM),后果不可估量。

意义与影响

这一事件不仅关乎 ML-KEM 这一特定算法,更揭示了标准制定过程中国家安全机构与企业利益合谋对互联网安全的潜在威胁。若 solo ML-KEM 被 IETF 正式认可,将迫使全球范围内的 TLS 实现、浏览器、服务器、物联网设备等生态系统全面转向单一后量子方案,放弃已经被证明有效的混合防御。历史上,NSA 推动的弱标准(如 Dual EC、有后门的 RNG)曾造成持续数十年的安全灾难。当前争论的结果将直接影响后量子时代互联网通信的根基:是选择稳健的过渡策略(混合方案),还是走向可能被利用或存在未暴露缺陷的单点依赖。反对者的核心诉求是:在密码学社区尚未就 solo PQ 的安全性达成共识之前,IETF 不应发布 RFC,而应坚持混合方案作为最佳实践。然而,当前的投票机制可能使这一合理诉求被政治操作所淹没。整个事件也是 IETF 治理结构是否需要改革(如引入独立仲裁、限制重复“最后征求”)的典型案例。此外,它提醒所有技术社区:公开的标准化过程可能被国家行为体系统性渗透,参与者需要保持警惕,积极发声,否则沉默等于默许。

查看原文 →blog.cr.yp.to