Het is als een wedloop tegen een onzichtbare tegenstander. Je weet dat hij je in kan halen. Maar je weet niet wannéér. Hoe kun je dan toch winnen?
Host Lex Borger spreekt dit keer met Pasqualle Verwoerdt en Tim Weenink. Ze werken bij Compumatica, een Nederlands bedrijf dat gespecialiseerd is in cryptografie op het hoogste niveau, gecertificeerd voor restricted gebruik door onder meer EU en NAVO. Samen kijken ze naar het gevaar van de quantumcomputer voor cybersecurity.
“Als er een quantumcomputer komt die het RSA-algoritme kan breken, hebben we met z’n allen een heel groot probleem”, zegt Pasqualle. “De kans is nu nog klein, maar de impact zou gigantisch zijn. Want het overgrote deel van alles wat voor encryptie wordt gebruikt in de IT is gebaseerd op RSA.”
“Dus je kunt het risico niet negeren”, concludeert hij. “En de dreiging zit nog breder: ook elliptic curve wordt bedreigd. Feitelijk wordt alle cryptografie die asymmetrisch is, gezien als niet postquantum-cryptoproof. Dit besef begint langzamerhand door te dringen tot de CIO’s en CISO’s van Nederland.”
Shor en Grover
“Hoe komt het dat cryptografie zo gevoelig is voor de quantumcomputer?” vraagt Lex. Tim legt uit: “Het gevaar is al bekend sinds de jaren ’90. In die tijd bedacht Peter Shor een quantum-algoritme dat op een efficiënte manier problemen kan oplossen die voor klassieke computers erg moeilijk zijn. Bijvoorbeeld getallen factoriseren in priemgetallen, of discrete logaritmen op een efficiënte manier berekenen.”
Lex: “En dat is waar de grote asymmetrische encryptie-algoritmes als RSA op leunen?”
Tim: “Precies. Dat zijn rekenproblemen waar de klassieke computers jaren of eeuwen over zouden doen. Maar ze zouden straks met de quantumcomputer ineens heel eenvoudig opgelost kunnen worden.”
“Bij symmetrische versleuteling zit het probleem in Grover’s Algorithm, dat op een efficiënte manier brute force-aanvallen kan uitvoeren. Daardoor kun je een sleutel van 128 bits straks net zo snel raden als nu eentje van 64.”
Lex concludeert: “Dus je kunt logaritmisch sneller inbreken. Terwijl we er nu nog van uitgaan dat het toevoegen van 1 bit de sleutel twee keer zo sterk maakt.” Tim: “Klopt. Daarom wordt de sleutel bij symmetrische encryptie tegenwoordig vaak verdubbeld, gewoon voor de zekerheid, van 128 naar 256 bits.”
Lex: “Dus symmetrische encryptie heeft de meeste weerstand tegen de voortgang van quantumcomputing? Tim: “Ja, dat is wel het beeld dat overal heerst: het lijkt tegen alles bestand.”
China
“Hoe sterk moet mijn quantumcomputer dan zijn om de hedendaagse crypto echt te kunnen bedreigen?” vraagt Lex. Een goede vraag, vindt Pasqualle. “De grote uitdaging is om genoeg quantumbits tegelijk stabiel aan het werk te houden. Voor decryptie denken sommigen aan honderdduizenden qubits, maar het zal waarschijnlijk richting de miljoen gaan.”
Daar wordt hard naartoe gewerkt. “Europa steekt enorm veel geld in de ontwikkeling van de quantumcomputer, maar Amerika nog meer. IBM zit nu tegen de vierduizend qubits of zo. Ik heb echter gelezen dat China vanuit de overheid een tienvoud van Amerika investeert in quantumcomputing.”
“Hoe ver de Chinezen zijn? We weten het niet. Wat we wel weten, is dat zo’n ontwikkeling altijd exponentieel verloopt. Het kan opeens heel hard gaan. Misschien kunnen ze RSA-2048 binnen twee of drie jaar al breken.”
Kwetsbare data
Zijn we tot die tijd dus veilig, wil Lex weten? Dat valt tegen, volgens Pasqualle. “Allerlei ‘langlevende’ data wordt nu al op grote schaal onderschept en opgeslagen, onder meer door China. Daarbij kun je denken aan persoonsgegevens, intellectueel eigendom, staatsgeheimen en noem maar op.”
“Het motto is ‘store now, decrypt later’. Als ze straks geschikte quantumhardware hebben, kunnen ze het rustig gaan bekijken.”
Postquantum-crypto
“Maar de industrie staat natuurlijk niet stil”, brengt Lex er tegenin, “want er worden ‘postquantum-cryptoalgoritmen’ ontwikkeld, die ook met quantumcomputers niet te kraken zijn. Is NIST daar niet mee bezig: de Amerikaanse organisatie voor technologische standaarden? Net als destijds bij de ontwikkeling van AES?”
Pasqualle: “Ja, bij NIST loopt nu al een tijdje een competitie. Die heeft inmiddels vier finalisten opgeleverd. Maar er gaat nog wel een jaar, misschien twee, overheen voor ze de definitieve winnaars hebben, die ook daadwerkelijk gebruikt kunnen worden. Vervolgens heb je een aantal jaren waarin de verschillende vendoren aan de slag moeten om die algoritmes zonder kinderziektes in hun producten te krijgen.”
“En dan moeten bedrijven ze nog in gaan voeren! Een uitmigratie van SHA-1 duurt bij een bank ongeveer twaalf jaar. Bij gewone bedrijven zal dat misschien tussen de vijf en de tien jaar zijn.”
“Dus als je alles optelt – de competitie, de productaanpassing en je eigen migratie – ga je ver over 2030 heen.”
AIVD
Het is geen vrolijk vooruitzicht. Maar er is een oplossing, zo legt Pasqualle uit. “De AIVD heeft net een publicatie uitgebracht over de migratie naar post-quantumcryptografie (PQC). Voor de korte termijn wordt krachtig aangeraden om bij je belangrijkste langlevende data en kritieke verbindingen de asymmetrische encryptie te versterken met een laag symmetrische encryptie.”
“Die hybride methode vinden ze echt heel veilig. En het is een oplossing die Compumatica al tientallen jaren kan leveren. En die we, als het nodig is, morgen al kunnen implementeren.”
Lex aarzelt: “Er is natuurlijk een reden waarom asymmetrische encryptie zo populair geworden is. Bij de symmetrische aanpak moet je met ieder van je connecties een gezamenlijke sleutel afspreken. Als je dat echt veilig wilt doen, moet dat allemaal individueel en gecheckt. Dat is ondoenlijk.”
Pasqualle: “Klopt helemaal. Onze oplossing focust daarom op symmetrische encryptie binnen en rondom bedrijfsnetwerken. Dus overal waar je netwerkverbindingen hebt liggen, binnen je organisatie en naar vaste locaties daarbuiten, zoals datacenters en partners. Dus encryptie van data in transit. Transparant binnen een netwerk, zonder impact op de prestaties.”
Hij vervolgt: “Tegelijkertijd heb je asymmetrische encryptie nog steeds nodig. Die gebruiken we dagelijks voor zoveel dingen … Denk bijvoorbeeld aan authenticatie, of PKI. Ik denk dat we daar nooit aan gaan ontkomen.”
Impact-analyse
Er moeten dus keuzes worden gemaakt, zo zegt Pasqualle. “Als CISO begin je vaak met dataclassificatie en business-impactanalyse: welke data heb ik en hoe belangrijk is die? Maar vervolgens moet je ook kijken waar die staat en waar zij heen beweegt. En last but not least: welke algoritmes gebruik je eigenlijk voor de encryptie?”
“Op het moment dat je dat allemaal op een rijtje hebt, zie je wat het meest kritiek is. Dan gaat het om de combinatie van het algoritme met het risico van de data en de verbinding.”
Stuk voor stuk gekraakt
Hoe gaat dit verhaal verder? Met grote onzekerheden, zegt Pasqualle. “Diverse kandidaten in de NIST-competitie vielen af omdat ze werden gebroken – soms al binnen een halve dag. Terwijl experts er toch grote verwachtingen van hadden. Wat gaan we doen als de nu resterende algoritmes één voor één omvallen?”
Lex: “Dat is een heel lastige. Wat we in ieder geval weten uit de historie, is dat er twintig jaar geleden héél veel cryptoalgoritmes waren. Stuk voor stuk werden ze gekraakt. Vaak kwamen er dan verbeterde versies. We hebben daarvan een hoop geleerd. Het effect is dat je een soort ‘best of breed’ krijgt.”
Pasqualle: “Dat heeft NIST georganiseerd met die competitie: daar zijn een aantal zwakkere broeders afgevallen. Maar welke garantie hebben we dat de finalisten niet ooit zullen omvallen door een nieuwe techniek of zo?”
Daar kan Lex zich wel wat bij voorstellen. “Denk aan MD5 en SHA-1: die werden als bijzonder sterk gezien. Maar toen verscheen er een slimme Chinese onderzoekster die op een nieuwe manier naar de algoritmes keek. Opeens bleken ze heel kwetsbaar.”
Crypto-agile
Wat te doen? Compumatica volgt de ontwikkelingen uiteraard op de voet, verklaart Pasqualle. “We onderzoeken dit soort algoritmes, zodat we snel kunnen schakelen als het zover is. En op termijn wil je natuurlijk ook crypto-agile zijn, dus de mogelijkheid hebben om je crypto aan te passen aan voortschrijdend inzicht.”
Conclusie
Voorlopig echter lijken we slechts één zekerheid te hebben: symmetrische encryptie met een lange sleutel is niet te kraken. Maar niet alle symmetrische oplossingen zijn echt symmetrisch: vaak gaat het delen van de sleutels vooraf via een asymmetrisch protocol.
Voor Compumatica is dat risico onacceptabel, verklaart Tim: “Daarom wisselen wij de sleutels altijd langs fysieke weg uit. Daarbij is er dus geen communicatie over het internet tussen de eindgebruikers.”
Pasqualle: “Maar we zorgen wel dat de sleutels geregeld op afstand vernieuwd kunnen worden. Zo blijven we postquantum cryptoproof!”
Meer weten? Bijvoorbeeld hoe Compumatica de sleutels veilig vernieuwt? Beluister Tesorion Podcast 55
En wil je steeds up to date blijven op het gebied van quantum en crypto? Meld je dan aan bij de nieuwe Quantum Gateway Foundation. Daarin zitten naast Compumatica bijvoorbeeld ook ABN AMRO, Cap Gemini en de UvA. Zie https://quantumgateway.foundation