Zero trust security

De Quantumdreiging: Hoe Post-Quantum Cryptografie Onze Digitale Toekomst Veilig Moet Stellen

De quantumcomputer biedt kansen, maar vormt ook een bedreiging voor onze digitale veiligheid. Wat betekent dit nu de eerste post-quantum algoritmen zijn gestandaardiseerd? Erik Holkers deelt hoe we ons kunnen voorbereiden op een toekomst zonder digitale zekerheden. Lees de blog!

Het eerste licht

Voor wie al midden in deze materie zit, was het misschien geen verrassing: op 13-8-2024 publiceerde het Amerikaanse National Institute of Standards and Technology (NIST) de eerste drie volledig gestandaardiseerde cryptografische post-quantumalgoritmen. Een mondvol moeilijke woorden die waarschijnlijk velen nog ontgaan, maar toch aandacht vraagt; het gaat niet meer weg, en wie in de ICT werkt, zal dit de komende jaren tot vervelens toe tegenkomen. Daar kunnen en moeten we iets mee.

De quantumcomputer: eindeloze mogelijkheden

En daar gaat deze blog niet over. VINT zal in 2025 hier aandacht aan besteden; terecht wordt de quantumcomputer en wat er straks allemaal kan in het zonnetje gezet. Maar er is een keiharde schaduwzijde. Er is ook een dreiging voor het moderne leven zoals we dat kennen in de 21ste eeuw: een dreiging van apocalyptische omvang.

Cryptografie bracht het moderne leven in de 21ste eeuw

Het gaat om de alledaagse dingen die ons leven modern hebben gemaakt: de pinpas, je mobiel bankieren-app, de OV-chipkaart, je nieuwe ID, jouw iPhone, die Coronamelder van toen en natuurlijk de bitcoin. Het is een nog altijd groeiende lijst van innovaties in producten die zonder cryptografie er niet zouden zijn, niet zouden kunnen doen wat we nu als normaal ervaren, of niet veilig zouden zijn. We hebben het ook wel over disruptive technologies, die ooit met het verleden braken, en waar nu een hele generatie al mee is opgegroeid, met nieuwe mogelijkheden die als vanzelfsprekend worden ervaren.

Het veiligheidsprincipe in de cryptografie
In een blog kun je niet de hele wereld van cryptografie uitleggen, maar dit wel aanraken. Een van de manieren waarop cryptografie de nieuwe wereld veilig en daardoor mogelijk heeft gemaakt, is met sloten en sleutels. Een deel daarvan zijn bijzondere sleutels; er zijn er altijd twee: één voor het op slot doen en de andere voor het openen. Er wordt gesproken over een public/private key-pair. De public key deel je met iedereen, de private key houd je voor jezelf, onder jouw exclusieve controle, jouw geheim.

Het vormt de basis voor twee grote groepen beveiligingsfuncties:

  1. Vertrouwelijkheid: Onleesbaar houden voor onbevoegden en leesbaar maken voor bevoegden door middel van versleutelen en ontcijferen.
  2. Authenticiteit: Met een zogenaamde digitale handtekening garanderen wie of wat iets heeft getekend en dat het daarna niet meer is veranderd; een echtheidskenmerk. Met de private key maak je de handtekening, en iedereen kan deze controleren met de public key.

    Zo ging het al tientallen jaren goed.

Die private key blijkt nu toch niet zo private

Er ontbreekt iets in dit verhaal. De public key wordt gedeeld met iedereen, en de private key moet geheim blijven. Maar dit gebeurt in een context waarin de public en private key exact complementaire eigenschappen hebben: wat met de public key is versleuteld, kan alleen met de juiste private key worden ontcijferd, en handtekeningen die met een private key zijn gezet, kunnen alleen met de bijbehorende public key worden geverifieerd. Als je de public key hebt en de juiste cryptografische context (en die is gegeven), dan heb je eigenlijk het negatief van de private key in handen. Alleen "zien" we het niet, maar het is er wel.

De quantumcomputer: keerpunt 

De quantumcomputer brengt een vervelend keerpunt: zij ziet het wel. Geef haar je public key, en zij heeft jouw private key ook; schattingen over doorlooptijd zijn in uren. En dan ineens is het niet meer veilig; niets is meer veilig. Eén gehackte bankrekening raakt alle banken, één aangepaste belastingaangifte raakt de hele overheid. Individueel drama en maatschappelijke onrust staan om de hoek.

We zien wel meer niet

Hoe zit dat nu met zien en niet zien? Zo vreemd is dat eigenlijk ook weer niet. Bij het in tweeën delen van een verjaardagstaart met kinderen van twee jaar oud kom je er nog mee weg als je hen minder dan de helft geeft en je eigen grotere deel niet laat zien. Ongelijk versnijden is één ding, terug redeneren hoe groot de andere helft was is net iets moeilijker.
Bij vier jaar oud gaat het om veteren. Een veter losmaken kunnen ze al snel, de andere kant op is veel moeilijker. Lijkt eerst ondoenlijk, maar na een tijdje breekt dat inzicht door, rijpt er iets en ontstaat er begrip.

Dit zijn voorbeelden van dingen die in één richting moeilijk zijn en in de tegenovergestelde richting ondoenlijk. In de wereld van cryptografie worden dat "hard problems" of "one-way problems" genoemd. Het is de basis achter de veiligheid. De heenweg, het genereren van een keypair, is relatief makkelijk, maar de terugweg, het afleiden van de private key vanuit de public key, is ondoenlijk.

Proberen kan ook, maar duurt te lang

Als je de private key niet kunt zien en het inzicht niet hebt, kun je ook gewoon domweg sleutels gaan proberen, een brute force uitvoeren. Maar in de wereld van gewone moderne computers is dat nog altijd ondoenlijk. Het betekent dat je één voor één probeert, en het aantal mogelijke sleutels is onvoorstelbaar groot; het gaat de capaciteit van de huidige computers nog altijd ver te boven.

Proberen kan straks wel en heel gemakkelijk

Maar dan is er straks de quantumcomputer. Die is echt anders.

De computers die we nu kennen, zijn zo binair als maar kan. Deep down inside vinden alle bewerkingen plaats op hele kleine datavelden, "de bits van het register", en iedere bit is of een 0 of een 1, daar tussenin is niets. Een brute force waarbij sleutels worden uitgeprobeerd, gebeurt daarom één voor één en duurt eindeloos lang.

Maar de quantumcomputer is zo non-binair als maar zijn kan. Dan komen er moeilijke woorden langs als superpositie, undecided while processing en parallel processing. De waarde van een (q)bit is nog geen 0 of 1, maar voorlopig onbepaald. In versimpelde bewoording betekent dit dat de quantumcomputer een manier van sleutels uitproberen heeft gevonden waarbij alle sleutels tegelijk in het proces belanden, en zij dan inzicht heeft in welke de juiste is. Ze kijkt er doorheen; het hard problem is opgelost.

Dat is een ramp

De vertrouwelijkheid die we regelden met versleutelen en ontcijferen is er dan niet meer. De echtheidscontroles (authenticiteit) die we hadden met digitale handtekeningen zal te vervalsen zijn. Maar ook, het is nu al erg, niet alleen straks. Er is sprake van problemen met terugwerkende kracht.

Er wordt al massaal versleutelde data opgeslagen om straks met behulp van de quantumcomputer toch leesbaar te maken. Het 'Store now, decrypt later' principe. Dat gaat ons raken. Het gaat om data die voor onze veiligheid echt langer geheim zou moeten blijven.

Een handtekening die in de toekomst vervalsbaar is, stelt de juridische geschiedenis van nu ter discussie. Wat als de akte van jouw huis, die je gisteren hebt getekend, morgen opeens rechtsgeldig op naam van iemand anders staat?

Weer moeilijk maken

Er wordt koortsachtig gezocht naar nieuwe cryptografische oplossingen die het voor de quantumcomputer weer moeilijk maken. Men zoekt naar manieren die een brute force-aanval ook voor de quantumcomputer ondoenlijk maken, zodat deze weer buitenspel wordt gezet of om de tuin wordt geleid. Twee ideeën worden hiervoor uitgewerkt.

  1. Foutjes inbouwen en niet de volledige juiste context meegeven. Het gaat hier om hele kleine foutjes die corrigeerbaar zijn als je de private key hebt (het moet blijven werken), maar die de slimme parallelle brute force-aanvallen van de quantumcomputer buitenspel zetten. Hoe klein de fout ook is, als je niet weet waar hij zit, kun je bezig blijven, zelfs een quantumcomputer. 
  2. Minder informatie geven, informatieverlies toepassen, de context zelf niet ontsluiten, maar toch zo dat de functionaliteit intact blijft wanneer je de private key hebt. De quantumcomputer heeft dan helemaal niets meer waartegen hij kan brute forcen.

Ze zijn er nu

Op 13-8-2024 zijn de eerste drie post-quantum crypto-algoritmen officieel uitgebracht door NIST. En de namen zijn prachtig 😉. Het gaat om ML-KEM (versleuteling) en ML-DSA (handtekeningen), die werken met de kleine foutjes-truc, of SLH-DSA (handtekeningen), dat werkt via het principe van informatieverlies. Dit is baanbrekend.

Kinderziektes en ouderdomskwalen

Net zoals bij alle nieuwe technologieën, zal de nieuwe post-quantum cryptografie kinderziektes hebben, hoe goed getest ook. Vaak blijken er toch nog kwetsbaarheden te zijn. Alles komt nu versneld onder druk naar buiten. De bestaande cryptografie zal door de groei van de quantumcomputer steeds meer ouderdomskwalen vertonen. In de overgangsfase zullen we helaas beide tegelijk nodig hebben. Als het nieuwe systeem nog niet helemaal veilig is, moet de veiligheid nog uit het oude systeem gehaald worden, en vice versa. We gaan hybride.

Hybride zoals het niet bedoeld is

Het wordt helaas niet zo'n mooie hybride als bij de energiezuinige auto's, waar de elektromotor de benzinemotor aanvult of afwisselt. In de wereld van cryptografie gaan we hybride op de manier van én-én. Beide systemen volledig actief en tegelijkertijd, wat resulteert in dubbele verbranding. Het kan niet anders, en het kost ook nog eens extra.

Waar te beginnen 

wee groepen van beveiligingsfuncties zullen als eerste worden aangepakt.

Netwerkverkeer wordt nu beveiligd met “TLS” op basis van quantumgevoelige cryptografie. Hier speelt het “store now, decrypt later”-probleem. We stappen over op een nieuw post-quantum crypto TLS met een hybride oplossing. Maar dit kan pas nadat alle browsers, websites, mobiele apparaten, besturingssystemen en netwerkcomponenten zijn geüpdatet en compatibel zijn met ML-KEM.

Digitale handtekeningen moeten zo snel mogelijk dubbel worden uitgevoerd; alles wat nu getekend is en momenteel nog veilig is, moet een tweede handtekening krijgen die straks niet door een quantumcomputer kan worden gebroken. Voor nu kunnen we kiezen tussen ML-DSA en SLH-DSA.

Cryptografie is zo mooi

Het valt niet in één keer uit te leggen, maar het is echt adembenemend. Ook zal het de komende 30 jaar een vakgebied zijn waar veel vraag naar zal zijn. Er komt werk aan! Voor de duidelijkheid: AI gaat dit probleem niet oplossen, dit mogen we zelf doen. Toekomstbestendig.

Werken met cryptografie

Wil je begrijpen hoe jij cryptografie in de praktijk kunt toepassen? Of weet je er al meer van en ben je nieuwsgierig hoe wij klanten hiermee helpen? Aarzel niet en neem gerust contact op. Of kijk nog even rond op onze site.

Werken als cybersecurity professional      Onze cybersecurity diensten

Kan ik je helpen?

Henk-jan de Wld Community manager security
Phone number: + 31 6 55 78 09 87