Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

De Nederlandse veiligheidsdienst AIVD waarschuwt bedrijven die hun data langdurig versleutelen dat de komst van kwantumcomputers rond vermoedelijk 2030 gevolgen kan hebben voor de veiligheid van de gebruikte encryptie. Zij zouden moeten kijken naar andere encryptiemethoden.

Wetenschappers werken volop aan kwantumcomputers. Door hun architectuur, waarbij gebruikgemaakt wordt van de kwantumeffecten superpositie en verstrengeling, kunnen die in bepaalde scenario's veel sneller rekenen dan 'traditionele' binaire computers. Dit heeft op termijn gevolgen voor de encryptiemethoden die bijvoorbeeld door bedrijven worden ingezet om hun data veilig te stellen, zo waarschuwt de AIVD. De inlichtingendienst wijst op het principe van 'intercept now, decrypt later', waarbij versleutelde data nu wordt afgevangen en opgeslagen om de encryptie in de toekomst door een kwantumcomputer te laten kraken.

Het gevaar zou vooral schuilen in het feit dat bij veel encryptiemechanismen gebruik wordt gemaakt van sleuteluitwisseling. Momenteel is die sleuteluitwisseling niet of zeer moeilijk te berekenen, maar een kwantumcomputer kan dit wel. Bedrijven die zich willen voorbereiden op de kwantumcomputer, die volgens de huidige schattingen rond 2030 nuttig kan worden ingezet, moeten kijken naar encryptiemethoden die de rekenkracht van dergelijke systemen kunnen weerstaan.

De AIVD noemt een aantal methoden met potentie. Zo zou zogeheten postkwantumcryptografie, waarbij een wiskundig probleem wordt gebruikt waarvoor geen kwantumalgoritme bestaat, relatief goedkoop kunnen worden ingezet. Deze methode is echter niet gestandaardiseerd en nog volop in ontwikkeling. Een aanzienlijk duurdere methode luistert naar de naam quantum key distribution, waarbij twee kwantumapparaten qubits uitwisselen en op basis daarvan een binaire sleutel afleiden. Deze methode heeft als voordeel dat het afluisteren detecteerbaar is, maar quantum key distribution is kostbaar en lastig schaalbaar, en vereist specialistische hardware met een kort bereik.

Als derde methode wordt manual key distrubution genoemd, waarbij de sleutel op 'analoge' wijze persoonlijk aan iemand wordt overhandigd. Deze methode is vrijwel onkraakbaar, maar omslachtig en bovendien kan een koerier omgekocht of onderschept worden, zo stelt de geheime dienst.

De AIVD stelt dat bedrijven die informatie voor langere tijd vertrouwelijk willen of moeten bewaren een migratieplan moeten opstellen. Het Nationaal Bureau voor Verbindingsbeveiliging, dat samenwerkt met onder andere de TU Delft, krijgt van de AIVD input om samen met de Rijksoverheid dergelijke migratieplannen op te stellen.

Moderatie-faq Wijzig weergave

Reacties (34)

Het is jammer dat de AIVD in haar publicatie geen (expliciet) onderscheid maakt tussen symmetrische en assymetrische cryptografie. Het is enkel de laatste die zeer kwetsbaar zal zijn voor kwantumcomputers. Veelgebruikte methoden van assymetrische encryptie zijn gebaseerd op (de moeilijkheid van) het factoriseren van grote priemgetallen, en Shor's algorithme kan op een kwantumcomputer de factoren van een priemgetal in polynomiale tijd uitrekenen (zolang die quantumcomputer voldoende ruimte heeft om het grote getal in op te slaan, wat nu nog lang niet het geval is).

Symmetrische encryptie is aan de andere kant vatbaar voor Grover's algorithme, maar dit halveert enkel de zoektijd naar de sleutel. Een halvering lijkt veel, maar is dit niet. Als het eerst 280 pogingen zou kosten om de sleutel te vinden, zou het met het gebruik van een quantumcomputer nog steeds 279 pogingen kosten. (zie reactie hieronder)

Waarom dit (edit: in het geval van versleutelde storage) speciaal relevant is voor hosting partijen, en niet voor individuen die zelf hun sleutel onthouden is omdat bedrijven vaak de symmetrische sleutel beschermen met assymetrische encryptie, om er voor te zorgen dat meerdere lagen in het bedrijf toegang kunnen hebben tot de sleutel. Een ander groot voordeel is dat de sleutel die de data encrypt vrij verspreid kan worden, terwijl de decryptiesleutel veilig airgapped is opgeslagen.

Dit geldt trouwens ook voor FDE op bijvoorbeeld bedrijfscomputers; o.a. FileVault en BitLocker geven de mogelijkheid voor bedrijven om toch bij de data te kunnen door middel van key escrowing, wat op assymetrische crypto is gebaseerd. (Als je zelf een van de twee producten gebruikt moet je uitkijken dat je key escrowing niet gebruikt wordt, zelfs al maak je er geen gebruik van. Uitzoeken of dat gebeurt is een uitdaging; beide genoemde systemen zijn closed-source)

Als je meer wilt weten over post-quantum crypto is Bernstein een goede bron. Een lattice-based systeem, en in het speciaal NTRUEncrypt lijkt een goede kandidaat te zijn, al zijn er (net zoals andere PQ-algorithmes) veel problemen met patenten. Er zou eigenlijk net zoals met block-, cipher- en hash-alogritmen een contest opgezet moeten worden om een goed, vrij PQ-algoritme te vinden.

[Reactie gewijzigd door Aftansert op 15 april 2015 16:19]

Symmetrische encryptie is aan de andere kant vatbaar voor Grover's algorithme, maar dit halveert enkel de zoektijd naar de sleutel. Een halvering lijkt veel, maar is dit niet. Als het eerst 280 pogingen zou kosten om de sleutel te vinden, zou het met het gebruik van een quantumcomputer nog steeds 279 pogingen kosten.
Dat klopt niet. Met Grover's algorithm reduceert het aantal lookups niet van N naar N/2, maar naar √N. Je halveert dus de exponent (en daarmee de effectieve sleutellengte). Van 280 naar 240.

Dit is waarom het een goed idee is AES-256 te gebruiken; een snelle quantumcomputer reduceert dit effectief tot AES-128, wat naar huidige maatstaven nog steeds praktisch onkraakbaar is.
Waarom dit speciaal relevant is voor hosting partijen, en niet voor individuen die zelf hun sleutel onthouden is omdat bedrijven vaak de symmetrische sleutel beschermen met assymetrische encryptie, om er voor te zorgen dat meerdere lagen in het bedrijf toegang kunnen hebben tot de sleutel. Een ander groot voordeel is dat de sleutel die de data encrypt vrij verspreid kan worden, terwijl de decryptiesleutel veilig airgapped is opgeslagen.
Dit is niet speciaal relevant voor (hosting)bedrijven; het is voor individuen net zo goed van belang. Symmetrische crypto wordt vrijwel nooit direct gebruikt, maar altijd icm asymmetrische crypto, omdat symmetrische crypto niet goed schaalt met het aantal deelnemers in een netwerk.

Dit is bijvoorbeeld ook hoe SSL/TLS werkt; een symmetrische sessiesleutel beschermd in de handshake, beschermd door asymmetrische crypto.

[Reactie gewijzigd door deadinspace op 15 april 2015 16:11]

Het lijkt me een beetje misleidend om de twee categorieen van encryptie te noemen en dan te zeggen "het is enkel de laatste die zeer kwetsbaar zal zijn voor kwantumcomputers". Technisch gezien heb je gelijk maar het wekt de indruk dat slechts de helft of zelfs minder van de beveiligde systemen kwetsbaar zal zijn, terwijl assymetrische encryptie veel vaker voorkomt en het idee van de zwakste schakel hier opgaat (zelfs maar een laag assymetrische encryptie in een ingewikkelder systeem betekent een zwakke plek).

Heel veel (economische) activiteiten die wij anno 2015 voor lief nemen kunnen praktisch niet eens plaatsvinden met uitsluitend symmetrische encryptie (het veilig sturen van de geheime sleutel is te lastig) en/of worden dan op een gegeven moment kwetsbaarder voor social hacking dan assymetrische encryptie anno 2015 is voor brute force hacking.

Postkwantumcryptografie wordt gewoon ontzettend belangrijk in de toekomst, die ene procent (of misschien nog wel minder) van de activiteiten die via symmetrische encryptie werkt valt daarbij in het niet. Vandaar dus de focus van de AIVD op assymetrische encryptie, plus met een langer, ingewikkelder bericht krijg je meer kans dat mensen het niet (goed) lezen of niet begrijpen.
Symmetrie is 100% onkraakbaar, zolang je sleutel maar lang genoeg is. En met symmetrische encryptie kan je in principe elk mogelijk antwoord bruteforcen, zodat het waardeloos is te zoeken.

Decrypt dit maar eens:

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

Zonder mijn symmetrische key kan dit om het even wat voorstellen. ;)
En je kan elk mogelijk bedenkbare key "vinden" als oplossing. Succes }:O

Symmetrische encryptie is veel vlugger dan asymmetrische en wordt daarom ook gebruikt in SSL. Enkele het gedeelte om de identiteit van de andere te verifiëren gaat via asymmetrische. Het is gewoon lastig als iedereen met iedereen een unieke key moet gaan uitwisselen op een veilige manier. Asymmetrische biedt een oplossing: je hoeft de andere zijn key niet te kennen om te kunnen communiceren.

[Reactie gewijzigd door ? ? op 15 april 2015 16:24]

Quantum computing zal vooral effect hebben op asymmetrische encryptie (PKI).
Voor symmetrische encryptie en hashes is het voldoende om de sleutel lengte te verdubbelen, dus AES256 en SHA2-512 zijn ook dan nog veilig genoeg.
Deze kennis komt van het praatje van een Belgische Crypto professor (Bart Preneel) tijdens een conferentie.
Goed dat onze overheid onze bedrijven bewust maakt van de brute-force mogelijkheden in de toekomst.

Maar ik denk dat veel bedrijven en consumenten met encryptie nu een groter probleem hebben waar de AIVD niet voor waarschuwt. Van heel veel 'standaard' encryptiemethoden is het vermoeden dat ze een achterdeurtje hebben voor Amerikaanse veiligheidsdiensten.
Maar ik denk dat veel bedrijven en consumenten met encryptie nu een groter probleem hebben waar de AIVD niet voor waarschuwt. Van heel veel 'standaard' encryptiemethoden is het vermoeden dat ze een achterdeurtje hebben voor Amerikaanse veiligheidsdiensten.
Als bekend wordt dat bepaalde onafhankelijk ontwikkelde de facto algoritmes onveilig zijn gaan we over op iets anders. Tot die tijd heeft het weinig zin om FUD te verspreiden over een 'groter probleem' waarvan het bestaan niet is aangetoond.

Tot nu toe geven de de facto algoritmes de overheden die ze als standaard hebben verheven best wel veel hoofdpijn bij opsporing en vervolging, en bij het bespioneren van eigen burgers. Daaruit kan je concluderen dat deze algoritmes werken. Ik gebruik liever een open en volledig getest algoritme dan een gesloten. Lees ook deze thesis voor een voorbeeld waarom gesloten, obscure algoritmes een veiligheidsrisico vormen.

Over het nieuwsartikel: het is niet realistisch om te verwachten dat organisaties nu al rekening houden met dit soort zaken om twee redenen. Organisatorisch hebben veel bedrijven moeite om verder te kijken dan de volgende kwartaal- of jaarcijfers. En op technisch vlak geeft het nieuwsartikel het al aan: er zijn eigenlijk geen alternatieven.

Uit het artikel:
De AIVD noemt een aantal methoden met potentie. Zo zou zogeheten postkwantumcryptografie, waarbij een wiskundig probleem wordt gebruikt waarvoor geen kwantumalgoritme bestaat, relatief goedkoop kunnen worden ingezet. Deze methode is echter niet gestandaardiseerd en nog volop in ontwikkeling.
Dat is waar je als organisatie op wacht. Pas bij standaardisatie heb je een excuus om hierin te investeren. Niemand wilt een early adopter zijn en op een dure manier zijn neus stoten, want dat gaat zeker gebeuren op dit gebied dat nog volop in ontwikkeling is. :)

[Reactie gewijzigd door The Zep Man op 15 april 2015 14:52]

[...]
Als bekend wordt dat bepaalde onafhankelijk ontwikkelde de facto algoritmes onveilig zijn gaan we over op iets anders. Tot die tijd heeft het weinig zin om FUD te verspreiden over een 'groter probleem' waarvan het bestaan niet is aangetoond.
Daarom wijst de AIVD ook op het potentiele gevaar van "intercept now, decrypt later". Oftewel, een langetermijn strategie van aanvallers waarbij ze de versleutelde data nu al onderscheppen / stelen en het over 10-20 jaar, wanneer de technologie er klaar voor is, ontcijferen.

Voor veel bedrijven is dit niet echt een probleem, want veel data is niet zo interessant meer over zo'n lange tijdsperiode, maar voor bijvoorbeeld medische instellingen kan het iets zijn om nu al over na te denken.
Daarom wijst de AIVD ook op het potentiele gevaar van "intercept now, decrypt later". Oftewel, een langetermijn strategie van aanvallers waarbij ze de versleutelde data nu al onderscheppen / stelen en het over 10-20 jaar, wanneer de technologie er klaar voor is, ontcijferen.
Mijn punt tegenover de opmerking van nul07 blijft ook staan tegenover de waarschuwing van de AIVD: leuk, maar het blijft FUD. Immers is het een potentieel probleem met waarschijnlijk (zoals jij ook aangeeft) een beperkte impact.

Kans: laag tot matig
Impact: beperkt

Het risico dat daaruit komt is niet interessant voor organisaties. Beter kunnen zij zich richten op bestaande veiligheidsrisico's. Hiermee zeg ik niet dat de waarschuwing incorrect is, maar wel dat deze in de juiste context geplaatst moet worden.

[Reactie gewijzigd door The Zep Man op 15 april 2015 15:39]

Beter laat dan nooit van de AIVD zullen we maar zeggen.

Wij hebben postquantum crypto ook overwogen voor sommige commerciële systemen, maar er was geen zakelijke reden in ons geval om het daadwerkelijk te doen. Er wordt ook gesuggereerd dat postquantum crypto nieuw is, maar dat is helemaal niet zo. Het bestaat al vanaf de jaren '70 (en eigenlijk ben ik van mening dat als ze bij de AIVD (of de MIVD) intern zelf dit niet al sinds die tijd gebruiken dat ze volstrekt incompetent zijn en zo'n mooi 'Niet geschikt'-vinkje naast hun naam moeten krijgen).
Ik vraag me af wat de gevolgen zijn voor encryptie door de gewone gebruiker? Je eigen data lokaal versleutelen wordt dan quasi nutteloos als je er van uitgaat dat een gewone gebruiker geen kwantumcomputer heeft, maar een cybercrimineel wèl. De enige oplossing gedurende die periode zou dan zijn om je versleuteling online uit te besteden om er "kwantumversleuteling" (wat dat tegen dan ook moge zijn) op toe te passen, en dat lijkt me behoorlijk onwenselijk voor evidente redenen...
Kopie van Opmaak1, dat staat er onder andere in de titel van hun publicatie. Dat is toch amateurisme om van te huilen, of niet? :'(

En dat moet dan helpen om ons land veilig te houden. Ja, LOL!

De grootte van het bestand zou haast suggereren (5MB voor een plaatje en twee pagina's tekst) dat het vol met exploits zit, maar waarschijnlijker is dat er gewoon een compleet kansloze documentpublicatietechnologie achter zit.

Heb je de kans om te laten zien dat je als overheid iets kunt, faal je nog steeds zo hard op de simpelste dingen.
De voorbereidingen zijn al lang in gang gezet, het wachten is op het aflopen van een aantal patenten. Een voorbeeld is NTRU waarvan een belangrijk patent in 2017 verloopt.

https://en.wikipedia.org/wiki/NTRU
De AIVD stelt dat bedrijven die informatie voor langere tijd vertrouwelijk willen of moeten bewaren een migratieplan moeten opstellen. Het Nationaal Bureau voor Verbindingsbeveiliging, dat samenwerkt met onder andere de TU Delft, krijgt van de AIVD input om samen met de Rijksoverheid dergelijke migratieplannen op te stellen.
Begrijp ik het goed dat de AIVD gaat meehelpen om computers te beveiligen? Hun core business is toch juist heimelijke informatievergaring? Volgens
Tweakers is het Nationaal Bureau voor Verbindingsbeveiliging onderdeel van de AIVD. Willen bedrijven hun data of hun beveiligingsmechanismen wel delen met de AIVD?
Een geheime dienst die niet oproept tot versleuteling van informatie? Sorry, heb ik even niet opgelet?

[Reactie gewijzigd door m24 op 15 april 2015 15:43]

Anders kunnen ze er zelf niet meer bij, snap je toch wel!?! ;)

Whoops.. thanks @LankHoar

[Reactie gewijzigd door Falcon op 15 april 2015 14:47]

Volgens mij begrijpen jullie het verkeerd. De AIVD roept niet op tot het niet versleutelen van informatie, maar het beter versleutelen hiervan, omdat huidige technieken over niet al te lange tijd achterhaald en makkelijk kraakbaar zullen zijn.
oeps ja, die niet hoorde er niet tussen :)
Gevalletje: 'pas op, onze subsidie wordt verkleind - wat de NSA kan kunnen wij ook' ?
Is dit geen verantwoordelijkheid van de andere club NCSC/ ( Directie Cyber Security (DCS)) ? Valt onder hetzelfde ministerie, maar kleine nuance.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True