PQCrypto komt met eerste aanbevelingen voor post-kwantumcomputercryptografie

Beveiligingsonderzoekers van het Europese project PQCrypto hebben een advies uitgebracht om nu al cryptografische beveiliging in te voeren die ook voor lange tijd niet door kwantumcomputers gekraakt kan worden.

pqcrypto Het rapport raadt cryptografische technieken aan die bestand zijn tegen rekenarij van kwantumcomputers voor verschillende encryptiemethodes, zoals symmetrische encryptie, symmetrische authenticatie, publieke-sleutelencryptie en -ondertekening. De adviezen zijn gekozen omdat de onderzoekers ervan uitgaan dat ze nog lange tijd veilig zullen blijven en niet omdat ze efficiënt zijn. Toekomstig onderzoek moet leiden tot beter bruikbare en efficiëntere systemen.

Ondanks dat de eerste werkbare kwantumcomputers niet binnen tien jaar verwacht worden, achten de onderzoekers het verstandig systemen nu al te beveiligen tegen kwantumcomputers. De machines zullen verschillende veelgebruikte methodes tegen die tijd waarschijnlijk kunnen kraken. Zo zijn asymmetrische methodes zoals rsa-sleutels in relatief korte tijd te kraken door kwantumberekeningen uit te voeren. Symmetrische methodes met lange sleutels zijn daarentegen ook veilig tegen het kwantumgeweld.

Bij de symmetrische encryptiemethodes adviseert het team AES of Salsa20 met een sleutellengte van 256 bits. Voor symmetrische authenticatie adviseren de onderzoekers gebruik te maken van het Galois/Counter Mode-proces en Poly1305. Voor het beveiligen van publieke sleutels, wordt McEliece aangeraden omdat dit al sinds 1978 bestudeerd wordt en aanvallen tot nu toe goed weerstaan heeft, ook die met het gebruik van kwantumcomputers. Digitale handtekeningen moeten gebruik gaan maken van XMSS of Sphincs. Een van de problemen is wel dat het benodigde geheugen om de publieke sleutels op te slaan erg groot wordt.

Het probleem met mogelijk toekomstige kwantumcomputers is dat iemand nu bijvoorbeeld kan besluiten gecodeerde boodschappen op te slaan en deze in de toekomst wel kan ontcijferen. Daarom geeft PQCrypto het advies nu al te werken aan deze toekomstbestendigheid. Het onderzoeksprogramma onder leiding van Tanja Lange van de TU Eindhoven begon in april van dit jaar en heeft een onderzoeksbudget voor de komende jaren van in totaal 3,9 miljoen euro.

IT-banen

Reacties (35)

AmirIHz 8 september 2015 21:10

"Voor het beveiligen van publieke sleutels, wordt McEliece aangeraden omdat dit al sinds 1978 bestudeerd wordt en aanvallen tot nu toe goed weerstaan heeft, ook die met het gebruik van kwantumcomputers."

Volgens mij is het McEliece-cryptosysteem in 2008 gekraakt:
http://www.hyperelliptic.org/tanja/press/mceliece.html

"In 2008 waren Bernstein, Lange en Peters [3] de eersten die een succesvolle aanval pleegden op een McEliece cryptosysteem, dat gebruikmaakte van de waarden voor de parameters die in 1978 waren gesuggereerd (n=1024, k=524, t=50). Dit deden ze door middel van 'low-weight codewords'. In hun artikel suggereren ze ook een aantal verbeteringen voor het McEliece crytposysteem, zodat het niet meer vatbaar is voor deze aanval. Zij stellen nieuwe waarden voor n, k en t voor, voor verschillende niveaus van beveiliging." (Bron: Wikipedia)

Auteur

letatcest @AmirIHz • 8 september 2015 21:18

Dit staat in de pdf van PQCRYPTO:

For public-key encryption the currently used algorithms based on RSA and ECC are easily broken by quantum computers. Code-based cryptography has been studied since 1978 and has withstood attacks very well, including attacks using quantum computers. PQCRYPTO recommends the following parameters as included in McBits to achieve 2^128 post-quantum
security:

McEliece with binary Goppa codes using length n = 6960, dimension k = 5413 and adding t = 119 errors.

Kan het nu even niet toevoegen, zit niet op normale compu...

Rev-anche @AmirIHz • 8 september 2015 21:28

Dat word ook duidelijk in de link die je plaatst, namelijk
U/e press release, October 23th, 2008 (in Dutch), Link. :

TU/e kraakt internetbeveiliging van de toekomst
TU/e-onderzoekers zijn erin geslaagd de code van het zogeheten McEliece-encryptiesysteem te kraken. Dit systeem is een kandidaat voor de beveiliging van internetverkeer in het tijdperk van de kwantumcomputer -de voorspelde supersnelle computer van de toekomst.Tegelijk met de kraak presenteerden de wetenschappers een nieuwe sleutel..
De aanval is afgelopen weekeinde gelukt met hulp van een groot aantal gekoppelde computers in de hele wereld. Dit laat TU/e-hoogleraar Tanja Lange weten. Zij en haar promovenda Christiane Peters presenteerden vervolgens een nieuwe sleutel waarmee de McEliece-code wél tegen kwantumcomputers bestand is.
De gebruikte software kan het McEliece-encryptiesysteem met de rekenkracht van honderd computers binnen veertien dagen kraken. De kraak werd onlangs uitgevoerd met behulp van enkele tientallen computers, verspreid over de hele wereld, aldus Lange.
Momenteel gebruiken banken de RSA-code uit 1977 voor het beveiligen van bijvoorbeeld elektronische transacties. Een kwantumcomputer zal echter weinig problemen hebben om deze code te kraken, iets waarvoor een PC nu nog minimaal drie weken nodig heeft. Daarom zijn onderzoekers, vooruitlopend op de introductie van de kwantumcomputer (die volgens Lange nog minstens tien jaar op zich laat wachten), op zoek naar betere versleutelingsystemen. Professor Lange doet haar onderzoek in de groep Coderingstheorie en Cryptologie van de faculteit Wiskunde & Informatica.
bron

http://www.hyperelliptic.org/tanja/press/mceliece.html

Jack Flushell

@AmirIHz • 9 september 2015 08:00

Omdat je reactie nutteloos is en uit 1 woord bestaat misschien?

Kalief @AmirIHz • 8 september 2015 21:19

Die /tanja/ uit je link en die Lange uit je quote zijn dezelfde Professor Tanja Lange die in het artikel wordt genoemd als leider van het onderzoeksteam.

AmirIHz @Kalief • 9 september 2015 00:07

Je hebt helemaal gelijk. Op zich is dat dus positief. Maar toch, 100% onkraakbaar is het dus niet. Met andere waarden van de parameters is het misschien voor een tijd veilig(er), maar voor hoe lang?

[Reactie gewijzigd door AmirIHz op 24 juli 2024 15:46]

Verwijderd @AmirIHz • 8 september 2015 21:20

Tot nu toe goed weerstaan is b.v 1000 pogingen en maar 1 succesvol;)

AmirIHz @Verwijderd • 9 september 2015 00:08

Is dat goed weerstaan?

Polshoogte 9 september 2015 09:04

Ben ik nu de enige die nog iets van vertrouwen heeft in de overheid en haar uitvoerende diensten (politie, AIVD, MIVD)?
ALS de kwantumcomputer inderdaad ove tien jaar het levenslicht ziet, is dat niet direct een machine die je op de zolderkamers van internetcriminelen zult vinden en ik denk dat onze veiligheidsdiensten hun prioriteit hebben liggen bij het opsoren en volgen van de zware criminelen en terroristen. En daar hebben ze o.a. door steeds betere encryptiemethoden hun handen vol aan. Wie de politiek volgt en het geklaag aanhoort over de beperkte budgetten bij politie en AIVD/MIVD denk ik niet dat daar snel verandering in komt. Ik ben ook niet zo bang dat de gewone burgers zich nu zorgen moeten maken dat ze permanent in de gaten worden gehouden. En ja, dat daarbij de privacy van onschuldige burgers wordt aangetast is onvermijdelijk en zelfs precies waarvoor deze diensten bestaan.

begintmeta @Polshoogte • 9 september 2015 09:16

...dat daarbij de privacy van onschuldige burgers wordt aangetast is onvermijdelijk en zelfs precies waarvoor deze diensten bestaan.

De diensten bestaan in mijn beleving in principe om de boel veiliger te maken, niet om de privacy van onschuldige burgers aan te tasten. Dat dat wel gebeurt is kwalijk, maar hat kan wel worden afgewogen tegen de baten, waarbij ook moet worden afgewogen of besteding van de tijd&het geld aan (totaal) andere zaken niet misschien meer 'welbevinden' oplevert.. Die baten van massasurveillance zijn nogal vaag en onduidelijk , bij gerichte surveillance is dat een stuk duidelijker.

Dat het handig kan als bepaalde diensten in bepaalde gevallen het een en ander kunnen ontcijferen en gegevens vastleggen is denk ik wel redelijk te verdedigen, maar dat bepaalde andere (of toekomstige) diensten het dan ook kunnen, niet ten bate van de mensheid, is iets waar ook rekening mee moet worden gehouden.

Polshoogte @begintmeta • 9 september 2015 09:25

Besef wel eerst dat iedereen onschuldige burger is tot het tegendeel is bewezen in een rechtzaak. Wij hebben als samenleving de wens om aanslagen te voorkomen en hebben het voorbereiden ervan strafbaar gemaakt.
En om tot een verdenking en later veroordeling te komen is onderzoek nodig om bewijs te verzamelen tegen een tot op dat moment nog onschuldig, maar voor AIVD/MIVD interessant persoon.

Gerichte surveillance kun je ook pas uitvoeren nadat er een selectie op de resultaten van massasurveillance heeft plaatsgevonden en bepaalde personen de aandacht trekken. De enige vrees die ik heb als het gaat om beveiliging van data is dat gevoelige gegevens van (technologie) bedrijven, defensie of andere instellingen in andermans handen komen te liggen. De echte 'vijand' is m.i. buitenlandse overheden die aan (bedrijfs)spionage doen.

begintmeta @Polshoogte • 9 september 2015 10:56

Natuurlijk kunnen veiligheidsdiensten alleen gerichte surveillance doen als ze enige informatie hebben over op wie ze zich moeten richten, maar die informatie is zeker niet noodzakelijk afkomstig uit ongerichte massasurveillance over alle onschuldige burgers. Daarnaast is ook informatie aanwezig in het publieke domein, privacyaantasting is niet altijd nodig om informatie te vinden die aanleiding geeft voor nader onderzoek.
Hoe dan ook is het kort door de bocht te stellen dat het aantasten van de privacy van onschuldige burgers de bestaansreden is van veiligheidsdiensten, dat is eerder een ongewenste bijwerking.

EpicEraser @Polshoogte • 9 september 2015 09:26

Dan heb je nu twee uitersten genomen.
Bedenk je bijvoorbeeld ook dat een land waarin het slechter met mensenrechten gesteld is ook die informatie zou kunnen ontsleutelen. Overigens maakt het ook dingen spionage van bedrijven (waarvan bijvoorbeeld China sterk verdacht wordt) makkelijk.

En als laatste punt zou ik me juist wel zorgen maken dat je als gewone burgers permanent in de gaten wordt gehouden. Uiteraard zal er niet iemand constant kijken wat je doet, maar door steeds makkelijkere gegevensanalyse kan het grootste deel automatisch gebeuren. Misschien de droom van de AIVD, maar niet die van mij.

Bor Coördinator Frontpage Admins / FP Powermod @Polshoogte • 9 september 2015 09:44

ALS de kwantumcomputer inderdaad ove tien jaar het levenslicht ziet, is dat niet direct een machine die je op de zolderkamers van internetcriminelen zult vinden en ik denk dat onze veiligheidsdiensten hun prioriteit hebben liggen bij het opsoren en volgen van de zware criminelen en terroristen.

Ik denk dat je onderschat hoe snel techniek beschikbaar is voor de massa en ook hoe veel resources de georganiseerde internetcriminaliteit tot de beschikking heeft. Vergeet niet dat er potentieel ERG veel te halen valt wanneer je de huidige cryptografische methoden snel en makkelijk kunt kraken.

Het kraken of bruteforcen van encryptie gaat doorgaans niet met een huis-tuin-en-keuken pc maar met dedicated hardware, computer clusters etc. Je zou hier zelfs een botnet voor in kunnen zetten. Dat is nu al zo en dat zal in de toekomst alleen nog maar toenemen.

Verwijderd @Polshoogte • 9 september 2015 11:26

Eerlijk gezegd denk ik dat dit onderzoek te laat is om te voorkomen dat criminele hackers zich toegang verschaffen tot de gegevens over kwantum computing. Dit onderzoek suggereert dat er een wapen wedloop is, ik denk dat we die al gaan verliezen voordat die echt begint.

Op de dag dat de werkbare kwantum machines in het schap liggen hebben geheime diensten er al een batterij van. Grote criminele organisaties zullen ze ook al hebben, omdat men grof geld zal betalen voor informatie of hardware. Corruptie doet de rest.

De grootste criminele organisaties zijn verbonden aan overheden. Zo zal Rusland al snel een van de koplopers worden, samen met China. Nu is Putin zelf half crimineel en als ex'KGB mannetje snapt hij hoe de wereld werkt. Zijn vrienden zijn superrijke olie miljardairs. In Rusland is de maffia nauw verweven met de politiek.

De Russische maffia zal als een van de eersten een werkbare kwantum computer hebben en die inzetten om allerlei beveiligingen te kraken.

We wetew dat bedrijven beveiliging nog steeds niet heel serieus nemen. Over een aantal jaren maakt het niet meer uit want elke grote criminele organisatie breekt door alle barrières. Men zal lopende onderzoeken kunnen bekijken om te zien hoe ver justitie en het OM zijn met hun bewijsvoering. Men zal valse gegevens en sporen achterlaten. Men zal mensen chanteren met hun seksuele escapades.

We weten nu al dat de Russen spioneren hier in Nederland daar waar men bezig is met kwantum computerisering. Gegevens kunnen vandaag de dag al niet heel goed beschermd worden. Geen netwerk is echt veilig.

De enige echte beveiliging zal zijn om gegevens offline te bewaren. En dan nog laat men USB stokjes achter in treinen...

Dus ik denk dat de race al gelopen is voordat die echt begint. De Russische maffia maar ook andere superrijke criminele organisaties zullen alles doen om toegang te krijgen tot hardware en informatie. Ze hebben toegang tot miljarden aan fondsen,

Verwijderd 8 september 2015 20:39

Goed om te horen dat ze nu al zo erg bezig zijn met encryptie voor de toekomst. Maar zoals aangegeven alles wat nu al encryptie heeft is in de toekomst gemakkelijk te kraken. En gezien de grote van de sleutels en de eventuele kosten denk ik dat vrij weinig bedrijven dit nu al zullen gaan implementeren.

Terracotta @Verwijderd • 8 september 2015 20:45

Dat niet alleen, handtekeningen frauderen wordt dan ook een makkie, etc...
Gelukkig zijn er al methoden die duidelijk wel al werkbaar zijn.

Atomsk @Verwijderd • 9 september 2015 00:40

Dat wordt helemaal niet aangegeven. Het gaat specifiek over toekomstige quantumcomputers, niet over "de toekomst waarin alles toch wel te kraken zal zijn". Dat laatste weet je namelijk niet en dus kun je daar ook geen uitspraak over doen.

Bor Coördinator Frontpage Admins / FP Powermod 9 september 2015 09:02

Wat mij betreft een zinvol advies. Juist wanneer je encryptie gebruikt wil je er zeker van zijn dat je data beschermt is, niet alleen nu maar ook in de toekomst. Sommige huidige encryptievormen zijn met kwantumcomputers makkelijker tot eenvoudig te kraken. Je moet er eigenlijk altijd vanuit gaan dat "the next thing" om beveiliging te omzeilen al ergens beschikbaar en in gebruik is en je beveiliging hierop aan te passen. Ook zaken als public key encryptie zullen op een bepaalde dag niet meer veilig (genoeg) zijn.

Vergeet niet dat de enige onkraakbare encryptie op dit moment nog steeds de one time pad is (mits correct toegepast!).

Polshoogte @Bor • 9 september 2015 09:17

Ik hoor nu pas van deze methode maar begrijp met dank aan wikipedia ook meteen waarom dat zo is. Als one time pad wordt gebruikt om een bericht te versleuten middels een sleutel van gelijke grootte en deze sleutel bij de ontvanger moet worden gebracht (in de praktijk met koerier oid), kun je bijna net zo goed het origniele bericht per koerier laten versturen.

Bor Coördinator Frontpage Admins / FP Powermod @Polshoogte • 9 september 2015 09:40

Je zou het originele bericht kunnen versturen alleen is dat bericht dan gelijk leesbaar voor de koerier. Daar zit een wezenlijk verschil. Onderschep je het bericht dan kun je kennis nemen van de inhoud. Bij een one time pad stuur je het bericht en de sleutel doorgaans via totaal andere wegen en soms totaal andere tijdstippen. In het leger past men dit bijvoorbeeld soms toe.

Je maakt dus idealiter een scheiding tussen bericht en sleutel in tijd, te volgen route en personen etc.

Bas van Pelt 9 september 2015 00:42

We leven nu nog een paar jaar in het pre-kwantumcomputertijdperk. En de aanbevelingen zijn voor dit tijdperk. Zeker niet voor na het kwantumcomputertijdperk. Het lijkt me niet voor te stellen wat daarna wijsheid is. De titel 'PQCrypto komt met eerste aanbevelingen voor post-kwantumcomputercryptografie' lijkt me niet juist. Ik zou denken: 'PQCrypto komt met eerste aanbevelingen in verband met het komst van kwantumcomputerDEcryptografie'.

pim 8 september 2015 21:25

Ondanks dat de eerste werkbare kwantumcomputers niet binnen tien jaar verwacht worden, achten de onderzoekers

en aanvallen tot nu toe goedweerstaan heeft, ook die met het gebruik van kwantumcomputers

Zijn quantum computers gebruikt voor een aanval? Ze bestaan toch niet?

tedades @pim • 8 september 2015 23:01

Er loopt volgens mij nog een discussie over wanneer iets een 'echte' kwantumcomputer is. De kwantumcomputer van D-Wave doet volgens mij maar een deel wat van een volwaardige kwantumcomputer verwacht wordt.
Ik gok dat de testen op de bestaande machines zijn uitgevoerd en verwacht wordt dat als de volwaardige versies beschikbaar zijn er pas genoeg mogelijkheden zijn om uit te proberen of hun aannames kloppen.

Exitz @tedades • 9 september 2015 00:01

Ze zijn zeker echt QC maar niet universeel maar taak gericht!
http://www.eetimes.com/document.asp?doc_id=1326592

Exitz @pim • 8 september 2015 21:32

https://www.youtube.com/watch?v=CMdHDHEuOUE
Published on Oct 11, 2013
A peek at the early days of the Quantum AI Lab: a partnership between NASA, Google, USRA, and a 512-qubit D-Wave Two quantum computer. Learn more at http://google.com/+QuantumAILab

Standeman @pim • 9 september 2015 08:39

oeps.. verkeerd

[Reactie gewijzigd door Standeman op 24 juli 2024 15:46]

MarvinJames 9 september 2015 08:11

Potverdorie! Mooi Scrabble woordje dat postkwantumcomputercryptografie.

Is deze cryptografie iets wat 'achter de schermen' gebeurd? Als in, ik als normale computergebruiker, ga ik hier in de praktijk iets mee moeten doen? Of ga ik gewoon met systemen werken die dit onder de motorkap faciliteren? Of zie ik dit helemaal verkeerd en is dit meer voor ICT-bedrijven / corporaties?

Standeman @MarvinJames • 9 september 2015 08:39

Het is natuurlijk koffiedik kijken, maar de eerste computers had ook niemand thuis staan en stonden alleen in onderzoekscentra en universiteiten. Ik denk dat je die machines wel enigzins kan vergelijken met de huidige stand van quantumcomputers.
Uiteindelijk zal er een "quantum-ibm-pc" gebouwd gaan worden welke quantumcomputers naar de gemiddelde mens brengt, maar dit kan zomaar nog 40 jaar duren als je kijkt naar het verleden.

EpicEraser @MarvinJames • 9 september 2015 09:18

Het principe is hetzelfde als huidige cryptografie maar het algoritme is anders.
Als zoiets geïmplementeerd wordt neem ik dus aan dat je er evenveel van zult zien als je nu van encryptie ziet, of dit nu veel of weinig is.

elmuerte 9 september 2015 00:16

Groep onder leiding van djb heeft voorkeuren voor djb algoritmes, zet je wel te denken waar de rest van de crypto wereld mee bezig is.

springtouwtje @elmuerte • 9 september 2015 08:47

"Wij van WC-eend adviseren WC-eend"

Verwijderd 9 september 2015 16:17

Sinds wanneer verkoopt de kwantum computers?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (35)

Sorteer op:

Weergave: