Perseteruan di Komunitas Rust: Kriptografer Nadim Kobeissi Diblokir Usai Laporkan Bug Keamanan
Baca dalam 60 detik
- Kriptografer Nadim Kobeissi diblokir dari komunitas keamanan RustSec setelah bersikeras menuntut publikasi peringatan keamanan terkait celah yang ia temukan pada pustaka kriptografi Rust.
- Kobeissi mengklaim menemukan kerentanan kritis yang dapat membahayakan platform besar seperti Signal dan kernel Linux, sekaligus menuduh tim moderator melakukan penyumbatan informasi.
- Di sisi lain, pakar kriptografi dan pihak pengembang menilai gaya komunikasi Kobeissi sangat agresif dan berlebihan, mengingat celah keamanan tersebut dianggap memiliki kemungkinan eksploitasi yang sangat kecil di skenario dunia nyata.
Kriptografer Nadim Kobeissi saat ini tengah berseteru hebat dengan komunitas keamanan bahasa pemrograman Rust. Alih-alih mendapatkan apresiasi setelah melaporkan dugaan kerentanan kritis pada pustaka kriptografi Rust, Kobeissi justru diabaikan, ditolak, dan puncaknya diblokir dari saluran keamanan RustSec.
Melansir laporan dari The Register pada Jumat (20/3/2026), konflik ini bermula sejak bulan Februari ketika Kobeissi mencoba mendorong perbaikan kode pada pustaka kriptografi hpke-rs dan libcrux. Ia mengklaim menemukan celah keamanan penggunaan ulang nonce yang memungkinkan pemulihan teks asli (plaintext) AES-GCM secara penuh. Mengingat pustaka ini digunakan oleh platform besar seperti Signal hingga kernel Linux, Kobeissi mendesak penerbitan peringatan keamanan resmi di database RustSec.
Namun, klaim tersebut dibantah keras oleh pakar kriptografi lainnya, Filippo Valsorda, serta Cryspen selaku perusahaan pengembang perangkat lunak terkait. Valsorda menilai cara komunikasi Kobeissi sangat agresif dan hiperbolis. Menurut Valsorda, meskipun bug tersebut valid secara teknis, dampaknya sama sekali tidak kritis di dunia nyata karena hanya memengaruhi aplikasi yang melakukan lebih dari empat miliar enkripsi dalam satu pengaturan. Puncaknya, Kobeissi diblokir dari ruang diskusi Rust Project Zulip atas tuduhan "pelecehan", yang kemudian berujung pada pelaporan Kobeissi ke The Rust Foundation atas dugaan pelanggaran Kode Etik.
- Laporan Bug: Nadim Kobeissi melaporkan celah keamanan kriptografi yang ia anggap sangat kritis untuk segera dipublikasikan di database keamanan.
- Tuduhan Pelecehan: Pihak RustSec memblokir Kobeissi dari saluran GitHub dan Zulip karena pendekatannya dianggap agresif dan mengarah pada pelecehan terhadap para pengelola open-source.
- Eskalasi Kasus: Kobeissi melaporkan balik tim moderator ke The Rust Foundation, menuduh adanya konflik kepentingan di mana pihak yang menghukumnya adalah pihak yang sama dengan yang ia kritik.
Insiden ini kembali menyoroti tantangan klasik dalam pengembangan perangkat lunak open-source: menyelaraskan norma perilaku komunitas sukarelawan dengan ekspektasi komunikasi teknis. Berikut adalah perbandingan sudut pandang pihak-pihak yang berseteru:
| Pihak Terlibat | Klaim & Sudut Pandang |
|---|---|
| Nadim Kobeissi | Mengklaim menemukan bug kritis, menuduh RustSec melakukan pemblokiran sepihak tanpa alasan teknis, serta membantah telah melakukan pelecehan. |
| Filippo Valsorda | Menyebut tindakan Kobeissi hiperbolis dan tidak beriktikad baik; mengklarifikasi bahwa bug hanya berdampak jika sistem memproses 4 miliar enkripsi berturut-turut. |
| Cryspen | Menyatakan bahwa bug yang dilaporkan berada di perangkat lunak versi pra-rilis dan telah diselesaikan dalam waktu kurang dari satu minggu. |
