NSA 与 IETF(下):刻意回避眼前问题

这篇文章揭露了互联网工程任务组(IETF)在推动一个由美国国家安全局(NSA)主导的“非混合”后量子加密方案标准化时,存在严重的程序问题。作者指控 IETF 的工作组主席和安全领域主管(Area Director)无视明确的反对意见,强行宣布达成所谓的“粗略共识”以通过该草案。文章详细分析并驳斥了主管为证明其决定合理性而提出的各项论点,指出这些论点充满了逻辑谬误、事实错误和对安全风险的刻意回避。最终,文章批评 IETF 的标准化流程缺乏透明度、滥用权力,并牺牲了网络安全以迎合特定机构的利益,而忽略了混合加密方案作为重要安全保障的价值。

“共识”是如何被制造的

在部署后量子密码学时,行业通常的做法是部署 ECC+PQ 的混合模式,即结合传统的椭圆曲线加密和新的后量子加密。然而,IETF 管理层却在强行推动一份由 NSA 主导的“非混合”文件,该文件仅将后量子加密(PQ)作为 TLS 的一个独立选项。

这就好比说:我们正在为汽车标准化安全带。但同时,为了感谢国家殡仪馆协会的慷慨资助,我们也要将没有安全带的汽车作为另一个选项进行标准化,并无视所有关于安全的反对意见。

  • 所谓的“共识”:2025 年 4 月,TLS 工作组主席就采纳这份 NSA 主导的文件发起了征询。

      • 支持者:20 人明确支持,2 人有条件支持。
      • 反对者:7 人明确反对。
      • 结论:主席声称“我们已达成采纳该草案的共识”。

    • 主管的谎言:一位“安全领域主管”介入并声称:“根据对采纳征询的 67 份回复……绝大多数人赞成采纳……只有少数反对意见。”

这是一个谎言。在这些说法被揭穿后,主席改口称,他们宣布达成共识是“因为有足够多的人愿意审查该草案”。这完全无视了反对意见,也违背了标准制定组织应遵循的法律要求。

拖延与回避

作者随后向安全领域主管们提出了正式投诉,但遭遇了系统性的拖延和回避。

    • 借口一:其中一位主管从未回复。
    • 借口二:另一位主管(即之前谎称有“明确共识”的那位)以“PDF 格式‘不鼓励参与’”等理由拒绝处理投诉。
    • 上报无门:在投诉被无视后,作者上报至“互联网工程指导组”(IESG),但 IESG 几个月后才回复,并为该主管的行为辩护。

直到 2025 年 11 月 1 日,IESG 突然指示这位主管评估“工作组主席是否恰当地宣布了‘粗略共识’”。几小时后,这位主管就发布了他的结论:“我同意 TLS 工作组主席的看法,采纳征询的结果是达成了采纳该文件的‘粗略共识’。”

这个过程存在三个明显的回避行为:

    • 回避投诉本身:主管并未直接回应投诉中的具体问题,使得外界无法判断哪些问题得到了处理。
    • 回避“共识”一词:主管和 IESG 悄悄地将说法从“共识”转变为“粗略共识”。法律要求的是“共识”,而不是“粗略共识”。
    • 回避定义:主管从未解释他所理解的“共识”或“粗略共识”的定义是什么,这使得整个决策过程缺乏程序正当性。

对主管论点的逐一驳斥

这位主管为自己的结论提供了一系列论证,但这些论证充满了错误和误导。

错误的数字与总结

主管在总结中声称有 23 人赞成,6 人反对。然而,实际数字是 22 人支持(20 人明确支持,2 人有条件支持)和 7 人明确反对

  • 他是如何得出错误数字的?
      • 将一位明确反对者错误地标记为“矛盾”。
      • 将文件作者本人(并未投票)错误地计为支持者。

对支持论点的歪曲

主管的论点:“该草案的一大用例是支持那些依赖 NIST 和 FIPS 安全要求的各方。”

这是错误的。NIST 的标准允许使用混合加密(例如 ECC+PQ),只要后量子部分合规即可。因此,依赖 NIST 并不意味着必须使用“纯”后量子加密。标准化一个去掉 ECC“安全带”的选项完全没有必要。

对反对论点的轻描淡写

主管的论点:“一些反对者认为非混合方案是一个‘基本缺陷’,这似乎是对‘基本缺陷’的错误归类。目前 ML-KEM 没有已知的‘基本缺陷’。”

这种说法完全没有抓住重点。混合加密的意义就在于,当新的后量子算法(如 ML-KEM)未来被发现存在未知缺陷时,经典的 ECC 算法仍然能提供保护。这就像说:“这辆车还没撞过,所以没有安全带不算基本缺陷。”

主管的论点:“我们最终要为一个经典组件不再有价值的世界做设计。”

这是一个短视且傲慢的判断。

    • 谁也无法保证 ML-KEM 就是最终的胜利者。它可能因为实现问题、安全漏洞或出现更高效的算法而被取代。
    • 即使量子计算机出现,ECC 也可能依然保有部分安全价值,放弃它是不明智的。
    • 现在就将 ML-KEM 作为未来的唯一终点是为时过早的。

对复杂性的错误评估

主管的论点:“混合方案会增加实现的复杂性、部署和维护成本。”

这个评估是本末倒置的。

    • ECC+PQ 的混合方案已经存在并正在部署。
    • 现在要增加一个“纯”PQ 的选项,实际上是让整个生态系统变得更复杂
    • 与后量子算法被攻破的风险相比,混合方案增加的这点微不足道的代码复杂性根本不值一提。

对“国家标准”问题的回避

有反对者指出,如果 IETF 接受了美国主导的 ML-KEM,那将为其他国家(如中国)推动自己的国家标准开创先例,使 IETF 难以拒绝。

主管的回应:“ML-KEM 的使用不会为必须接受其他国家密码学开创先例。”

这位主管回避了核心问题:如果 NSA 可以施压 IETF 标准化非混合的 ML-KEM,IETF 将用什么标准来拒绝中国的类似要求,而又不被指责为偏袒

结论:被操纵的流程

主管最终的结论是:他认为工作组主席做出了正确的判断,即采纳该文件存在“粗略共识”。

    • 主席宣称的“共识”是错误的。
    • 主管宣称的“明确共识”是彻头彻尾的谎言
    • 主管后来退守的“粗略共识”一词在 IETF 的程序中没有明确定义,这为当权者留下了巨大的操纵空间。

这场争议表明,个人对风险和信任的看法,如果与当权者不一致,就会被轻易地斥为“个人意见”而不予采纳。最终,一个充满争议、存在安全隐患且由特定国家机构推动的标准,通过一个被操纵的程序,正在被强行合法化。