Moet u nu al maatregelen nemen om uw data te beschermen?
Het concept van kwantumcomputers – computers met vele nieuwe mogelijkheden – bestaat al sinds 1981. Aan de mogelijkheid van het maken van een kwantumcomputer werd aanvankelijk weinig geloof gehecht. Dat is inmiddels compleet anders en wereldwijd wordt er nu veel geld gestoken in de ontwikkeling van stabiele kwantumcomputers.
Stel eens voor: een nieuw type computer dat moeilijke vraagstukken vele malen sneller kan oplossen dan de huidige generatie computers. Problemen die eerst miljoenen jaren zouden kosten, zijn plots binnen minuten op te lossen. Dat nieuwe type computer zit eraan te komen: kwantumcomputers. Hiermee wordt het bijvoorbeeld mogelijk om geavanceerde simulaties uit te voeren en zo fundamenteel onderzoek naar materie te doen. Deze nieuwe technologie heeft echter niet alleen voordelen. Met kwantumcomputers wordt het mogelijk om bepaalde veelgebruikte cryptografische algoritmen veel sneller te kraken. Het kan nog jaren duren voordat kwantumcomputers operationeel zijn. Toch is het verstandig om nu al maatregelen te overwegen. Kwantumcomputers kraken in de toekomst de communicatie van nu.
Kwantumcomputers zijn computers die op een fundamenteel andere manier rekenen dan huidige computers. Sommige berekeningen kunnen ze daarom veel sneller uitvoeren. Deze computers bestaan nu alleen in een experimentele vorm. Ze zijn nu nog niet geschikt voor het versnellen van berekeningen. Er wordt veel onderzoek gedaan naar het ontwikkelen van deze nieuwe generatie computers. Vooral onderzoeksinstellingen zijn hiermee bezig. De verwachting is dat kwantumcomputers vele waardevolle toepassingen gaan hebben op het gebied van biologie of materiaalwetenschap. De TU Delft verwacht tussen 2030 en 2040 een kwantumcomputer te bouwen met een omvang die een gevaar vormt voor cryptografie. Het valt te verwachten dat naast onderzoeksinstellingen ook inlichtingendiensten belangstelling hebben voor het bouwen van kwantumcomputers.
Kwantumcomputers gaan de manier waarop we cryptografie bedrijven, vergaand beïnvloeden. Alle momenteel populaire asymmetrische cryptografische algoritmen zijn zeer kwetsbaar voor kraak door kwantumcomputers. Het gaat dan om algoritmen als RSA, Diffie-Hellman en ECDSA. Deze algoritmen zijn totaal ineffectief als maatregel tegen een aanvaller die een werkende kwantumcomputer heeft. Asymmetrische algoritmen heten ook wel ‘public key’-algoritmen.
Cryptografische algoritmen om data mee te versleutelen vallen uiteen in twee categorieën: symmetrische en asymmetrische algoritmen. Bij een symmetrisch algoritme beschikken beide partijen over dezelfde sleutel, die geschikt is om data zowel mee te versleutelen als te ontsleutelen. Bij een asymmetrisch algoritme heeft elke partij een sleutelpaar, dat bestaat uit een ‘hangslot’ (de publieke sleutel) en een geheime sleutel. Elke derde kan data versleutelen met het hangslot, maar alleen de partij zelf, die de bijbehorende geheime sleutel heeft, kan de data ook weer ontsleutelen. De meeste praktische toepassingen gebruiken zowel symmetrische als asymmetrische algoritmen: dit heet hybride encryptie.
Asymmetrische algoritmen worden veel gebruikt voor het uitwisselen van sleutels. Dit gebeurt in protocollen voor beveiligde verbindingen (TLS, voor de beveiliging van de communicatie met websites) en virtual private networks (VPN, zoals IPSec). Ook verbindingen die forward secrecy gebruiken, zijn kwetsbaar. Als een aanvaller de sleuteluitwisseling kraakt, kan hij daarna alle communicatie inzien die met deze sleutel is versleuteld.
Ook andere cryptografische algoritmen zijn kwetsbaar voor aanvallen met kwantumcomputers. Symmetrische algoritmen en hashingalgoritmen zijn beide makkelijker aan te vallen met behulp van een kwantumcomputer. Aanvallen met een kwantumcomputer zijn daar echter minder effectief. Een verdubbeling van de gebruikte sleutellengte houdt aanvallers met een kwantumcomputer weg bij uw data die met een symmetrisch algoritme is versleuteld. Met een kwantumcomputer is hierbij veel minder snelheidsvoordeel te behalen.
Iemand met een werkende kwantumcomputer kan data ontsleutelen die met kwetsbare cryptografische algoritmen is versleuteld. Data die nu onderschept wordt, kan later met een tegen die tijd beschikbare kwantumcomputer worden gekraakt. In eerste instantie zullen inlichtingendiensten en academische instellingen beschikken over kwantumcomputers. Zij zijn nu immers het actiefst in de ontwikkeling van een werkende kwantumcomputer. Op termijn zullen de capaciteiten van kwantumcomputers echter ook voor veel bedrijven te verkrijgen zijn, bijvoorbeeld als cloudtoepassing. Het is denkbaar dat schaalvoordelen leiden tot lagere prijzen, wat kwantumcomputers ook voor individuele consumenten betaalbaar maakt.
Het duurt nog jaren tot operationele kwantumcomputers beschikbaar zijn. Als data niet zo lang geheim hoeft te blijven, zijn geen aanvullende maatregelen nodig. Vindt u het belangrijk om gegevens langer te beschermen, dan is het nodig om nu al maatregelen te treffen. Aanvallers onderscheppen deze data immers mogelijk nu al in versleutelde vorm om hem later te kraken. Voer een risicoanalyse uit om na te gaan of uw gegevens dergelijke bescherming behoeven.
Wilt u een verbinding tussen twee punten beveiligen tegen een (toekomstige) aanvaller met een kwantumcomputer, gebruik dan een symmetrisch algoritme zoals AES met een sleutellengte van 256 bits. Wissel de gebruikte sleutel handmatig uit, bijvoorbeeld door een of meerdere personen met USB-sticks (met daarop de sleutel) van het ene punt naar het andere te laten reizen.
Quantum Key Distribution (QKD, soms ook kwantumcryptografie genoemd) wordt verkocht als oplossing voor het probleem van sleuteluitwisseling die bestand is tegen aanvallers met een kwantumcomputer. De veiligheidseigenschappen van QKD-systemen worden echter nog maar beperkt begrepen en QKD is nog nauwelijks gestandaardiseerd. Ook vergt het gebruik van QKD dure hardware. Het is daarom nog maar zeer de vraag of er gevallen zijn waairn QKD een wardevolle bijdrage kan leveren.
Op langer termijn zullen we allemaal overstappen op algoritmen die niet kwetsbaar zijn voor aanvallen met kwantumcomputers. Voor symmetrische algoritmen betekent dat het verlengen van de sleutels. Voor asymmetrische algoritmen liggen de zaken gecompliceerder. Er bestaan asymmetrische algoritmen die niet vatbaar zijn voor kwantumcomputers. Deze zijn echter nog niet zo efficiënt als de nu populaire algoritmen. Ook zijn ze maar in zeer beperkte mate gestandaardiseerd. Veelgebruikte encryptiesoftware ondersteunt ze daarom ook nog niet. De ontwikkeling van zulke postkwantumcryptografie is nu nog vooral een academische aangelegenheid. De EU en Nederland spelen hierin een belangrijke rol. Het EU programma Horizon 2020 financiert bijvoorbeeld een onderzoeksconsortium van elf universiteiten dat werkt aan de ontwikkeling van kwantumresistente algoritmen. Dit consortium staat onder leiding van TU e-hoogleraar Tanja Lange.
1 Informatieblad van NBV over kwantumcomputers: https://www.aivd.nl/publicaties/publicaties/2014/11/20/informatieblad-overquantumcomputers.
2 Positie van CESG (onderdeel GCHQ) over QKD: https://www.cesg.gov.uk/white-papers/quantum-key-distribution.
3 Commercial National Security Algorithm Suite and Quantum Computing FAQ, Information Assurance Directorate, National Security Agency/Central Security Service, January 2016.
4 Overzicht van postkwantumalgoritmen (Dan Bernstein en Tanja Lange, CCC): https://events.ccc.de/congress/2015/Fahrplan/events/7210.html.
5 Website van het PQCRYPTO EU-project: https://cryptome.org/2016/01/CNSA-Suite-and-Quantum-Computing-FAQ.pdf.