Google test Chrome-verbindingen die kwantumcomputers niet kunnen kraken

Google test verbindingen tussen de Chrome-browser en zijn servers die gebruikmaken van 'post-quantum cryptografie'. Het bedrijf wil zich hiermee voorbereiden op de komst van kwantumcomputers, die sommige van de nu in gebruik zijnde encryptiemethodes kunnen kraken.

Het experiment is ingeschakeld bij Chrome Canary voor enkele Google-domeinen en voor een beperkte groep connecties. Gebruikers kunnen zien of de verbinding 'post-quantum'-versleuteld is door de tekst 'CECPQ1' bij het beveiligingspaneel.

Die verbinding maakt dan gebruik van New Hope, een versie van een zogenoemd ring-learning-with-errors-based-sleuteluitwisselingsprotocol dat gecombineerd is met OpenSSL en dat tls bestand moet maken tegen kraken door kwantumcomputers. De beveiliging is aanvullend op de standaard sleuteluitwisseling op basis van elliptische krommen.

Na twee jaar stopt het experiment en Google streeft er niet direct naar van New Hope een standaard te maken, ook omdat er veel ontwikkelingen op dit gebied zijn.

Google A New Hope

Reacties (46)

Flumble 8 juli 2016 00:32

Hè, ik had de hoop dat iemand in de comments al tot in detail zou hebben uitgelegd hoe New Hope werkt. Wie biedt zich aan?

Waarom wordt bijvoorbeeld nog gebruik gemaakt van ECDSA of RSA bij NH?

De paper heeft wel een paar diagrammetjes, maar daar word je niet echt iets wijzer van. Het enige dat me zo opvalt is

For the same reasons as described in [18] we opt for an unauthenticated key-exchange protocol; the protection of stored transcripts against future decryption using quantum computers is much more urgent than post-quantum authentication.

edit:
quotes werken met tags

[Reactie gewijzigd door Flumble op 22 juli 2024 22:58]

Armin

Encryptie

@Flumble • 8 juli 2016 01:45

Er wordt nog steeds een DHE (of variant ECDHE) gebruikt voor key uitwisseling, maar geen RSA. (ECDSA is een certificaat encoding vorm, je bedoelt waarschijnlijk ECDHE ?)

Het idee is echter ipv getallen uitwisselen, je polynomen uitwisselt. Je kiest dan uiteindelijk ene punt op die polynoom. Bij normale DHE is het idee dat beide zijden hun eigen geheime getal uitwisselen na een bereking uit te voeren. De uitkomst van die berekening wordt verstuurd. Deze berekening is heel moeilijk om te draaien en het oorspronkelijke geheime getal te vinden. Beide kanten doen dit waarbij de ene kant de uitkomst van de andere kant verwerkt in zijn berekening. Dan uiteindelijk vermeningvuldigen beide kanten de uitgewisselde getallen en 'magisch' (harde wiskunde

) rolt er aan beide kanten hetzelfde getal uit. Dit is je geheime sleutel die je voor opzetten van de TLS verbinding gebruikt.

In dit geval wordt door beide zijden geen getallen gebruikt, maar polynomen. Wederom worden die door een berekening gehaald en verstuurd. Maar als input van die berekening worden naast hun geheime polynoom, twee andere polynoomen als ruis toegevoegd. Deze zijn echter verschillend aan beide kanten. Gewoon vermeningvuldigen zou dus niet werken om op dezelfde polynoom uit te komen. Maar men kiest wel gelijke genoege ruis polynomen dar er een methode is om toch een gelijk punt (getal) te vinden dat op de curves past. beide kanten komen nu op een polynoom uit die bijna gelijk is, en een van beide kanten stuurt informatie om de juiste plek te kiezen op die polynoom. Aamn beide kanten komt dan als het goed is toch hetzelfde getal eruit.

Klinkt ingewikkeld? Is het ook, en ikzelf snap het ook nog niet geheel. Maar het kernidee is dat die polynomen minder vatbaar zijn dan klassieke DHE voor quantum computers. Waarom? Dat is iet wat ironisch genoeg nog niet bewezen is. Het is waarschijnlijk, maar niet bewezen.

Merk verder op dat gewone encryptie ook niet zonder slag of stoot valt. DHE is potentieel veel zwakker, maar ECDHE al weer niet. En AES256 wordt ook als veilig gezien. Het grote punt is meer dat security mensen al zenuwachtig worden als iets niet meer gegarandeerd in het astronomische valt. Immers als dat niet gegarandeerd is, kan het wellicht gekraakt worden ...

Men weet dus ook niet echt hoe sterk quantum computers zijn (want buiten R&D bestaan ze ook niet echt), maar kan niet garanderen dat sommige van de huidige zwakkere algorithmen niet dan wellicht haalbaar worden.

Rafe @Armin • 8 juli 2016 09:17

De algoritmes die de echtheid van de certificaten aantonen binnen TLS zijn nog wel RSA/ECDSA en dus niet kwantum-proof. Zoals de auteurs al schrijven is dat namelijk nu een theoretisch probleem en is het belangrijker om communicatie van vandaag veilig te stellen tegen toekomstige decryptie zodra kwantumcomputers realiteit zijn.

frank87 @Armin • 8 juli 2016 23:50

Gebaseerd op een onbewezen stelling, weinig begrepen, tegen een voorlopig nog niet bestaand gevaar...
Heb ik een aluhoedje op als ik niet uitsluit dat dit een truc is van de NSA om onbetrouwbare encryptie de wereld in te sturen?

frank87 @Armin • 9 juli 2016 00:12

Ik ben niet zo goed thuis in de technische details, maar ik merk dat het maken van sleutels veel tijd kost. Dat suggereert dat die x bits van de sleutel niet helemaal willekeurig zijn. Is dat bij die polynomen wel zo?

Dat zou wel een winst zijn:
- De kans dat het gekraakt wordt wordt minder: Stel je voor dat iemand het voor elkaar krijgt dat hij alleen nog maar de reële sleutels moet testen, hoeveel bits houdt hij dan nog over.
- Het gebruiksgemak wordt beter omdat het genereren makkelijker wordt.

Armin

Encryptie

@frank87 • 9 juli 2016 00:25

maar ik merk dat het maken van sleutels veel tijd kost. Dat suggereert dat die x bits van de sleutel niet helemaal willekeurig zijn. Is dat bij die polynomen wel zo?

Je hebt gelijk dat DHE software implementaties soms shortcuts maken. Meestal door eenmalig (per dag/week/maand of zo) een key te bereken op basis van het certificaat ipv zoals soms gedacht per sessie. Maar de randomheid per maan/week/dag-key zou wel correct moeten zijn.

Hoe dan ook, dit probleem wordt niet groter of kleiner bij polynomen. De rekenkracht is zelfs bovendien niet heel veel groter. Dus ik denk dat men soortgelijke optmimalisaties blijft gebruiken.

De hoeveelheid data die overgestuurd moet worden is wel groter, dus dat is meer een probleem. Ook dat er een expliciete roundtrip nodig is, dus anders dan bij gewone DHE waar beide kanten async al hun getallen kunnen dorosturen, de ene eerst op de andere moet wachten. Dat kan echter opgevangen worden met bestaande technieken als TLS sessie tickets. Die ik verwacht niet dat men hierdoor de algorithmen zelf zal afzwakken.

Jantje2000 7 juli 2016 22:03

Heel mooi dat bedrijven die veel privacy gegevens op kunnen/moeten/willen opslaan toch goed nadenken over de beveiliging. Hopelijk zorgt Google er voor dat deze encryptie ook op andere websites kan worden gebruikt.

johnkeates @Jantje2000 • 7 juli 2016 22:33

Natuurlijk kan dat, de code is open source: https://chromium.googleso...eedce8b100d3a5aae9bcca6a3

vsub @Jantje2000 • 7 juli 2016 22:23

Júist omdat bedrijven zoals Google zoveel persoonlijke gegevens opslaan, moet dit over een zo veilig mogelijke verbinding verzonden worden. Buiten het feit dat ze niet willen dat deze gegevens bij concurrenten terechtkomen, is dit een morele (en in veel landen ook wettelijke) verplichting.

Verwijderd @vsub • 8 juli 2016 03:32

Het is niet zozeer de gegevens, maar het risico dat alle hedendaagse beveiliging met Quantum computing zo omzeild kan worden. Er moet worden gewerkt naar next level quantum security en dit beschouw ik ook als een proefballon van google die vooruitstrevend hierin is.

Verwijderd @vsub • 8 juli 2016 00:32

Persoonlijke gegevens opslaan is een (verwerpelijke) keuze.

CivLord

@Verwijderd • 8 juli 2016 09:29

Het ligt er maar net aan met welk doel de gegevens worden opgeslagen.
Ik ben toch erg blij dat emailprovider de naar mij gestuurde emails opslaat voordat ik deze op kan halen.

Armin

Encryptie

@Verwijderd • 8 juli 2016 01:19

Gratis bestaat nu eenmaal niet. Die Android ontwikkeling, zoekmachine, etc moet toch ergens betaald van worden

Je hoeft het immers iet te gebruiken....

Mizgala28 @Armin • 8 juli 2016 01:42

Niet gebruiken betekend niet dat ze je niet volgen, ook zonder Android telefoon.

TwArbo 7 juli 2016 22:07

Maar hoe weten ze nou echt zeker dat dit werkt? Want ik heb altijd gelezen dat kwantum computers alles kunnen kraken, omdat ze zowel 0 als 1 kunnen zijn.

[Reactie gewijzigd door TwArbo op 22 juli 2024 22:58]

Rafe @TwArbo • 7 juli 2016 22:29

'Alles' is ook weer zo veel

Het algoritme van Shor zou het kraken van Diffie-Hellman (key exchange) binnen afzienbare tijd mogelijk moeten maken op kwantumhardware, en daar test Google nu CECPQ1 voor.

Zodra er een shared secret is afgesproken schakelt men over op symmetrische encryptie in TLS. Als je daar een sterke variant van gebruikt (zoals 256 bits AES GCM in screenshot) wordt voorlopig veilig genoeg geacht, ook al wordt de effectieve hoeveelheid bits key length door twee gedeeld. 128 bit AES op gewone hardware kraken duurt miljarden jaren.

edit:
Scherp opgemerkt van (id)init!

[Reactie gewijzigd door Rafe op 22 juli 2024 22:58]

Verwijderd @Rafe • 7 juli 2016 23:50

256 bits gedeeld door 2 is 255 bits ...

Laloeka @Verwijderd • 8 juli 2016 01:38

Een hoeveelheid [iets] van 256 door 2 delen geeft je een hoeveelheid [iets] van 128.

Wanneer je een aanval kunt uitvoeren waardoor je effectief maar 128 bits overhoudt, heeft dat dus een enorme impact op de veiligheid (een factor 2^128 zelfs). Maar zoals Rafe aangeeft, zou dit dus alsnog miljoenen jaren duren op huidige technologie.

hjansen2 @Verwijderd • 7 juli 2016 23:54

256:2 is 128, of ben ik nu gewoon een domme MBO student?

MacD @hjansen2 • 8 juli 2016 00:07

Denk binair:

met twee bits kan je van 0 tot 3 tellen (11, oftwel 4 waarden, 2^2)
met drie bits kan je van 0 tot 7 tellen (111, oftwel 8 waarden, 2^3)
met vier bits kan je van 0 tot 15 tellen (1111, oftwel 16 waarden, 2^4)

Als je zegt dat je het aantal bits deelt door twee, dan klopt wat je zegt. (id)init maakt de grap dat 2^4/2=2^3, dus als je het aantal waarden die 256 bits aan kunnen geven deelt door twee, je overblijft met het aantal waarden dat weergegeven kunnen worden door 255 bits.

AmirIHz @MacD • 8 juli 2016 00:29

Oftewel 2^256/2=2^255

frank87 @MacD • 8 juli 2016 23:43

Maar dat is niet wat er staat: De halve sleutellengte is niet de helft van het aantal mogelijke sleutels, maar de wortel.
Als de quantumcomputer er maar 1 bit vanaf kon schrapen, maakte dat op niemand indruk.

MacD @frank87 • 19 juli 2016 00:41

Sorry, frank87, je snapt t niet.

kzin

@TwArbo • 7 juli 2016 22:18

Dat weten ze ook nog niet:

The post-quantum algorithm might turn out to be breakable even with today's computers, in which case the elliptic-curve algorithm will still provide the best security that today’s technology can offer.

Voorlopig hebben we dus een dubbele encryptie.

Zoijar 8 juli 2016 00:06

Additionally, Google researchers, in collaboration with researchers from NXP, Microsoft, Centrum Wiskunde & Informatica and McMaster University, have just published another paper in this area.

Leuk om te zien dat Nederland ook weer voorop loopt

Bensimpel @Zoijar • 8 juli 2016 00:36

NXP is trouwens ook Nederlands he

AmirIHz 7 juli 2016 23:47

Apart dat ze OpenSSL gebruiken en niet hun eigen OpenSSL-fork BoringSSL.

kdekker @DamirB • 7 juli 2016 22:44

Versleutelen zegt alleen iets over de moeilijkheid om voor andere de gegevens in te zien, niet iets over wat zender en ontvanger (al dan niet bewust) naar elkaar toesturen. Google (en iedere andere stukje software) kan jouw PC/laptop/smartphone leegplukken op informatie en dat versleuteld opsturen naar een server waar de softwaremaker toegang toe heeft. Met al die snelle internetverbindingen, die nagenoeg ieder apparaat heeft, samen met de rekenkracht en onbenul van eindgebruikers, kan er ongemerkt van alles aan informatie verstuurd worden.

Je moet echt je best doen om te controleren wat er allemaal van je PC verstuurd wordt. Ook experts die het wel weten hoe het moet, controleren niet iedere bit die de deur uitgaat.Op een beetje computer draaien zo honderden processen, die allemaal iets met netwerk kunnen doen :-). Firewalls helpen wel, maar niet als je overal lukraak akkoord voor geef.

Rafe @DamirB • 7 juli 2016 22:48

Eerlijk vind ik dit wel apart, Google verzamelt zoveel mogelijk informatie over je en dan dit.

De enige soort partijen die een belang heeft bij open/onversleutelde verbindingen zijn de NSAs van deze wereld zodat ze ongestoord metadata kunnen verzamelen. Bedrijven houden die data liever voor zichzelf zodat ze er geld aan kunnen verdienen. Daarnaast is het momenteel ook trendy om hier mee bezig te zijn. Google heeft dus genoeg motief om dit te doen.

Verwijderd @DamirB • 7 juli 2016 23:30

Security != Privacy != Anonimity

Coffee @DamirB • 7 juli 2016 22:29

Ik vindt het niet apart (of amusant) hoeveel -1 je krijgt, het is namelijk heel logisch. Hoewel Google inderdaad bekend staat als een data-hongerig bedrijf betekend dit niet dat dit voor elk nieuwsbericht over Google opnieuw besproken hoeft te worden. Wil je iets doen tegen de data honger van Google, doe het dan BUITEN Tweakers om en houdt het hier on-topic. Tenzij, natuurlijk, het 'topic' (lees: artikel) letterlijk om de data honger van Google gaat. Daarnaast ga je nu toch off-topic (en doe ik dat ook door te reageren op jou).

Zelf verwacht ik een -1/0 rating op mijn post.

Typo: Edit.

[Reactie gewijzigd door Coffee op 22 juli 2024 22:58]

DamirB @Coffee • 7 juli 2016 22:35

Ook ergens heb je wel gelijk. Maar door dit heel erg naar de media te brengen proberen ze voor de non-techies het te laten zien alsof ze heel goed met je privacy gevoelige data om gaan.

Gomez12 @DamirB • 7 juli 2016 22:58

Google en FB zijn juist een van de weinige bedrijven die echt goed met jou privacy gevoelige info omgaan.

Dat is namelijk hun kip met de gouden eieren.

Dat jij niet vrolijk wordt dat Google en consorten de gegevens die jij er vrijwillig heendraagt ook gebruiken dat is iets heel anders als dat ze er niet veilig mee om zouden springen.

In wezen werkt het heel simpel : Jij levert gegevens aan en Google en FB bewaren die echt extreem zorgvuldig.

kozue

Browsers

@Gomez12 • 8 juli 2016 08:37

Ik lever zelf geen gegevens aan google/fb. Dat doen anderen voor me. Ik probeer juist van ze weg te blijven (fb heb je niet nodig en duckduckgo is ook een prima zoekmachine), maar ze zijn op zoveel sites geintegreerd dat je moeite moet doen om niets van ze te laden. Kaartjes op sites, embedded videos (youtube), analytics, ads, social media knoppen, etc, welke site vind je ze tegenwoordig niet? Daarom heb ik, en met mij een hoop anderen, een hekel aan google gekregen. Ze verpesten het hele internet met hun datahonger.

Als je ze kon negeren was het lang zo erg niet. Ik had vroeger een hekel aan windows omdat het je opgedrongen werd. Tegenwoordig heeft windows nog veel meer redenen om het te haten (zoals ingebouwde spyware in w10 die lastig uit te zetten is), maar omdat ik er niet echt meer mee in aanraking kom (thuis en op kantoor gewoon linux) heb ik er ook geen hekel meer aan. Google en FB hebben echter een hoop mogelijkheden om je toch te volgen ook al probeer je ze te vermijden. Ik denk dat daarom die data-discussie iedere keer weer op gang komt. Google is gewoon een irritant bedrijf geworden en ik hoop dat ze een keer over de wettelijke streep gaan zodat hun producten via de rechter verboden kunnen worden in Europa. Dat is de enige manier om er van af te komen.

Amped @kozue • 8 juli 2016 10:18

Liever niet. Ik ben dolblij met Google Maps en Gmail.

Gomez12 @kozue • 8 juli 2016 11:29

Ik lever zelf geen gegevens aan google/fb.

Eh jawel, jij gaat naar websites die google integratie hebben en je hanteert geen whitelist.

Google en FB hebben echter een hoop mogelijkheden om je toch te volgen ook al probeer je ze te vermijden.

Nee hoor, alleen moet je denkwijze om. In plaats van dat je bij het hele internet kan (wat dus inherent ook inhoud Google en FB) zal je jouw sites moeten definieren en whitelisten.
Gewoon enkel sites whitelisten / toestemming geven waar je wel naartoe wilt en dan heb je helemaal geen last van Google en consorten.

Alleen tja, dan moet de gebruiker opeens iets gaan doen en kan die niet meer lui achterover hangen, dus dat is dan ook bijna nooit een optie.

Coffee @DamirB • 7 juli 2016 22:41

Opzich gaat google zelf ook goed met je privacy om. Ik dacht dat het niet zo was dat ze letterlijk je informatie verkopen, maar adverteerders meer de mogelijkheid geven om hun advertenties te richten. In dat geval behouden ze de data alleen daar voor, en ziet de adverteerder niet precies wat jou gegevens zijn (maar Google zelf natuurlijk wel).

Don't take my word for it; maar ik meen dat het zo zat.

vsub @SinergyX • 7 juli 2016 22:31

Onjuist: een veilige verbinding zorgt er alleen voor dat niemand tussen de browser en server de gegevens kan inzien. Met een proxy met SSL interception en een custom CA certificaat op je PC (of gewoon Fiddler) kan je prima alle gegevens bekijken...

[Reactie gewijzigd door vsub op 22 juli 2024 22:58]

D11 @vsub • 8 juli 2016 14:04

Moet de proxy wel New Hope ondersteunen.

DamirB @SinergyX • 7 juli 2016 22:17

Inderdaad, maar ik vind persoonlijk dat er ook over privacy op het internet en vooral de gevolgen later, voorlichting moet worden gegeven.

Bijv. gezichts herkenning nu doen ze er relatief weinig meer maar denk aan de toekomst met alle nieuwe technologieën. Dat op straat reclames op jouw gepersonaliseerd worden als je bijvoorbeeld in een rij staat.

Verwijderd @DamirB • 7 juli 2016 22:56

Dit gaat over encryptie van verbindingen, je statement over privacy is waar maar offtopic hier.

djwice

@DamirB • 7 juli 2016 23:27

In Delft is er een hotel met een Robot die jouw gezicht 180 dagen onthoud alsook de dialogen die je met hem had, en waar hij met je naartoe is geweest.

Dus bij binnenkomst groet hij je bij naam, in je eigen taal, en vraagt hoe de vis gesmaakt heeft die hij je vanochtend aanbevolen heeft. Hoe het Prinsenhof was, want daar zou je naar toe gaan, etc.

De toekomst is nu!

[Reactie gewijzigd door djwice op 22 juli 2024 22:58]

The Bula King @djwice • 8 juli 2016 21:43

ik zie het al gebeuren.
"Goedendag meneer de vis, Wilt u vandaag weer naar de hoeren gaan?"

djwice

@The Bula King • 8 juli 2016 22:14

Wellicht dat schuinsmarcheerder dat zelfs opprijsstellen, je weet maar nooit.

Op dit item kan niet meer gereageerd worden.

Google test Chrome-verbindingen die kwantumcomputers niet kunnen kraken

Lees meer

Reacties (46)

Sorteer op:

Weergave: