2月以来、暗号学者ナディム・コベイシは、彼が重大なバグだと主張する問題に対処するため、Rust暗号化ライブラリにコード修正を適用させようと試みてきました。彼の努力に対して、彼は却下され、無視され、Rustセキュリティチャネルから禁止されました。
火曜日、コベイシはRustSecアドバイザリデータベース保守者の行動についてRust仲介チームとリーダーシップカウンシルに苦情を申し立てました。5時間後、彼はRustプロジェクトZulipスペースから禁止されました。
その後、彼はRust財団に苦情をエスカレートさせ、行動規範違反を主張し、他の救済手段の枯渇を引用しました。
「私は応用暗号学者であり、hpke-rsクレートで重大な暗号化脆弱性を発見しました。これには完全なAES-GCMプレーンテキスト復旧と偽造を可能にするノンス再利用脆弱性が含まれます」と彼は書きました。「過去1ヶ月間、私はこれらの脆弱性についてRustSecアドバイザリを公開するための繰り返された善意の試みを行いました。」
誰もがその評価に同意しているわけではありません。暗号学者フィリッポ・ヴァルソーダは、libcrux-ml-dsa v0.0.3に影響を与える欠陥についての11月2日のバグレポート「このサガ全体を引き起こした」がThe Registerへのメールで述べた「コベイシの状況全体の処理は私には決して誠意があるか相応しいものに見えませんでした。彼はCryspen保守者を攻撃し、彼らの問題を『埋める』ことで非難しています。私の意見では異議を唱えない行動についてです。」」
コベイシは2月5日のブログ投稿でパリを拠点とする暗号化ソフトウェア企業Cryspenを批判し、同社が「公開開示、セキュリティアドバイザリ、またはその『正式に検証された』ライブラリが本番環境での静かな暗号化故障を引き起こした欠陥を搭載して出荷したことの確認なしに」バグを修正したことに不満を述べました。
コベイシが彼の投稿へのリンクをLobste.rsディスカッション掲示板に公開した後、ヴァルソーダはテストとエンジニアリング慣行が形式的検証よりも高い保証ソフトウェアの結果を提供することに関するコベイシの議論を認めました。しかし、ヴァルソーダはコベイシが彼の議論をした方法に異議を唱え、それを攻撃的で、非難的で、双曲的で、不正直に近いと呼びました。
2月25日、コベイシはオープンソーステクノロジー改善基金ミートアップでオンラインプレゼンテーションを行い、13の主張された脆弱性に関する懸念と、libcruxの保守者であるCryspenにそれらを修正させるのに彼が抱えた困難について詳しく説明しました。
コベイシのプレゼンテーションスライドで引用されている回答で、Cryspenは検証されたコードにバグが見つかったと述べていません。コベイシは4つが見つかったと述べました。
コメントするよう招待されたCryspenはメールで次のように述べました:「私たちはすべての脆弱性レポートを歓迎し、コベイシ氏が私たちのプレリリースソフトウェアで特定したバグは1週間以内に対処されました。最終的に、このような議論は形式的検証の保証について正確であることの重要性を強調しているため、価値があります。これは私たちが私たちのブログ投稿で議論しています。」
Cryspen共同創設者および最高科学責任者のカルティケーヤン・バルガヴァの認めによると、コベイシはPhD学生として彼から学びました。「私たちはこれらのアドバイザリで優れた仕事をしませんでした。」
ベンダーとの協力の困難と公表されたセキュリティアドバイザリの欠如を引用して、コベイシはThe Registerに次のように述べました:「基本的には13の脆弱性があります。でも、本当に、本当に狂ったもの2つに焦点を当てましょう。RustSecが[セキュリティアドバイザリを公開する]必要があります。なぜなら、それらはSignal、OpenMLS、Google、SSH、Linuxカーネル、あらゆるところで使用されているライブラリを含むからです。
両方の場合、私は脆弱性は重大だと主張します。脆弱性の1つは完全なプレーンテキスト復旧とメッセージ偽造につながります。2^32暗号化後のすべてのメッセージの完全なキー復旧です。もう一方は否認サービス脆弱性です。だから最初のものは実際にSignalと多くの他の場所に配置されました。したがって、これについてアドバイザリが発行されることが極めて重要だと感じました。」
RustSecチームにこれらのレポートに対処させるための彼の努力に応えて、コベイシはRustSecアドバイザリデータベース保守者が技術的な正当化なしに複数のアドバイザリプルリクエストを閉じ、通知なしでRustSec GitHubオーガニゼーションから彼を静かにブロックし、彼がブロックされたことを発見した後に彼の保留中のアドバイザリプルリクエストを閉じたと主張しています。
「禁止メッセージは『ハラスメント』を引用しました。これは私のアドバイザリ貢献を却下するために使用された同じ特徴付けです。そして、私が不満を述べた行動と同じ人物によって課されました」と彼は書きました。
Rust財団は金曜日にコベイシの苦情を認め、「私たちはすべてのレポートを非常に真摯に受け取ります。これをRust財団行動規範ポリシーに沿って評価します。これは私たちのウェブサイトで見つけることができます。」と述べました。
The Registerは木曜日にRust財団にコメントを求めましたが、返答がありません。
明らかにオンラインドラマの一部でありたくないヴァルソーダは、コベイシの2月5日の投稿が5つのセキュリティ脆弱性を見つけたと主張することで状況を誤って表現していると主張しています。1つだけがセキュリティ問題として適格です。RustSecに報告されたノンス再利用バグです。
「ノンス再利用の問題は有効なセキュリティ問題のようですが、決して重大な脆弱性ではありません。単一のHPKEセットアップで40億以上の暗号化を行うアプリケーションのみに影響します」とヴァルソーダは言いました。「平均的なアプリケーションは1つです。」
ヴァルソーダはRustSec保守者がコベイシを禁止したり、彼のレポートをマージしないことを選択した場合、彼らはそうする理由があったと信じるように傾いていると述べました。
The Registerへのコベイシのアウトリーチを指摘して、ヴァルソーダは全体的な事柄がオープンソース保守者のハラスメントのように見えると彼に述べました。
オープンソースの重大な脆弱性?
この議論はオープンソースソフトウェア開発における長年の課題の1つを強調します。異なるコミュニケーションスタイルと期待を持つ、多くの場合ボランティアである多様な人々の行動基準を調和させること。そして、裁判所ベースの訴訟の厳密性と実行可能性を欠く組織方針を通じて、潜在的な利益相反の中で紛争を裁定します。
コベイシはRust財団への彼の苦情でこの非常にポイントを作成し、Rustプロジェクトのリーダーシップカウンシルのモデレーションチーム代表が、基本的なセキュリティアドバイザリ紛争で彼に対して公開仲介警告を発行した同じ個人であると主張しています。
「彼は私が不満を述べている行動の参加者であり、その行動を審査する責任がある組織のメンバーの両方です」とコベイシは書き、彼の禁止を不満への報復として特徴付けました。「これは直接的な利益相反です。」
コベイシはThe Registerに、彼が1ヶ月以上このバグについてのアドバイザリを得ようとしていると述べました。
「それは重大な脆弱性であり、彼らは公共の利益にある、正しく定式化された、人々が『cargo audit』コマンドで持つ必要があるアドバイザリの公開を妨害しています。これで彼らはその影響に見合った方法で脆弱性について学ぶことができます」と彼は言いました。
ある人の情熱的な提唱が別の人の熱心なハラスメントである場合、オープンソースの重大な脆弱性はただその人々かもしれません。®
