Tegenwoordig worden bijna alle gegevens op internet, inclusief banktransacties, medische dossiers en beveiligde gesprekken, beschermd door een versleutelingsschema genaamd RSA (genoemd naar de makers Rivest, Shamir en Adleman). Dit schema is gebaseerd op een simpel feit: het is praktisch onmogelijk om de belangrijkste factoren van een groot aantal in een redelijke tijd te berekenen, zelfs op de krachtigste supercomputer ter wereld. Helaas zouden grote kwantumcomputers, als en wanneer ze worden gebouwd, deze taak gemakkelijk vinden, wat de veiligheid van het hele internet zou ondermijnen.
Gelukkig zijn kwantumcomputers alleen beter dan klassieke computers in een bepaalde klasse van problemen, en zijn er veel versleutelingsschema’s waarbij kwantumcomputers geen voordeel bieden. Vandaag heeft het Amerikaanse National Institute of Standards and Technology (NIST) de standaardisatie aangekondigd van drie post-kwantumcryptografische versleutelingsschema’s. Met deze standaarden in de hand moedigt NIST computersysteembeheerders aan om zo snel mogelijk te beginnen met de transitie naar post-kwantumbeveiliging.
“Nu is het onze taak om het protocol in elk apparaat te vervangen, wat geen gemakkelijke taak is.” —Lily Chen, NIST
Deze standaarden zullen waarschijnlijk een groot deel uitmaken van de toekomst van het internet. De eerdere standaarden van NIST voor cryptografie, ontwikkeld in de jaren zeventig, worden op bijna alle apparaten gebruikt, inclusief internetrouters, telefoons en laptops, zegt Lily Chen, hoofd van de cryptografiegroep bij NIST, die het standaardisatieproces leidt. Maar adoptie zal niet van de ene op de andere dag gebeuren.
“Tegenwoordig wordt cryptografie met publieke sleutels overal op elk apparaat gebruikt”, zegt Chen. “Nu is het onze taak om het protocol in elk apparaat te vervangen, wat geen gemakkelijke taak is.”
Waarom we nu post-kwantumcryptografie nodig hebben
De meeste experts zijn van mening dat grootschalige kwantumcomputers pas over minstens tien jaar zullen worden gebouwd. Waarom maakt NIST zich hier nu zorgen over? Er zijn twee belangrijke redenen.
Ten eerste wordt verwacht dat veel apparaten die gebruik maken van RSA-beveiliging, zoals auto’s en sommige IoT-apparaten, naar verwachting nog minstens tien jaar in gebruik zullen blijven. Daarom moeten ze worden uitgerust met kwantumveilige cryptografie voordat ze in het veld worden vrijgegeven.
‘Het is voor ons geen optie om alleen maar af te wachten wat er gebeurt. Wij willen er klaar voor zijn en oplossingen zo snel mogelijk implementeren.” —Richard Marty, LGT Financiële Diensten
Ten tweede zou een snode persoon vandaag de dag versleutelde gegevens kunnen downloaden en opslaan, en deze kunnen ontsleutelen zodra er een kwantumcomputer online komt die groot genoeg is. Dit concept heet ‘nu oogsten, later decoderen’ en vormt door zijn aard nu een bedreiging voor gevoelige gegevens, zelfs als die gegevens alleen in de toekomst kunnen worden geschonden.
Beveiligingsexperts in verschillende sectoren beginnen de dreiging van kwantumcomputers te omarmenserieus, zegt Joost Renes, hoofdbeveiligingsarchitect en cryptograaf bij NXP Semiconductors. “In 2017 en 2018 vroegen mensen zich af: ‘Wat is een kwantumcomputer?'”, zegt Renes. “Nu vragen ze zich af: ‘Wanneer komen de PQC-standaarden uit en welke moeten we implementeren?’
Richard Marty, chief technology officer bij LGT Financial Services, is het daarmee eens. ‘Het is voor ons geen optie om alleen maar af te wachten wat er gebeurt. We willen er klaar voor zijn en oplossingen zo snel mogelijk implementeren, om te voorkomen dat we nu oogsten en later ontsleutelen.”
NIST’s competitie voor het beste kwantumveilige algoritme
NIST kondigde in 2016 een openbare competitie aan voor het beste PQC-algoritme. Ze ontvingen maar liefst 82 inzendingen van teams uit 25 verschillende landen. Sindsdien heeft NIST vier eliminatierondes doorlopen, waardoor de pool in 2022 uiteindelijk is teruggebracht tot vier algoritmen.
Dit langdurige proces was een inspanning van de hele gemeenschap, waarbij NIST input kreeg van de cryptografische onderzoeksgemeenschap, de industrie en belanghebbenden bij de overheid. “De industrie heeft zeer waardevolle feedback geleverd”, zegt Chen van NIST.
Deze vier winnende algoritmen hadden intens klinkende namen: CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ en FALCON. Helaas hebben de namen de standaardisatie niet overleefd: de algoritmen staan nu bekend als Federal Information Processing Standard (FIPS) 203 tot en met 206. FIPS 203, 204 en 205 vormen de focus van de NIST-aankondiging van vandaag. FIPS 206, het algoritme dat voorheen bekend stond als FALCON, zal naar verwachting eind 2024 worden gestandaardiseerd.
Algoritmen vallen in twee categorieën: algemene encryptie, die wordt gebruikt om informatie te beschermen die via een openbaar netwerk wordt verzonden, en digitale handtekening, die wordt gebruikt om individuen te authenticeren. Digitale handtekeningen zijn essentieel om malware-aanvallen te voorkomen, zegt Chen.
Elk cryptografisch protocol is gebaseerd op een wiskundig probleem dat moeilijk op te lossen is, maar gemakkelijk te verifiëren zodra je het juiste antwoord krijgt. Voor RSA splitst het grote getallen op in twee priemgetallen. Het is moeilijk om erachter te komen wat die twee priemgetallen zijn (voor een klassieke computer), maar als je er eenmaal één hebt, is het eenvoudig om te delen en de andere te krijgen.
‘We hebben meerdere voorbeelden [PQC]Maar voor een volledige transitie kan ik je geen getal geven, maar er is nog veel te doen.” —Richard Marty, LGT Financiële Diensten
Twee van de drie schema’s die al door NIST zijn gestandaardiseerd, FIPS 203 en FIPS 204 (evenals de komende FIPS 206), zijn gebaseerd op een ander moeilijk probleem, genaamd roostercryptografie. Netwerkcryptografie berust op het lastige probleem van het vinden van het kleinste gemene veelvoud van een reeks getallen. Meestal wordt dit geïmplementeerd in meerdere dimensies, of op een rooster, waarbij het kleinste gemene veelvoud een vector is.
Een derde gestandaardiseerd schema, FIPS 205, is gebaseerd op hash-functies, met andere woorden, het omzetten van een bericht in een gecodeerde reeks die moeilijk terug te draaien is
Normen omvatten computercode voor versleutelingsalgoritmen, instructies over hoe deze te implementeren en het beoogde gebruik. Er zijn drie beveiligingsniveaus voor elk protocol, die zijn ontworpen om de standaarden toekomstbestendig te maken voor het geval er zwakke punten of kwetsbaarheden in de algoritmen worden aangetroffen.
Lattice-cryptografie overleeft kwetsbaarheidsalarmen
Eerder dit jaar verontrustte een preprint voor arXiv de PQC-gemeenschap. Het artikel, geschreven door Yilei Chen van de Tsinghua Universiteit in Peking, beweerde aan te tonen dat op roosters gebaseerde cryptografie, de basis van twee van de drie NIST-protocollen, in feite niet immuun is voor kwantumaanvallen. Bij nader onderzoek blijkt dat het argument van Yilei Chen een tekortkoming vertoont: er wordt nog steeds aangenomen dat roostercryptografie veilig is voor kwantumaanvallen.
Aan de ene kant benadrukt dit incident een centraal probleem dat ten grondslag ligt aan alle cryptografische schema’s: er is geen bewijs dat de wiskundige problemen waarop de schema’s zijn gebaseerd feitelijk “moeilijk” zijn. Het enige bewijs, zelfs voor standaard RSA-algoritmen, is dat mensen al heel lang proberen de encryptie te kraken, maar dat is allemaal niet gelukt. Omdat post-kwantumcryptografiestandaarden, inclusief roostercryptografie, nieuwer zijn, is er minder zekerheid dat niemand een manier zal vinden om deze te doorbreken.
Het mislukken van deze laatste poging bouwt echter alleen maar voort op de geloofwaardigheid van het algoritme. De fout in het argument van de krant werd binnen een week ontdekt, wat aangeeft dat er een actieve gemeenschap van experts aan het probleem werkt. “Het resultaat van dat werk is niet geldig, wat betekent dat de stamboom van op roosters gebaseerde cryptografie nog steeds veilig is”, zegt Lily Chen van NIST (geen relatie met Yilei Chen van de Tsinghua Universiteit). “Mensen hebben heel hard gewerkt om dit algoritme te kraken. Veel mensen doen hun best, doen hun uiterste best en dat geeft ons echt vertrouwen.”
De aankondiging van NIST is opwindend, maar het werk om alle apparaten over te zetten naar de nieuwe standaarden is nog maar net begonnen. Het zal tijd en geld kosten om de wereld volledig te beschermen tegen de bedreigingen van toekomstige kwantumcomputers.
“We hebben achttien maanden aan de transitie besteed en hebben er ongeveer een half miljoen dollar aan uitgegeven”, zegt Marty van LGT Financial Services. ‘We hebben meerdere voorbeelden [PQC]Maar voor een volledige transitie kan ik je geen getal geven, maar er is nog veel te doen.”
Uit artikelen op uw website
Gerelateerde artikelen op internet