Post-kwantumcryptografie
Over een aantal jaren, wanneer precies is nog de vraag, komen er kwantumcomputers die allerlei encryptietechnieken met twee vingers in de neus kunnen kraken. Onderzoekers zoeken met spoed naar toekomstbestendige versleutelingstechnieken.
Wetenschappers voorzien met behulp van kwantumcomputers grote sprongen in de ontwikkelingen op medisch gebied, bij artificiële intelligentie en bij het ontwikkelen van nieuwe materialen. Cryptografen zijn er wat minder blij mee, want de kwantumpower kan ervoor zorgen dat de populaire public-key-technieken voor versleuteling, het uitwisselen van sleutels en het digitaal ondertekenen gekraakt worden. Versleutelde e-mails en internetverbindingen zijn dan niet meer vertrouwd en software en andere digitaal ondertekende dingen zijn dan niet meer beschermd tegen manipulatie. Een automatische update wordt dan ineens een makkelijke sluiproute voor malware.
Dr. Ruben Niederhagen van The Fraunhofer Institute for Secure Information Technology is al jaren bezig met onderzoek naar de ontwikkeling van een cryptografisch systeem dat bestand is tegen kwantumcomputers. “Het lijkt erop alsof vrijwel niemand weet dat kwantumcomputers een gevaar voor IT-security zijn”, aldus Niederhagen. Vooral de huidige asymmetrische versleutelingstechnieken, de public-key-technieken, worden volgens Niederhagen door de ontwikkeling van kwantumcomputer in één klap onveilig.
Deze ‘post-kwantumcryptografie’ wordt ook door de politiek en de industrie steeds meer als belangrijk strategisch fundamenteel onderzoek gezien. Het is namelijk onduidelijk hoeveel tijd er nog is totdat kwantumcomputers inzetbaar zijn. Misschien hebben we maar tot 2026 ... Michele Mosca, kwantuminformaticus en medeoprichter van het Institute for Quantum Computing aan de universiteit van Waterloo, schat de kans op 1:7 dat er tegen die tijd al een kwantumcomputer ontwikkeld zal zijn die de huidige cryptografische technieken kan kraken. Tot het jaar 2031 loopt die kans volgens hem al op tot 1:2.
Kwantumcomputers zijn niet echt sneller dan huidige computers. Alleen bij bepaalde algoritmes heeft het nut om een kwantumcomputer in te zetten. Dat komt door de effecten van superpositie en verstrengeling. Een bit op een normale pc kent alleen de toestanden 0 en 1, maar een qubit van een kwantumcomputer kan oneindig veel mogelijke toestanden tussen 0 en 1 hebben – de zogeheten superpositie. Pas bij een meting wordt de superpositie beëindigd en zal een qubit met een bepaalde waarschijnlijkheid de waarde 0 of 1 aannemen.
Behalve superpositie kunnen meerdere qubits ook aan elkaar worden geknoopt. Ze bevinden zich dan in een verstrengelde toestand. De toestand van de verstrengelde qubits ligt nu niet meer apart voor elke qubit vast. De verstrengelde qubits zitten dan in een gezamenlijke superpositie. Elke meting van een qubit heeft dan invloed op de toestanden van alle qubits die met hem verstrengeld zijn.
WAT EEN TOESTAND
Die twee effecten laten een kwantumcomputer een zeer groot spectrum aan toestanden afdekken. Normale computers met drie bits hebben een van acht mogelijke toestanden (000, 001, 010, 011, 100, 101, 110, 111), maar drie verstrengelde qubits nemen bij een superpositie alle acht die toestanden tegelijk aan – pas bij een meting nemen ze een bepaalde toestand aan. Na meerdere runs en metingen kristalliseren alle zinvolle resultaten zich uit. Daardoor hebben kwantumcomputers een tijdvoordeel ten opzichte van digitale computers, in ieder geval bij een sommige problemen als het factoriseren van grote getallen en bij zoekalgoritmes. Een kwantumcomputer zal alle mogelijke inputcombinaties tegelijk doorrekenen en die niet zoals een klassieke pc één voor één nalopen.
De tijdwinst van een kwantumcomputer is op dit moment nog slechts hypothetisch als je kijkt naar het aantal op dit moment bruikbare qubitsystemen. Google heeft dit jaar een 72-qubit-chip voorgesteld die is gebaseerd op geïntegreerde circuits. IBM realiseerde een 50-qubit-systeem. Dat zijn gevoelige systemen die een extreme kou van slechts enkele graden boven het absolute nulpunt vereisen. Op basis van de foutrate die deze fysieke qubits op dit moment nog hebben, zijn er voor veeleisende algoritmes echter honderden en waarschijnlijk zelfs duizenden fysieke qubits nodig om slechts een enkele logische qubit eenduidig te kunnen emuleren.
Daar komt nog bij dat de superioriteit van kwantumtechniek op dit moment wel een heftig punt van discussie is, maar dat het voordeel ervan nog geen enkele keer ook echt bewezen is. “We hebben een roadmap en weten dat het in theorie mogelijk is om op basis van de huidige technologie een krachtige kwantumcomputer te bouwen”, aldus dr. Oliver Oberst, kwantumcomputing-expert bij IBM.
SNELLER ZOEKEN
Een van de meest boeiende kwantumalgoritmes is Grovers algoritme. Dat algoritme kan het zoeken in grote ongesorteerde databases een flink stuk sneller maken. Op een normale pc heb je bij een n-grote ongesorteerde database n rekenstappen nodig, maar een kwantum-pc heeft daar duidelijk minder stappen voor nodig, namelijk de wortel van n. Dat komt doordat hier alle toestanden, en dus ook alle databaserecords, tegelijk worden bewerkt. Hoe groter de database, des te meer tijdwinst je krijgt door een kwantumcomputer in te zetten.
Stel je wilt een niet alfabetisch gesorteerd telefoonboek met een miljoen records doorzoeken. Een normale pc heeft daar in het minst gunstige geval een miljoen rekenstappen voor nodig. Een kwantumcomputer hoeft maar 1000 stappen te zetten. Dat betekent ook dat zogenaamde brute-force-aanvallen ook een flinke boost krijgen. Bij dat soort aanvallen gaat het erom om alle mogelijkheden voor bijvoorbeeld een wachtwoord uit te proberen om het juiste wachtwoord te achterhalen. Op die manier kraak je de beveiliging, wat je min of meer kunt vergelijken met het zoeken in een ongesorteerde database.
Grovers algoritme biedt echter ‘slechts’ een wortelversnelling. Een symmetrische versleutelingstechniek als AES kan dan met een verdubbeling van de sleutellengte al buiten schot blijven. Daardoor wordt het werk dat verzet moet worden ineens een viervoud meer en is het effect van de versnelling weg. “De op dit moment gangbare AES-128 moet AES-256 gaan worden om de veiligheidsstandaard van de techniek te waarborgen”, geeft Niederhagen aan. Op die manier worden de consequenties van Grovers algoritme op een eenvoudige manier teniet gedaan.
PUBLIC-KEY-TECHNIEKEN ONDERUIT
Een ander kwantumalgoritme is echter een serieuzer probleem. Dat is ontwikkeld door de wiskundige
Peter Shor. Het algoritme kan bepaalde problemen die een normale pc vrijwel niet kan afhandelen toch efficiënt oplossen. Voor asymmetrische encryptie gebruik je zogenaamde trapdoor-functies. Dat zijn functies die in één richting eenvoudig berekend kunnen worden, maar de andere kant op kan dat alleen efficiënt worden gedaan als de geheime sleutel bekend is. Is die sleutel niet bekend? Dan zijn ze zo goed als niet op te lossen. Het bekendste voorbeeld van zo’n functie is het factoriseren van hele getallen. Je kunt twee priemgetallen heel makkelijk met elkaar vermenigvuldigen, maar de omgekeerde variant (het herleiden van de priemgetallen) is bij zeer grote getallen vrijwel niet te doen. Dat wordt als basis gebruikt voor RSA, een populaire techniek voor public-key-encryptie. Het algoritme van Shor kan die factorisatie efficiënt oplossen.
De grote vraag is wanneer dat gaat gebeuren. Een studie van het Duitse Federal Office of Information Security verwacht dat 2048-bit-RSA met een miljoen fysieke qubits en een foutrate van 1/10.000 in 100 dagen gekraakt kan worden. “De huidige foutrates liggen echter om en nabij één procent” legt professor Frank Wilhelm-Mauch uit. Hij werkt bij de universiteit van Saarland en coördineert het Europese supercomputerproject. Dat project moet binnen drie jaar een kwantumcomputer met 100 fysieke qubits ontwikkelen [1].
Het algoritme van Shor bovendien is een diep algoritme. Om die tot het einde door te berekenen is de coherentietijd (de tijd die het duurt voordat superposities vervallen) van huidige qubitsystemen niet voldoende. De systemen hebben een werkende foutcorrectie nodig en die is er nog niet. Wilhem-Mauch geeft aan dat we op dit moment in een fase zitten waar allerlei nieuwe records bij qubitgetallen worden gehaald. Als het zo doorgaat, komt de ontwikkeling van een foutcorrectiesysteem ook in zicht. Bij een tweede Manhattan-project, in dit geval niet voor het maken van een atoombom maar het verwezenlijken van een kwantumcomputer, kan de ontwikkeltijd waarschijnlijk aanzienlijk verkort worden.
ONVEILIG SLEUTELS UITWISSELEN
Behalve het factorisatieprobleem kraakt het algoritme van Shor ook het berekenen van discrete logaritmes. Dat wiskundige probleem is de basis voor meer technieken, zoals het Diffie-Hellman-sleuteluitwisselingsprotocol. Die sleuteluitwisseling is de oudste asymmetrische encryptietechniek en speelt ook vandaag de dag nog een praktische rol bij het uitwisselen van sleutels op internet.
IPsec (Internet Protocol Security), dat tegelijk met het IPv6-protocol ontstond, gebruikt het DiffieHellman-protocol. En ook TLS (voorheen SSL) gebruikt een zogenaamd hybride encryptieprotocol dat voor uitwisselen van het sleutels de Diffie-Hellmantechniek gebruikt. Na een succesvolle uitwisseling wordt de verdere communicatie geregeld via symmetrische technieken zoals AES. Vandaar ‘hybride’.
SMARTCARDS NIET MEER VEILIG
Elliptic Curve Cryptography (ECC) biedt het voordeel van kortere sleutellengtes in vergelijking met RSA en Diffie-Hellman. Het wordt vooral bij smartcards en andere mobiele toepassingen ingezet aangezien daar minder opslagruimte en rekenkracht beschikbaar is. Aangezien de cryptografie met behulp van elliptische krommen ook aan het probleem met discrete logaritmes raakt (net als de overige genoemde asymmetrische encryptietechnieken), wordt de toekomst onzeker door de ontwikkeling van kwantumcomputers.
Anders dan bij symmetrische technieken heeft het verdubbelen van de sleutellengte weinig nut aangezien de technieken weinig in te brengen hebben tegen het algoritme van Shor. Bij het verhogen van de sleutellengte neemt het aantal vereiste qubits in de kwantumcomputer van een aanvaller slechts lineair toe. En is er dus maar een beetje extra tijd nodig. Veilige RSA-sleutels komen dan uit op meerdere GB’s, en dat is niet te doen. De technieken moeten worden vervangen door nieuwe en veiligere technieken.
Experts waarschuwen dat als dit niet op tijd gebeurt, de totale encryptie-infrastructuur als een kaartenhuis in elkaar zal storten. Asymmetrische encryptie is namelijk de basis voor digitale communicatie. Het is niet een kwestie van simpelweg omwisselen met een symmetrische techniek. Bij symmetrische encryptie is de sleutel van de verzender en ontvanger identiek en zonder een veilig kanaal moeten ze handmatig uitgewisseld worden. Met het aantal verzenders en ontvangers bij de huidige en toekomstige digitale communicatie is dat nauwelijks te doen. Niet alleen het internet, maar ook digitaal aangestuurde industriële processen, autonoom rijdende auto’s en banktransacties zijn afhankelijk van een veilige asymmetrische public-key-encryptie.
Dat is niet iets waar we ons pas over tien jaar druk over hoeven te maken, het is op dit moment al een probleem. “Data die bijvoorbeeld door geheime diensten worden verzameld, kunnen later met behulp van kwantumcomputers in korte tijd worden gekraakt” waarschuwt Niederhagen. Zelfs Forward Secrecy, wat gebruik maakt van sleuteluitwisselingstechnieken als Diffie-Hellman, wordt dan door kwantumcomputers gekraakt. Alle informatie die nog een paar jaar vertrouwelijk moet blijven, moet je als het even kan nu dus al met post-kwantumencryptie afschermen. Denk daarbij aan medische data en overheids- en bedrijfsgeheimen Ook digitaal aangestuurde systemen
die langere tijd mee moeten, zoals zelfrijdende auto’s, industriële systemen en kritische infrastructuren, krijgen daar mee te maken, zo waarschuwen experts.
VEILIGE KWANTUMSLEUTELS
Fysici hopen de problemen die door kwantumcomputers ontstaan ook via kwantummechanica weer te kunnen oplossen. Voor de zogeheten Quantum Key Distribution (QKD) en kwantumencryptie zijn er in principe twee mogelijkheden. Bij de eerste worden de sleutels door afzonderlijke gekwantiseerde fotonen overgedragen. Elke meting tijdens het overdragen, oftewel het afluisteren door een aanvaller, verandert de kwantumtoestand van de fotonen. Na het versturen kunnen de verzender en ontvanger via een klassiek, onbeveiligd kanaal communiceren en vaststellen of een toestand veranderd werd. Volgens het no-cloning-theorema (kwantumtoestanden kunnen niet gekopieerd worden zonder dat er een verandering optreedt) kan een aanvaller ook niet sneaky een kopie maken en die dan uitlezen.
De tweede mogelijkheid gebruikt ook nog de genoemde verstrengeling van qubits om informatie over te dragen. Ook daar is het versturen niet ongemerkt af te luisteren omdat de meting van een enkele qubit een verandering in de toestand van de verstrengelde andere qubits oplevert. De kwantumsleuteluitwisseling, die het probleem van het uitwisselen van sleutels kan oplossen, is daarom fysiek niet af te luisteren.
Maar helaas is de kwantumcommunicatie nog niet heel ver ontwikkeld. Het kan public-key-technieken op dit moment nog niet vervangen, maar alleen aanvullen. Niederhagen geeft aan dat kwantumsleuteluitwisseling relevant kan zijn voor toepassingen die een zeer hoog veiligheidsniveau vereisen. Voor de brede inzet van Quantum Key Distribution voor internet is een compleet nieuwe infrastructuur nodig.
Behalve het probleem met het uitwisselen van sleutels, komt er in de toekomst (met flinke kwantumcomputers) ook veel vraag naar kwantumveilige technieken om digitaal te ondertekenen. Zonder een controle op eigenaarschap zijn veel processen niet te realiseren. Denk aan een veilige update van je software tot online toegang tot kadastrale gegevens.
POST-KWANTUMCRYPTOGRAFIE
Gelukkig zijn er al wat voorzetjes gedaan voor cryptografische technieken die ook als er kwantumcomputers gebruikt worden veilig blijven. Het probleem is dat nieuwe encryptie-algoritmes in het verleden een lange tijd nodig hadden om door te breken. Op dit moment sleutelen cryptografen aan vijf groepen technieken die worden gezien als veelbelovende post-kwantumalternatieven. Die hebben allemaal zo hun voor- en nadelen en zijn in meer of mindere mate geschikt voor het toepassen van asymmetrische encryptie.
Een van de oudste van de vijf groepen die in aanmerking komen voor post-kwantumcryptografie, gebruikt op code gebaseerde technieken. Al in 1978 werd met het McEliece-cryptosysteem een encryptietechniek voorgesteld die op coding-theory gebaseerd was. De code zorgt ervoor dat fouten bij het oversturen of opslaan van gegevens worden herkend en gecorrigeerd. Bij encryptietoepassingen wordt het te versleutelen bericht daarentegen in een codewoord omgezet waar bewust fouten inzitten. Als je de geheime sleutel weet, kunnen de fouten er door de ontvanger weer uitgehaald worden. Zonder die kennis wordt het decrypten zo lastig dat je meerdere miljarden jaren nodig hebt om de oorspronkelijke tekst te kunnen herstellen. Zelfs voor kwantumcomputers is er nog geen efficiënt algoritme bekend.
Door zijn hoge leeftijd wordt het systeem als veilig gezien omdat het ondanks jarenlang onderzoek niet gekraakt kon worden. Maar toch er is een reden dat je het in de praktijk nog niet veel tegenkomt. De sleutellengtes die je nodig hebt, zijn in de meeste gevallen veel te lang. Een sleutel van de McEliecetechniek is meer dan 1000 keer zo lang als een gangbare RSA-sleutel. Maar er wordt wel gewerkt aan kortere sleutellengtes.
MORE POWER
Een tweede techniek die al langer wordt gebruikt, en daardoor goed is doorgelicht, is het gebruik van hashfuncties voor handtekeningen – oftewel digitale handtekeningen. Hashfuncties zijn éénrichtingsfuncties die voor een flinke hoeveelheid data (bestand of tekst) een kortere hashwaarde maken. Die moet als het even kan collision-resistant zijn. Dit aoudt in dat het vrijwel onmogelijk is om een andere invoer te vinden die een identieke hashwaarde oplevert.
Aangezien hashfuncties in tegenstelling tot andere cryptografische functies geen trapdoor-functie bevatten en dus niet omkeerbaar zijn, worden ze al
langere tijd gebruikt voor het aanmaken van checksums en ‘digitale vingerafdrukken’ van documenten. De voordelen van op hashes gebaseerde handtekeningen zijn de betrouwbaarheid en de eenvoudige implementatie. Maar voor het opstellen van de handtekeningen is wel relatief veel rekenkracht vereist.
Een belangrijke eigenschap van handtekeningen op basis van hashes is dat elke sleutel in principe slechts één keer gebruikt kan worden. Bij elk gebruik wordt een deel van de private-key blootgegeven, zodat de ontvanger hashwaarden kan maken om de handtekening te kunnen controleren. Een losse handtekening van een document laat precies genoeg van een private-key ‘zien’ om de geldigheid van het document te kunnen controleren. Als je dezelfde sleutel meerdere keren gaat gebruiken voor documenten, kan een aanvaller bij elk gebruik een stukje meer over de private-key achterhalen en zo uiteindelijk handtekeningen gaan vervalsen.
Om meerdere handtekeningen met een enkele sleutel te maken, worden boomstructuren (Merkle Tree) gebruikt. Elk bladknooppunt stelt een eigen handtekeningsleutel voor. Het aantal keren gebruik is daardoor beperkt en moet van tevoren bepaald worden. En de grootte van de boom en de handtekening met het aantal keren dat ze gebruikt kunnen worden neemt toe, wat in de praktijk lastig te managen wordt.
Een ander probleem is dat de meeste op hashes gebaseerde handtekeningtechnieken ‘stateful’ zijn, oftewel je moet zeker weten dat een gebruikt knooppunt nooit nog een keer gebruikt kan worden. Het terugzetten van een back-up op het systeem van iemand die ondertekent mag dus niet slagen, omdat je dan al gebruikte en inmiddels onveilige sleutels opnieuw kunt gebruiken.
XMSS (Extended Merkle Signature Scheme) is een voorbeeld van zo’n stateful op hashes gebaseerde handtekeningtechniek. Die techniek is als open internetstandaard vastgelegd in RFC 8391. De Merkle-handtekening die Ralph Merkle in de jaren zeventig ontwikkelde, geldt als kwantumveilig.
Er zijn ook technieken als SPHINCS. Die is stateless en dus niet afhankelijk van het veilig houden van de systeemstatus. Het nadeel van die techniek is een duidelijk grotere handtekening dan bij de huidige niet kwantumveilige technieken.
GOOGLE GAAT VOOR LATTICE
De derde techniek gebruikt multidimensionale rasters (lattice-methode). De wiskundige problemen waarop die techniek gebaseerd is, zijn zogenaamde rasterproblemen, bijvoorbeeld het ‘shortest vector problem’ (SVP) oftewel het opduikelen van de kortste niet-nul-vector in een multidimensionaal raster.
De lattice-methode heeft meerdere voordelen. De sleutels zijn kort en er zijn veel wiskundige bewijzen die de complexiteit van de problemen die de basis vormen van de techniek aantonen. En dan is er nog de brede inzetbaarheid bij public-key-encryptie, digitale handtekeningen en sleuteluitwisseling. De latticemethode is erg populair binnen de onderzoekswereld volgens Niederhagen, maar je moet niet vergeten dat de veiligheid nog wordt onderzocht. “De exacte parameters zoals de grootte van de dimensie voor een veilige lattice-techniek zijn nog niet duidelijk”, waarschuwt de expert.
Desondanks gaat Google bij zijn experimenten met post-kwantumencryptie juist voor die techniek. Het New-Hope-algoritme, dat Google als test binnen Chrome als sleuteluitwisselingstechniek heeft gebruikt, is gebaseerd op een lattice-encryptie. Die is echter gecombineerd met een beproefde sleuteluitwisselingstechniek op basis van elliptische krommen. Als de lattice-techniek in de toekomst niet veilig blijkt te zijn, kan op die manier de veiligheid van het sleutels uitwisselen voor dit moment toch nog gegarandeerd worden.
ELEGANTE ROUTE
Experts onderzoeken nog twee groepen technieken of die geschikt zijn als post-kwantumencryptie. Die technieken zullen in de nabije toekomst waarschijnlijk geen grote rol gaan spelen. Volgens Niederhagen zijn encryptie en handtekeningen op basis van multivariate polynomen academisch gezien interessant, maar niet geschikt om breed in te zetten. Ze vereisen flinke sleutels en kosten daardoor veel rekenkracht. In het verleden werden veel voorstellen dan ook snel ingetrokken.
Een zeer nieuwe techniek borduurt voort op algoritmes op basis van isogenen tussen supersingulaire elliptische krommen. Die algoritmes zijn niet op basis van punten van elliptische krommen, zoals bij ECC-operaties, maar op operaties tussen verschillende elliptische krommen.
Mocht die techniek veilig worden geacht, dan kan het in de toekomst een efficiënt alternatief zijn voor de Diffie-Hellman-sleuteluitwisseling omdat het daar aardig bij in de buurt komt. Bij de meeste andere post-kwantumtechnieken worden technieken voor het uitwisselen van sleutels opgebouwd uit technieken voor encryptie. Daarbij moet de verzender voor elke sleuteluitwisseling een nieuw sleutelpaar opmaken uit een private- en een public-key en de publickey naar de ontvanger sturen. De ontvanger kan dan een gemeenschappelijke private-key maken en dan versleuteld terugsturen.
Supersingulaire isogenen werken een stuk eleganter. De verzender kiest een private-secret en voert daar een berekening mee uit. Tegelijkertijd doet de ontvanger hetzelfde met een eigen gekozen secret. De resultaten worden vervolgens via een openbaar
kanaal uitgewisseld. Vervolgens gebruikt ieder zijn eigen secret voor eenzelfde berekening als voorheen, maar nu op het door het van de andere persoon ontvangen resultaat. “Het mooie daaraan is dat beide kanten net als bij de Diffie-Hellman-sleuteluitwisseling op hetzelfde eindresultaat uitkomen, zonder dat je ooit de secret van de andere kant meekrijgt”, legt Niederhagen uit.
Het eindresultaat kan dan als veilige sleutel gebruikt worden. Beide kanten hoeven zich niet bezig te houden met het vele werk dat bij het maken van een sleutelpaar komt kijken en er wordt veel tijd bespaard doordat er meteen met rekenen kan worden begonnen. Maar die techniek wordt nog kritisch doorgelicht op veiligheidsissues. Ook de benodigde parameters zijn nog onduidelijk.
GENOEG OM UIT TE KIEZEN
Wereldwijd gezien wordt er flink onderzoek gedaan naar post-kwantumalgoritmes. Maar het gaat nog wel een aantal jaren duren voordat er naast de XMSSstandaard breed inzetbare, gestandaardiseerde algoritmes beschikbaar worden. In 2016 deed het NIST (National Institute of Standards and Technology) al een oproep om voorstellen voor post-kwantumencryptie in te sturen. In december 2017 werden 69 voorstellen ingediend die de eerste selectieronde overleefden. NIST gaat er vanuit dat de selectieprocedure in drie rondes afgerond kan worden. Ronde drie zal naar verwachting in 2020 beginnen, en tussen 2022 en 2024 moeten uit die selectieprocedure de eerste standaarden naar buiten kunnen komen.
Voordat het zover is, zijn er nog een aantal praktische problemen te tackelen. NIST kondigde aan dat in de eerste ronde de ‘performance’ van de voorstellen nog geen grote rol speelde. Maar dat is wel een groot probleem waar bij post-kwantumencryptie rekening mee gehouden moet worden. Een ander probleem is dat de nieuwe standaarden veilig moeten zijn tegen aanvallen op zowel normale computers als kwantumcomputers. Het probleem is volgens Niederhagen ook dat er op elk moment nieuwe kwantumalgoritmes ontdekt kunnen worden, waar de favoriete PQCtechnieken niet tegen bestand blijken te zijn. Ook de performance van toekomstige kwantumcomputers is totaal onbekend. Dat maakt het beoordelen van mogelijke aanvalstechnieken en de selectie van veiligheidsparameters zeer lastig.
EN TOT DIE TIJD?
De NIST-standaarden zullen zoals het er naar uitziet beschikbaar zijn voordat kwantumcomputers de encryptietechnieken kunnen kraken. Dat is het goede nieuws. Er is namelijk altijd nog het probleem van de geheimen en producten die langere tijd beschermd moeten blijven. Als je er dan vanuit gaat dat de NISTstandaarden in 2024 worden uitgebracht en dat de eerste kwantumcomputers in het jaar 2030 verschijnen, dan is het voor zelfrijdende auto’s nogal krap qua tijd. Een gemiddelde auto gaat op dit moment immers nog wel wat jaartjes mee. Het is dan ook zaak dat we zeker weten dat de systemen die veiligheidskritiek zijn indien nodig via software-updates beschermd kunnen worden met post-kwantumencryptie. De optie om de veiligheidsinfrastructuur flexibel aan nieuwe situaties aan te passen moet veel serieuzer worden genomen – veel serieuzer dan op dit moment het geval is. We hebben geen idee hoe het er in de toekomst uit gaat zien, dus de opbouw van een veiligheidsinfrastructuur wordt extreem belangrijk.
Dr Manfred Lochter raadt aan om op hash gebaseerde ondertekening bijvoorbeeld te gebruiken om firmware-updates te kunnen authenticeren. Lochter is expert binnen de BSI in Duitsland op het gebied van encryptie-voorstellen en ontwikkeling. In een richtlijn voor updates bij satellieten is er bijvoorbeeld al een bijbehorende aanbeveling van de BSI, vooral als je bedenkt dat die satellieten gemiddeld zo’n 15 jaar meegaan.
De tweede oplossing ligt bij de verschillende hybride technieken. Het beste voorbeeld is het eerder genoemde New-Hope-algoritme van Google. Door het combineren van een nog niet zeker helemaal veilig verklaarde post-kwantumtechniek met een beproefd standaard algoritme kunnen gevoelige data met een relatief hoge zekerheid beveiligd worden tegen normale en kwantumcomputers.
Lochter geeft aan dat in het algemeen geldt dat door dit soort verschillende technieken te combineren de veiligheid toeneemt met de kracht van de sterkste methode. De prijs die je daarvoor betaalt is meer werk voor de key-agreement. Maar post-kwantumalgoritmes kunnen zo ook nog voor het standaardiseren door NIST of andere instituten zonder veel risico worden ingezet. In het ergste geval is het postkwantumalgoritme onveilig en moet je dat verwisselen met een nieuwe. De beveiliging tegen normale aanvallen blijft echter behouden.