Alle IT-kennis onder één wereldwijd dak
Werken bij de beste IT dienstverlener van Nederland?
Resultaat door passie voor IT
Start typing keywords to search the site. Press enter to submit.
Generative AI
Cloud
Testing
Artificial intelligence
Security
October 01, 2024
De quantumcomputer biedt kansen, maar vormt ook een bedreiging voor onze digitale veiligheid. Wat betekent dit nu de eerste post-quantum algoritmen zijn gestandaardiseerd? Erik Holkers deelt hoe we ons kunnen voorbereiden op een toekomst zonder digitale zekerheden. Lees de blog!
Voor wie al midden in deze materie zit was het misschien geen verrassing; op 13-8-2024 publiceerde het Amerikaanse National Institute of Standards and Technology (NIST) de eerste 3 volledig gestandaardiseerde cryptografische post quantum algoritmen. Een mondvol moeilijke woorden die waarschijnlijk velen nog ontging maar toch aandacht vraagt; het gaat niet meer weg en wie in de ICT werkt komt dit de komende jaren tot vervelens toe tegen. Daar kunnen en moeten we iets mee.
En daar gaat deze blog niet over. VINT zal in 2025 hier aandacht aanbesteden; terecht wordt de quantum computer en wat er straks allemaal kan in het zonnetje gezet. Maar er is een keiharde schaduw zijde. Er is ook een dreiging voor het moderne leven zoals we dat kennen in de 21ste eeuw; een dreiging van apocalyptische omvang.
Het gaat om de alle daagse dingen van nu die ons leven modern gemaakt hebben; de pinpas, je mobiel bankieren app, de OV Chipkaart, je nieuwe ID, jouw Iphone, die Coronamelder van toen, en natuurlijk, de bitcoin. Het is een nog altijd doorgroeiende lijst van vernieuwingen in producten die zonder cryptografie er niet zouden zijn, niet zouden kunnen wat we nu als normaal ervaren of niet veilig zou zijn. We hebben het ook wel over disruptive technologies, die ooit braken met het verleden, waar nu een hele generatie al mee opgegroeid is, met nieuwe mogelijkheden die als een gegeven ervaren worden.
In een blog kun je niet de hele wereld van cryptografie uitleggen maar dit wel aanraken. Eén van de manieren waarop cryptografie de nieuwe wereld veilig en daardoor mogelijk gemaakt heeft is met sloten en sleutels. Een deel daarvan zijn bijzondere sleutels, er zijn er altijd 2, één voor op slot doen en de andere voor openen. Er wordt gesproken over een public / private keypair. De public key deel je met allen en iedereen, de private key houd je bij je, onder jouw exclusieve controle, jouw geheim.
Het is de basis voor 2 grote groepen van beveiligingsfuncties:
En dat is eigenlijk het hele verhaal, zo ging het al 10 tallen jaren goed.
Iets ontbreekt in het verhaal. De public key wordt gedeeld met iedereen en de private key moet geheim blijven. Maar dit gebeurt in de context dat de public key en private key exact complementaire eigenschappen hebben; wat met de public key versleuteld is kan alleen met de juiste private key ontcijferd worden en handtekeningen die gezet zijn met een private key kunnen alleen met de bijbehorende public key geverifieerd worden. Als je beschikt over de public key en de juiste cryptografische context (en die is gegeven) dan heb je eigenlijk het negatief van de private key in handen. Alleen “we” zien het niet, maar hij is er wel.
De Quantum Computer brengt een vervelend keerpunt, ze ziet het wel. Geef haar je public key en ze heeft jouw private key ook; schattingen over doorlooptijd zijn in uren. En dan ineens is het niet veilig meer, is niets veilig meer. Eén gehackte bankrekening raakt alle banken, één aangepaste belastingaangifte raakt de hele overheid, individueel drama en maatschappelijke onrust staan om de hoek.
Hoe zit dat nu met zien en niet zien. Zo vreemd is het eigenlijk ook weer niet.Bij het in tweeën delen van een verjaardagstaart met kinderen van 2 (?) jaar oud kom je er nog mee weg als je hen minder dan de helft geeft en je eigen grotere deel niet laat zien; ongelijk versnijden is één ding, terug redeneren hoe groot de andere helft was is net iets moeilijker.Bij vier jaar oud gaat het om veteren. Een veter los maken kunnen ze al snel, de andere kant op is veel moeilijker. Lijkt eerst ondoenlijk, maar na een tijdje breekt dat inzicht door, er rijpt iets en er ontstaat inzicht.
Het zijn voorbeelden van dingen die in één richting moeilijk zijn en in de tegenovergestelde richting ondoenlijk. In de wereld van cryptografie worden dat hard problems of one way problems genoemd. Het is de basis achter de veiligheid. De heen weg, een keypair genereren is relatief makkelijk, maar de terug weg, vanaf een public key de private key zien, is ondoenlijk.
Als je de private ket niet kunt zien, het inzicht niet hebt, dan kun je ook gewoon domweg sleutels gaan proberen, een brute force uitvoeren. Maar in de wereld van de gewone moderne computers is dat nog altijd ondoenlijk. Het betekent daar één voor één proberen en het aantal mogelijke sleutels is onvoorstelbaar groot, het gaat de capaciteit van de huidige computers nog altijd ver te boven.
Maar dan is er straks de quantum computer. Die is echt anders.
De computer die we nu kennen zijn zo binair als binair kan zijn. Deep down on the inside vinden alle bewerkingen plaats op hele kleine data velden, “de bits van het register” en iedere bit is of een 0 of een 1, daar tussen is niets. Een brute force waarbij sleutels uitgeprobeerd worden is daarom één voor één en duurt daardoor eindeloos lang.
Maar de quantum computer is zo non binair als het maar zijn kan. Dan komen er moeilijke woorden voorbij als super position, undecided while processing en parallel processing. De waarde van een (q)bit is nog geen 0 of 1 maar voor als nog onbepaald. Maar in kort de bocht versimpelde bewoording betekent dat onbepaald zijn dat de quantum computer een manier van sleutels uitproberen gevonden heeft waarbij alle sleutels tegelijk in het proces belanden, in één keer en zij dan inzicht heeft welke de juiste is. Ze kijkt er doorheen, hard problem opgelost.
De vertrouwelijkheid die we regelden met versleutelen en ontcijferen is er dan niet meer, de echtheidscontroles (authenticiteit) die we hadden met digitale handtekeningen zal te vervalsen zijn. Maar ook, het is nu al erg, niet alleen straks. Er is sprake van problemen met terugwerkende kracht.
Er wordt al massaal versleutelde data opgeslagen om straks met behulp van de quantum computer toch leesbaar te maken. Het Store now, decrypt later principe. Dat gaat ons raken. Het gaat om data die voor onze veiligheid echt langer geheim zou moeten blijven.
Een in de toekomst vervalsbare handtekening stelt de Legal History van nu ter discussie. Wat als de akte van jouw huis (die je gisteren tekende) morgen even goed rechtsgeldig op naam van een ander staat.
Er wordt koortsachtig gezocht naar nieuwe cryptografische oplossingen die het de quantum computer weer moeilijk maken. Zoeken naar een manier die een brute force ook voor de quantum computer ondoenlijk maakt, haar pet weer te boven gaat of haar om te tuin te leiden. Twee ideeën worden daarin uitgewerkt.
Op 13-8-2024 zijn de eerste 3 post quantum crypto algoritmen officieel gereleased door NIST. Hele mooie namen ook 😉. Het gaat over ML-KEM (versleuteling) en ML-DSA (handtekeningen) die werken met die kleine foutje truc of SLH-DSA (handtekeningen) dat werkt via het principe van informatie verlies. En dat is baanbrekend.
De nieuwe post quantum cryptografie zal zoals alle nieuwe technologie kinderziektes hebben, hoe goed getest ook, vaak blijken er toch nog kwetsbaarheden, alles komt nu onderdruk versneld naar buiten. De bestaande cryptografie zal met de groei van de quantum computer steeds meer ouderdomskwalen laten zien. In de overgangsfase hebben we dan helaas beiden tegelijk nodig, op een manier dat als het nieuwe nog niet helemaal veilig is je die veiligheid nog kunt krijgen uit het oude en vice versa. We gaan hybride.
Het wordt helaas niet zo mooi hybride als die nieuwe energie zuinige auto’s waar de elektromotor de benzine motor aanvult of afwisselt. We gaan straks hybride in de wereld van cryptografie op de manier van èn èn. Beide motoren voluit en tegelijk, dubbele verbranding. Het is niet anders en het kost ook nog.
Twee groepen van beveiligingsfuncties gaan straks als eerste onder het mes.
Netwerk verkeer wordt nu beveilig met “TLS” op basis van quantum gevoelige cryptografie. Hier speelt het store now, decrypt later probleem. “We” gaan naar een nieuw post quantum crypto TLS met die hybride oplossing. “We” gaan, maar pas nadat alle browsers, websites, mobieltjes, OS en netwerk componenten geupdate zijn en het ook snappen, en dan met ML-KEM.
Digitale handtekeningen gaan we z.s.m. dubbel doen; alles wat nu getekend is en nu nog veilig is moet een tweede handtekening krijgen die straks niet door de quantum computer gebroken kan worden, voor nu kunnen we misschien wel kiezen, ML-DSA / SLH-DSA.
Dat valt niet in één keer uit te leggen maar dat is het wel, adem benemend. En ook, de komende 30 jaar zal het een vakgebied zijn waarnaar vraag zal zijn, er komt werk aan. En voor de duidelijkheid; AI gaat dit niet oplossen, dit mogen we zelf doen. Toekomst vast.
Wil je begrijpen hoe ook jij cryptografie in de praktijk kan brengen? Of weet je er meer van en ben je nieuwsgierig hoe wij klanten hiermee helpen? Aarzel niet en neem gerust contact op. Of kijk nog even rond op onze site.
Werken als cybersecurity professional Onze cybersecurity diensten