<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Aug 28, 2015 at 1:04 PM, Theodore Ts'o <span dir="ltr"><<a href="mailto:tytso@mit.edu" target="_blank">tytso@mit.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">I don't know if this is possible, because I don't know enough about<br>
quantuum computing, and I don't know enough a about "quantuum<br>
resistant encryption".<br>
<br>
Suppose quantuum computing is a thing, and suppose NSA^H^H^H NIST<br>
supplies us with a quantuum-resistant encryption algorithm.  Would it<br>
be possible to create an encryption algorithm which is resistant to<br>
quantuum computing --- except for someone with a quantuum computer<br>
*AND* knowledge of some secret quantuum state stored in a quantuum<br>
computer only available to the NSA.<br>
<br>
Even more, would it be possible to create such a thing in such a way<br>
that NSA^H^H^H NIST could introduce non-transparently in such a way<br>
that the public world *thinks* that that the encryption algorithm<br>
against all quantuum computers, but in fact there is a trapdoor that<br>
only the NSA could utilize --- but no one knows this?<br>
<br>
Of course, people wouldn't have to use the new quantuum resistant<br>
encryption algorithms, but if quantuum computer were a thing, they<br>
would be screwed if they kept on using AES, so the NSA would be quite<br>
happy with that outcome.<br>
<br>
And of course, if it was introduced non-transparently, then China and<br>
Russia and Iran would be able to demand that a backdoor be engineered<br>
for them, because no one would know that the backdoor existed.  And if<br>
someone future Snowden leaks this, all of the current fear-mongering<br>
from James Comey and Keith Alexander would help prepare the ground in<br>
case it does leak.  (Or maybe they plan to introduce this<br>
transparently, if they've learned their lesson from the Snowden<br>
disclosures.)<br>
<br>
All of this is premised by the hypothesis that it is possible to<br>
create quantuum-resistant encryption system for everyone but NSA, and<br>
preferably (for the NSA) in such a way that it's not possible to<br>
modify the encryption system so that backdoor can't be removed or<br>
changed so that China and Russia could have their own<br>
quantuum-backdoored encryption algorithm, and force companies who want<br>
to do business in those countries to use their alternate-backdoored<br>
encryption.   Is this possible?<br></blockquote><div><br></div><div>It is certainly possible to design a protocol that has effective countermeasures to prevent this.</div><div><br></div><div>Consider the problem from the attacker's point of view. A public key encryption scheme has three sets of parameters:</div><div><br></div><div>Private Key  K<br></div><div>Public Key    P</div><div>Shared parameters. S</div><div><br></div><div>A crypto system is QM secure if someone with a quantum computer cannot obtain the private key or decrypt messages using the Public key and shared public parameters using a QC.</div><div><br></div><div>What you are suggesting here is a backdoor in the shared parameters such that these are chosen so that the attacker has leverage but other users of the system are not. In effect we have a second public key crypto system built into the shared parameters and the attacker has generated these shared parameters as some function of a master secret X so that S = f(X).</div><div><br></div><div>Call this type of system 'backdoor QM insecure'.</div><div><br></div><div>Note that X has to be sufficiently large that the system is still secure if the attacker doesn't know it. Otherwise this isn't a cipher with a hidden NSA backdoor, it is a cipher that has a set of weak keys that enable an attack method known to the attacker and not anyone else.</div><div><br></div><div>Call this system 'unknown attack QM insecure'</div><div><br></div><div>While it is certainly possible to imagine that a function f(X) might exist, it is fairly clear that from this point on, any and all parameters used in any standard for public key cryptography must be rigid so that an attacker cannot choose a set that provides them with a backdoor. MD4 introduced the notion of using parameters taken from an arithmetic function (e, pi, etc). The CFRG is looking at fast primes.</div><div><br></div><div><br></div><div>So yes there is a risk here but we already have an effective control: rigid parameters.</div><div><br></div><div>According to my source, the relevant NSA doctrine is NOBUS 'nobody but us'. So they might peddle an unknown attack QM insecure system like they did with Dual_ECRNG, but unknown attack would leave US IT systems vulnerable to attack by China, Russia, etc.</div><div><br></div><div> </div></div></div></div>