Cryptoloog TU/e waarschuwt voor quantumcomputers die snel encryptie kraken

Cryptoloog Tanja Lange van de Technische Universiteit Eindhoven waarschuwt voor het effect dat quantumcomputers kunnen hebben op de beveiliging van data. Encryptie die nu niet snel genoeg te kraken is, zal met quantumcomputers makkelijker te kraken zijn.

Onderzoekers werken volgens het artikel in Nature van Lange en haar Amerikaanse collega Daniel Bernstein van de Universiteit van Illinois aan betere encryptie, maar die vragen veel bandbreedte en dat is een groot nadeel voor implementatie.

Die implementatie moet volgens Lange snel beginnen, omdat het na het maken van de versleutelingstechniek vijftien tot twintig jaar kan duren voor zij in algemeen gebruik is. Quantumcomputers staan nu nog in de kinderschoenen, maar de techniek zou over acht tot tien jaar al een stuk volwassener kunnen zijn.

Als kwaadwillenden kunnen gaan beschikken over quantumcomputers, kunnen ze veel van de informatie die nu veilig versleuteld staat opgeslagen, gaan ontsleutelen. Daarmee wordt veel informatie die geheim moet blijven, waaronder privégegevens in bijvoorbeeld medische dossiers en financiële databases, ineens toegankelijke informatie. Het pleidooi om snel een betere versleuteling in te voeren is niet nieuw. Lange waarschuwt er zelf al meer dan tien jaar voor en ook andere wetenschappers roepen daartoe al langer op.

Door Arnoud Wokke

Redacteur Tweakers

13-09-2017 • 20:18

86

Reacties (86)

86
82
68
11
0
10
Wijzig sortering
Zowel Daniel Bernstein (djb) als Tanja Lange roepen dit al tijden. Ze hebben in de kern gelijk, maar ze nemen in dit argument mijns inziens iets te makkelijk voor lief dat grote kwantumcomputers een gegeven zijn in de toekomst. Die aanname is niet heel erg onderbouwd: hoe wel er zeker vooruitgang bestaat in de ontwikkeling van kwantumcomputers - en het door de naam 'computer' verleidelijk is om te denken aan een soort eeuwige vooruitgang - is het totaal niet duidelijk of een kwantumcomputer van een bepaalde omvang of complexiteit geen onoverkomelijke theoretische of praktische problemen met zich meebrengt. We moeten zeker voorbereid zijn op een 'postkwantumwereld', maar een dergelijke kwantumapocalyps is niet zo vanzelfsprekend als wordt gesuggereerd.

djb en Tanja Lange hebben zelf 'traditionele' cryptografie opgelost. Ze zijn de bedenkers van Curve25519, een assymetrisch cryptosysteem dat efficient en eenvoudig is en een van de weinige gangbare elliptische krommen die geen mysterieuze getallen bevat. Ze hebben Chacha20 en Poly1305 uitgevonden die praktische problemen van toepassingen symmetrische ciphers oplossen. Er zijn niet zoveel dingen meer op te lossen in 'traditionele' cryptografie (door hun eigen toedoen), dus ik kan me niet aan de indruk onttrekken dat ze zelf gewoon interessantere puzzels zoeken om op te lossen.
Een quantumcomputer is zoiets als een lotto-deelnemer die op het moment dat de uitslag bekend wordt gemaakt ook een briefje in handen heeft met de winnende combinatie.

Een quantumcomputer kan dus niet de uitslag van de loterij voorspellen, maar kan wel de dag tevoren een briefje in een envelop stoppen, en als je de envelop na de uitslag open maakt, staat er de winnende combinatie op. Maar als je de envelop eerder open maakt staat de winnende combinatie er dus niet op!

Dat maakt 'm super voor kraken, want vrijwel alle asymetrische encryptie is gebaseerd op het principe dat het makkelijk is om uit te rekenen dat 3x7x5=105 maar gegeven "105" is het lastig om te berekenen dat je daarvoor de priemgetallen 3, 5 en 7 moet vermenigvuldigen. Een quantumcomputer weet gegeven de uitkomst "105" heel snel de opgave "3x5x7" te raden.

De eigenschap druist in tegen wat we in de wiskunde "weten". Er is geen wiskundig algoritme bekend dat een getal snel kan ontbinden in factoren. Als we een machine kunnen bouwen die dat wel kan, dan zou die logischerwijs wel zo'n algoritme implementeren. Maar als een machine het kan implementeren, waarom kunnen wij 't dan niet wiskundig beschrijven? Daar wringt bij mij de schoen, mij lijkt 't makkelijker een efficiente ontbind-in-factoren machine te bouwen, dan een algemene quantum computer. Dus als we quantumcomputers kunnen bouwen in een omvang die echt nut heeft, dan hadden we die ontbinder al kunnen hebben en die alleen al is voldoende om de meeste asymetrische encryptie om zeep te helpen.
Een manier om data perfect te beveiligen is door de sleutel even lang te maken als de uitgewisselde data. Je moet dan echt alle mogelijke combinaties uitproberen bij een brute force, waardoor je nooit kan achterhalen wat het echte bericht is. Het zwakke punt is natuurlijk het uitwisselen van deze enorme sleutels (rekencapaciteit+tijd) en de verdubbeling van de hoeveelheid data, tenzij beide partijen deze sleutels al eerder hebben uitgewisseld.
Klopt,dat is alleen niet het soort encryptie dat veel last heeft van Quantumcomputing. Voor symmetrische encryptie blijft AES ook werken na de komst van Quantumcomputers. Wellicht dat dat er naast AES 256 nog 512 en groter moet komen, maar dat blijft een stuk handiger dan one time pads ;)

PKI gebaseerde oplossingen die op een efficiënte manier voor grote groepen mensen en machines certificaten uitwisselen maken gebruik van heel andere wiskundige concepten. Die concepten gaan uit van berekeningen die voor computing zoals we die kennen heel rekenintensief is, maar voor Quantumcomputing zijn die juist een heel stuk eenvoudiger, daar komt dit probleem vandaan.

Ik was een paar jaar geleden bij een serie lezingen waarbij cryptografen en quantum computing mensen hun visie op deze onderwerpen gaven (Tanja Lange was daar bij, en ook Joan Daemen (medebedenker van AES). De paneldiscussie daarna was erg leuk, men was het niet helemaal met elkaar eens maar de eindconclusie was zo'n beetje dat ze efficiënte fusie eerder verwachtten dan quantumcomputers met de power om een probleem te vormen. Maar dat was een paar jaar geleden en de wetenschap gaat vooruit :)

Edit: sessie was bij KPN en is hier te bekijken.

[Reactie gewijzigd door Jheroun op 31 juli 2024 10:28]

De vraag is of er echt veel betere encryptie nodig is dan AES. Het bekendste algorithme, Shor's algorithm, is maar O(sqrt(n)) sneller. Dit betekent dat je 256 bit key voor gewone computers vergelijkbaar wordt met een 128 bit key. Een stuk lager maar dit duurt nog steeds lang om te kraken.

Andere encryptie methodes die vaak gebruikt worden voor assymetrische encryptie zijn wel gevoeliger.
https://security.stackexc...ble-via-quantum-computers

[Reactie gewijzigd door jfdaniels op 31 juli 2024 10:28]

Ik denk dat ze zich misschien wel beseffen dat het niet zeker is dat kwantumcomputers gemeengoed worden, maar...stel dat ze gemeengoed worden, dan is encryptie wel eenvoudig te kraken. Dus misschien is het goed om daar alvast op voorbereid te kunnen zijn, maar wel in het achterhoofd houdende dat kwantumcomputers misschien geen gemeengoed worden.
Anoniem: 677216 @Nas T13 september 2017 22:50
Als quantumcomputers gemeengoed worden, zal er veel aandacht naar de ontwikkeling van nieuwe encryptiemethoden gaan. Wat gevaarlijker is, is de situatie dat slechts enkelen (overheden, grote bedrijven, grote criminele organisaties) een quantumcomputer hebben. De effecten zijn dan veel minder zichtbaar, waardoor het ontwikkelen van goede encryptie veel minder prioriteit krijgt.
Het is vooralsnog erg lastig/onmogelijk gebleken om veel qubits aan elkaar te verstrengelen. Blijkbaar is het in de kwantummechanica zo dat verstrengeling van deeltjes instabieler wordt naar mate er meer interactie is met andere deeltjes. De wet van Moore gaat vooralsnog zeker niet op voor kwantumcomputers: de grootste priemgetallen die herleid kunnen worden zijn naar jaren nog slechts 3 x 5.
Er is nog geen enkele "quantum" computer op de markt waarbij er quantum verstrengeling optreed. Ze hebben hoogstens een paar andere kenmerken die er een beetje op lijken. Ze kunnen een specifiek deelprobleem oplossen. En het factoriseren van priemgetallen zit daar niet bij.
quantum computer zijn geen snellere versies van de huidige computers. Ze werken fundamenteel anders.
Het grootsje probleem is dat ze op dit moment met josephson junctions moeten werken die tot vrijwel het 0K moeten worden gekoeld. Hierdoor is de mogelijkheid veel schakelaars een probleem.
Op dit moment praat je over computers met 4 a 5 qubits. Er zijn niet zoveel priemgetallen onder de 16.
Dit betekent dat er een enorme koel installatie vereist is voor een chipje. Als er materialen gevonden worden die warmere qubits mogelijk maken is opschalen een stuk makkelijker.
Er bestaan nog geen quantum computers die op die fundamenteel andere manier werken. Dat is het hele probleem.
Als quantumcomputers gemeengoed worden, zal er veel aandacht naar de ontwikkeling van nieuwe encryptiemethoden gaan.
En daarom wil je er nu al vast over nadenken.
Het is allemaal leuk en aardig dat we betere encryptie gaan bedenken als we snellere computers hebben (bijvoorbeeld quantum computers), maar dat heeft geen impact op dingen die we nu encrypten.
Stel dat over 2 jaar een quantum computer gemaakt wordt, dan wil ik niet dat dan mijn cloud storage gekraakt wordt omdat ze nog met oude technieken versleuteld is.
Daarom wil ik dat de versleuteling nu opgevoerd wordt, zodat we niet achter de decryptie trend aan hobbelen.
In feite is het dus een kansberekening. Over hoeveel jaren is een kwantumcomputer gemeengoed. Is het over 8-10 jaar moeten we nu dus idd al opschieten. Is het over 20 jaar dan hebben we iets meer tijd.

Feit is denk ik wel dat de kans heel groot is dat een kwantumcomputer er binnen nu en 20 jaar gaat komen.
Stel dat de kans 10% is dat een kwantumcomputer en over 10 jaar is, dan zul je nu best al kunnen beginnen.
Hier wordt toch al veel mee gewerkt? Er zijn al tig projecten voor "post-quantum cryptography" die gebruik maken van "anti-quantum" algorithms, zoals de McEliece cryptosystem: https://github.com/exaexa/codecrypt

[Reactie gewijzigd door MrFax op 31 juli 2024 10:28]

Natuurlijk kun je niet de toekomst voorspellen, maar als het verleden iets heeft geleerd dan is het wel dat problemen overwonnen worden en de techniek zich voortschrijdt.
De aanname dat de ontwikkeling van de kwantumcomputer plots tot een halt komt is een stuk onwaarschijnlijker dan dat de ontwikkeling zich voortzet. Juist de ontwikkeling van kwantumtechnologie gaat razendsnel en er wordt veel geld in onderzoek gestoken.

Het enige dat zeker te bediscussiëren valt is de tijdsspanne van de ontwikkeling tot een werkzaam exemplaar dat in staat is encryptie te kraken. Bedenk wel dat op dat moment de huidige asymmetrische encryptie in principe onbruikbaar is geworden.
Het is goed denkbaar dat een werkbare kwantumcomputer niet breed zal worden aangekondigd, maar heimelijk zal worden ingezet. Je wilt niet dan pas nieuwe encryptietechnieken gaan ontwikkelen en invoeren. Daar moet je tijdig mee beginnen. Nu lijkt me meer dan een goed moment.
Het probleem is uiteindelijk wat niet zo vanzelfsprekend voor ons is, is wel vanzelfsprekend voor supermogendheden zoals de NSA of wellicht de FSB. Wij zijn niet in staat om een computer aan te schaffen van een tiental miljoen euro's en wellicht een klein leger cryptograven. Zij wel, zij smijten miljarden tegen het kraken van dergelijke encrypties. Wat we voor veilig beschouwen, is nog maar de vraag of dit daadwerkelijk zelfs nu nog zo is.

Naarmate ongekende computerkracht steeds dichterbij komt en eerder zoals zij in dit bericht aangeven dan nieuwe encrypties is dit zeker een gevaar voor jan en alleman. Echter zoals ze ook aangeven hebben we nog geen passend antwoord. Het probleem voor mij zit 'm meer in de assymetry van macht. Deze grootheden hebben misschien nu al de mogelijkheid om zware encrypties te breken terwijl wij nog lang niet in staat zijn om hier iets tegen te doen.
Ze hebben in de kern gelijk, maar ze nemen in dit argument mijns inziens iets te makkelijk voor lief dat grote kwantumcomputers een gegeven zijn in de toekomst.
Ik denk dat je het verkeerd leest. Er worden geen garanties gegeven dat kwantumcomputers zich naar de huidige verwachtingen blijven ontwikkelen. Wat gezegd wordt is dat als het wel zo gaat lopen, we nu moeten beginnen met nieuwe technieken ontwikkelen en implementeren, om te zorgen dat we dan niet te laat zijn. En omdat de toekomst niet kunnen voorspellen, is het dus verstandig om dat zo snel mogelijk te gaan doen.
Maar waarom niet tegen die tijd dat dit een actuele bedreiging is je data opnieuw versleutelen? Zeg maar een sleutel over de reeds bestaande sleutels die bestand is tegen de rekenkracht van kwantumcomputers?
Vergeet niet dat encrypted data van nu ook opgeslagen wordt zonder dat men deze per se direct probeert te kraken. Het kan dus zo zijn dat er data tussen zit dat over 8 jaar nog relevant is en makkelijk te decrypten is. Dat maakt het relevant om er nu al voor te waarschuwen.

Als jij in een land leeft waar de overheid z'n tegenstanders een kopje kleiner probeert te maken, dan ben je met goede encryptie minder snel grijpbaar voor deze overheden. Maar geloof mij dat die zelfde overheid over 8 jaar nog steeds geïnteresseerd is welke mensen vroeger wat tegen hun hebben gehad.
Het is goed om te weten dat het gevaar met name bestaat voor assymetrische ciphers als RSA en Ed25519. Deze ciphers worden meestal ingezet bij actieve communicatie, maar niet bij data-opslag. Kwantumcomputers kunnen ook symmetrische ciphers aanvallen, maar kunnen op zijn best de complexiteit halveren. AES256 kraken wordt met een kwantumcomputer het equivalent van AES128 met een gewone computer: beiden zijn onmogelijk.

Het grote risico bestaat dus als communicatie wordt opgeslagen inclusief key exchange. En dat is relatief moeilijk en duur om te doen. Niet alle data van vandaag de dag is dus zomaar in gevaar.
Dat is wat we nu denken en lijkt ook niet onredelijk te zijn. Maar we dachten nog niet zo lang gelden dat WEP veilig was of, nog wat langer geleden, protocollen als DES en daarna 3-DES. Ook met hash-algoritmen als MD5 en SHA-1 dachten we dat we goed zaten.

Dat is nu allemaal onveilig. En niet alleen door fouten in de implementaties, maar ook door het voortschrijdende wiskundige inzicht. We moeten er dus rekening mee houden dat er toch nog zwakheden gevonden worden in symmetrische ciphers als AES. Of dat die zwakheden dan klassiek of quantum zijn is voor het probleem eigenlijk niet relevant. Je moet sowieso doorlopend blijven onderzoeken om je beveiligingsrisico's te minimaliseren.
Het is onzin om te stellen dat we ooit dachten dat die algorithmen die je noemt echt veilig waren. WEP was ontworpen met hardwarebeperkingen en exportrestricties in het achterhoofd. DES is gemaakt om in hardware geimplementeerd te worden (ipv software), en kreeg al sinds release vraagtekens over de keylengte. 3-DES is algemeen bekend als een leuke hack om bestaande hardware te hergebruiken. Ook MD5 en SHA-1 zijn gecompromitteerd korte hashes, en het duurde maar een paar jaar voordat daar de eerste twijfels over ontstonden. Dit is totaal anders dan bouwstenen als AES, Ed25519 en SHA256 van de moderne crypto, die al meer dan 15 jaar zonder noemenswaardige zwaktes overleven ondanks onderzoek. Je probeert dus onzin te verkopen om je argument op te zetten.

AES is ontworpen zonder restricties in een transparant proces, bestaat al sinds 2000 en er zijn geen noemenswaardige aanvallen tegen, terwijl er heel veel mensen heel veel mee zouden kunnen winnen. AES is niet perfect: maar de imperfectie ligt in hoe makkelijk het toegepast kan worden, en niet in de intrinsieke veiligheid.

Niks is perfect maar de cryptografie is veel volwassener (en minder beperkt) geworden met de tijd.
Niet alleen de overheden die minder vriendelijk zijn. Denk ook aan bijvoorbeeld medische gegevens. Als jij bijvoorbeeld een of meerdere keren een SOA hebt gehad dan kan het best vervelend zijn als dat soort informatie op eens uitlekt.
Ik werk toevallig voor een bedrijf dat veel men Amerikaanse healthcare data werkt, en dus veel met de HIPPA wetgeving die eigenlijk niets anders zegt dan dat healthcare data voldoende moet beveiligd zijn. En dus zijn dit soort waarschuwingen zeker voor verzekeraars en andere bedrijven in deze tak van sport in Amerika erg belangrijk omdat men nu eenmaal niet kan zeggen: "ich habe das nicht gewusst" af gezien van het feit dat geen Amerikaan dat zal begrijpen.

Het is van groot belang nu al te kijken naar hoe kunnen we onze data beschermen met een algoritme dat, ook al kost het veel tijd dan wel opslag ruimte, bestand is tegen een quantum computer aanval.
Vergeet niet dat zo'n zelfde wet stelt dat en dit is heel gewoon in veel landen en onderdelen van wetgeving deze gegevens altijd bewaard moeten blijven zo lang deze persoon of dit bedrijf een klant is, en minimaal 6 jaar na de laatste dag dat deze persoon of dit bedrijf klant was pas verwijderd mag worden.
Binnen bijvoorbeeld de logistiek varieert dat van land tot land maar het gemiddelde in Europa ligt rond de 5 jaar met uitschieters tot 10 jaar na dat de levering is afgerond.

In veel gevallen is deze data encrypted met een RSA of PGP oplossing soms met beide PGP voor de bestanden en RSA voor de opslag. Simpel weg omdat die gevoelige informatie is die je niet wil dat concurrenten in kunnen zien, ook willen de bedrijven met wie je zaken doet niet dat hun gegevens uitlekken en dus sla je het op met encryptie voor het geval dat. Maar als die encryptie ophoud met de veiligheid te bieden die het nu bied dan is het te laat want als de data uitlekt dan is het te laat. En dus is de waarschuwing nu van groot belang.
Een andere goede reden is dat het niet mogelijk is het snel in te voeren (als het hashes betreft, deze kunnen ook met quantumcomputing snel gekraakt worden).

Als je het hebt over een website (zoals Tweakers), en deze wil zijn wachtwoorden opnieuw hashen, dan kan je dat pas doen voor een bepaalde gebruiker als je zijn/haar wachtwoord achterhaalt hebt. De gebruikelijke manier om dat te doen, is alle bezoekers te vragen om hun wachtwoord in te voeren. Zodra ze dat gedaan hebben, kan je de nieuwe hash toevoegen en de oude verwijderen. Maar dat kost dus tijd, sinds mensen wel je site moeten bezoeken.
Dat is niet waar. Je kunt ook de hash opnieuw hashen met het nieuwe algoritme. :)
Dat kan, maar is vaak enigzins ongewenst, omdat je dan in plaats van met gehashte wachtwoorden met gehashte hashes van wachtwoorden zit. Ik heb altijd geleerd dat dubbel hashen een bad practice is en vermeden dient te worden indien mogelijk.
Waarom is dubbel hashen een bad practice? Ben er wel benieuwd naar!
Zie dit artikel. Het komt er op neer dat het weinig extra barrière vormt, en interoperabiliteit van je database verslechterd.
Dat is wel wat kort door de bocht. Iteratief hashen is onderdeel van key stretching en dat is een goed ding, in principe. De implementatie moet wel juist zijn en daarom wordt afgeraden om sha1(salt + sha1(salt + password)) of iets in die richting te doen, en in plaats daarvan een bewezen juiste implementatie van key stretching te gebruiken. Zo staat het ook in het artikel wat je aanhaalt.

Daarnaast zou het re-hashen van huidige wachtwoorden met een nieuw hash algoritme de wachtwoorden niet onveiliger maken, en als het hash algoritme wat je vervangt gekraakt is of gewoon zwwak, dan biedt het rehashen zeker meerwaarde. Je zit dan wel met de extra administratie dat je moet onthouden dat het wachtwoord van de gebruiker éérst met het zwakke algoritme gehasht moet worden en daarma pas met het nieuwe algoritme - maar dat is maar eenmalig natuurlijk want je mag er vanuit gaan nadat de gebruiker eenmaal ingelogd heeft, de juist gehashte versie van het wachtwoord opgeslagen is.
Zeker moet je dat vermijden als het kan, maar als je daarmee een gebruiker beter beveiligd is dat in mijn ogen altijd de beste manier.
Zodra de gebruiker inlogt kunt je alsnog de gehashte hash omzetten naar een gehasht wachtwoord, dus het is eenmalig gebruik.
Dat is niet helemaal waar, stel dat tweakers nu een SHA1 hash gebruikt en je zou deze hash weer hashen met een nieuw "quantum-proof hash" is het probleem ook opgelost.
Immers kun je met een simpele flag bij de user aangeven dat het resultaat van de quantum-hash alsnog een SHA1 hash is.

//EDIT: @achos was me voor..

[Reactie gewijzigd door BernardV op 31 juli 2024 10:28]

Als er geen noodzaak is om het wachtwoord opnieuw te hashen terwijl dat wel de wens is, dan is het goed mogelijk om een lange tijd ondersteuning te houden voor meerdere hashes. Op het moment dat iemand inlogged weet wat het wachtwoord was achter de hash is, op dat moment kan je hem opnieuw hashen met een ander algoritme. Na een tijdje heb je van alle actieve gebruikers de nieuwe hash. Als daarna het moment komt dat er wel de noodzaak is om het oude algoritme weg te doen is het altijd mogelijk om voor de gebruikers van het oude algoritme een wachtwoord reset te forceren, maar die gebruikers waren toch al niet actief, dus dat is niet zo'n ramp.
Wanneer je op het moment dat het cruciaal begint te worden een kopietje maakt van de data (met oude encryptie) dan ben je nog vatbaar. Dan kun je data wel opnieuw versleuteld hebben met nieuwe encryptie, de oude is nog steeds te kraken. Wellicht wat verouderde data, maar de meeste data kan nog steeds relevant zijn (hoe vaak veranderd men een wachtwoord?).

Los daarvan ben ik wel benieuwd hoe stevig de blockchain nog is (bitcoins). In de basis hetzelfde principe als (ouderwetse) encryptie.
Los daarvan ben ik wel benieuwd hoe stevig de blockchain nog is (bitcoins). In de basis hetzelfde principe als (ouderwetse) encryptie.
Vrijwel alle huidige blockchain implementaties zijn niet quantum-proof. Zeker die van bitcoin niet. Google er maar eens naar.
Zeer interessant gegeven, echter zijn 80% van de BTC tegen januari gevonden. Quantum computers zouden max 20% erbij kunnen vinden, dus de inflatie zou meevallen; en de prijs juist na het vinden van de 21 miljoenste dus laatste, vermoedelijk hard stijgen lijkt me?
Het gaat niet om minen maar om je private key. Om die 80% dus, dat die niet gestolen gaat worden.

[Reactie gewijzigd door TWeaKLeGeND op 31 juli 2024 10:28]

Als er al een manier komt om uit een public key, een bijpassende private te genereren in afzienbare tijd (en dat is een héle grote als) hoeft dat alsnog geen probleem te zijn.

Bitcointransacties gaan van een public key van de verzender (voorzien van een signature waar je de bijbehorende private key voor nodig hebt) naar een adres. En een adres is een dubbele hash van de public key van de ontvanger (sha256 gevolgd door ripemd160). Daar kun je ook met kwantumcomputers niks mee. Je weet dus iemands public key pas op het moment dat hij de bitcoins alweer heeft uitgegeven. Dit vereist dan wel dat je adressen maar één keer gebruikt, maar tegenwoordig zijn alle wallets HD wallets waarbij dat standaard het geval is.

Bitcoins zijn 100% quantum-proof zolang ze op adressen staan waar je nog geen transactie vandaan hebt gedaan. Dus bij twijfel je bitcoins even naar een nieuw adres overmaken, en je bent veilig.

Daarnaast kan Bitcoin natuurlijk overstappen op een ander public/private key algoritme, mocht dat ooit in de zeer verre toekomst nodig zijn, maar die noodzaak is in de verste verte nog niet aan de orde. Nogmaals, er ligt echt nog een extreem lange weg tussen het ooit, misschien, mogelijk, theoretisch kraakbaar zijn van secp256k1 ECDSA, en het daadwerkelijk in de praktijk kunnen.

[Reactie gewijzigd door Jace / TBL op 31 juli 2024 10:28]

Ik reageerde op iemand die dacht dat de quantumcomputing threat bij bitcoin over de inflatie ging die 'onbeperkte miningkracht' met zich mee zou brengen. Uiteraard is er nog een lange weg te gaan met veel oplossingen maar het ging om de theorie. Ik probeerde aan te geven dat je met dergelijke rekenkracht niet moet denken aan dat het restant gemined is en dat dat inflatie met zich meebrengt maar dat het hele systeem dan gewoon niet meer werkt want alle tot dan bestaande bitcoins zijn dan ook niks meer.

Met genoeg rekenkracht kan je tenslotte ook gewoon elke mogelijke private key testen op saldo etc etc
Met genoeg rekenkracht kan je tenslotte ook gewoon elke mogelijke private key testen op saldo etc etc
Heel strict genomen is dit waar, maar elke voorstelling van hoeveel rekenkracht "genoeg" is daarvoor, is een ernstige onderschatting. Er zit niet genoeg rekenkracht in ons zonnestelsel om zelfs maar tot 2256 te tellen, laat staan zoveel private keys te bruteforcen.
Dat valt dus waarschijnlijk wel mee. Door steeds de beloningen te halveren krijg je een asymptotisch verhaal. Je kunt heel dicht bij die 21 miljoen komen, maar zelfs tot in het oneindige haal je de 21 miljoen net niet.
Anoniem: 221563 @wouser13 september 2017 20:47
Daar gaat het artikel over. Om tzt de encrypties te hebben moeten die nu al vollop worden ontwikkeld.
Er zijn meerdere kopiën van data die je niet allemaal in eigen beheer hebt. Al jouw email verkeer kan nu worden afgeluisterd en over een paar jaar worden gedecrypt bijvoorbeeld.
Maar waarom niet tegen die tijd dat dit een actuele bedreiging is je data opnieuw versleutelen? Zeg maar een sleutel over de reeds bestaande sleutels die bestand is tegen de rekenkracht van kwantumcomputers?
Omdat een organisatie die geïnteresseerd is de data dat dan nu kopieert om het over 10 jaar te kunnen ontcijferen. Dat is natuurlijk voor heel veel data niet relevant, maar er is ook zeker data die over 10 jaar nog steeds heel interessant is.

Stel je voor dat je nu alle 10 jaar oude email van de huidige ministers in handen hebt. Er zit er misschien wel een tussen die tot een schandaal kan leiden. Of stel dat je alle intellectual property van Philips van tien jaar terug in handen krijgt. Misschien is er wel iets bij dat ze nog niet op de markt hebben gebracht. Of stel dat je het toegangscodes tot een satelliet die tien jaar geleden gelanceerd is te pakken krijgt. Misschien vliegt het ding nog wel. Etc etc.
Ook ons eigen NCSC heeft hier een mening over. De insteek van hen is echter wel een pragmatische en roept zeker niet op tot paniek maar juist doordacht reageren op de ontwikkelingen. Zo kan het zo maar zijn dat het voor jouw organisatie helemaal zo'n vaart niet hoeft te lopen omdat hetgeen waar jij encryptie voor gebruit wellicht ook weer niet zo geheim is dat het in de toekomst nog steeds relevant is. Ook kwantum dreigt daarmee een buzz-word te worden waarmee (al dan niet onbewust) meer onrust wordt gezaaid dan nodig.

Dat wil niet zeggen dat er geheel geen dreiging is, die is er m.i. wel, maar dat de oplossing proportioneel moet worden ingezet.
Bestaan er in uw organisatie geen gegevens die na de komst van kwantumcomputers nog steeds beschermd moeten blijven? Wacht dan met de overstap op nieuwe vormen van cryptografie.
Afwachten heeft als voordeel dat er steeds betere vormen van cryptografie beschikbaar komen die bestand zijn tegen kwantumcomputers.
https://www.ncsc.nl/actue...tkwantumcryptografie.html

Factsheet Postkwantumcryptografie
https://www.ncsc.nl/actue...tkwantumcryptografie.html

[Reactie gewijzigd door Eagle Creek op 31 juli 2024 10:28]

Laten we zeggen dat de stelling waar is: De huidige encryptie zal relatief makkelijk te kraken zijn met quantumcomputers. Betekent het dan andersom dat een veilige encryptie encryptie (niet makkelijk door quantumcomputers te kraken) ook (te) traag is op reguliere computers in zowel decryptie als encryptie?
Wat voor support is er voor die stelling? Ik hoor veel mensen zoiets roepen, maar vind het lastig voor te stellen. Het kraken zou echt miljoenen malen sneller moeten dan dat huidige PC's dat kunnen om ook maar enige kans te hebben om het binnen afzienbare tijd ontcijferd te hebben. Hoe groot is de kans dat quantum computers dat gaan waarmaken?

En inderdaad, als het zo is, kunnen we daar nu weinig aan doen omdat huidige PC's en SOC's niet voldoende capaciteit hebben om met een betere encryptie te kunnen werken.
Zelfs miljoenen malen sneller slaat nog geen deuk in een pakje boter.....

Op dit moment duurt het grofweg 3*10^56 JAAR om een AES256 encryptie te brute-forcen (uitgaande van een 10 petaflops computer; zo'n beetje de snelste supercomputer die bestaat). Als dat een miljoen keer sneller gaat duurt het nog "slechts" 3*10^47 jaar.....

Je zult echt een paar ordegroottes harder dan "miljoenen" moeten gaan.....

[Reactie gewijzigd door Croga op 31 juli 2024 10:28]

En dat is dan het gemiddelde natuurlijk. Het kan ook 2x zo lang duren of slechts drie dagen als je echt heeeeeeeeeel erg veel geluk hebt.
Het is niet zo zeer sneller, als wel anders. Zoals het verschil tussen een hamer en een tang. Onze huidige crypto is als een spijker die je makkelijk diep in een balk slaat maar er weer uit krijgen is heel moeilijk... met een hamer. Quantumcomputers zijn als een nijptang, een stuk gereedschap waarmee je wel makkelijk spijkers uit hout trekt. Maar spijkers inslaan gaat niet sneller met een tang, het is een ander soort gereedschap.
Niet per se. Het gaat er vooral om dat er andere algoritmes worden gebruikt die quantumresilient zijn.
Het gevaar van "juist doordacht reageren op de ontwikkelingen" is dat de ontwikkelingen voorheen redelijk voorspeelbaar waren door de toename in rekenkracht te extrapoleren omdat deze grotendeels afhing van de wet van Moore etc. De onderzoekers waarschuwen er juist voor dat als je nu gegevens versleuteld met technieken die volgens de huidige voorspelling nog 20 jaar veilig zijn, je voor een verassing staat als die gegevens door de komst van quantumcomputers plotseling over 8 jaar al te decrypten zijn.

Het gevaar schuilt hem voornamelijk in staatsmogenheden die alle gegevens aftappen en opslaan, geencrypt of niet, met het idee dat ze die op een later moment kunnen kraken. Dat "later moment" kan echter veel dichter bij zijn dan nu gedacht wordt.
Doordacht slaat niet op de technieken maar op de data die je wilt beschermen. Is de data die jij hebt wel zo spannend dat die over 20 jaar niet naar buiten mag komen? Voor het gros van de data zal dat mogelijk helemaal niet gelden.

Al was het bijvoorbeeld maar een simpele sessiesleutel voor een TLS-lijn. Na gebruik is die niet relevant mee, kwantum-kwetsbaar of niet.

M.a.w: analyseer wat je wil beschermen en daarmee of dat je het kwantum-proof wilt beschermen.
Hoewel ik het helemaal met je eens ben dat het voor sommige data niet nodig is (hoewel je eerder aan de voorzichtige kant moet zitten dan maar te denken dat data toch niet belangrijk is) is het beeld wat je schetst van de aanbevelingen in het artikel als paniek en uitspraken als "De insteek van hen is echter wel een pragmatische" volledig onterecht. De onderzoekers spreken over het de lange implementatie tijd van nieuwe technieken en dat daar rekening mee gehouden moet worden; daar is niks onpragmatisch aan.
Als er vermoedt wordt dat er belangrijke info over een lijn gaat kun je de transmissie natuurlijk vastleggen voor latere analyse..., zodat je als de sleutel wel bekend wordt je ook oudere data kan decrypten.
Daarom is een encryptie met Perfect Forward Secrecy zo belangrijk (PFS).
Was dat niet al langer bekend? De meeste nieuwe algo's zijn met post-quantum in gedachte in ontwikkeling, dus de implementatie komt er al aan.
Jep, is geen nieuws. Maar het is niet slecht dat het met regelmaat weer onder de aandacht gebracht wordt zodat men ook blijft doorontwikkellen.

Edit: autocorrect correctie |:(

[Reactie gewijzigd door Anoniem: 221563 op 31 juli 2024 10:28]

Als je het artikel in Nature leest zie je dat het een samenvatting is van de huidige staat van postkwantumcryptografie, en dat het geen nieuwe vindingen bevat. Het is een samenvatting. Dat is logisch, aangezien Nature normaal gesproken geen blad is voor cryptografen. Aan de tekst te zien hebben ze het voor natuurkundigen geschreven die de kwantumcomputers bouwen, wat de implicaties zijn van dergelijke vooruitgang.
Is er momenteel al iets te gebruiken wat in ieder geval de eerste poging kan doorstaan? Stel in het geheim wordt door bv de NSA een quantumcomputer ontwikkeld die in staat is al iets te doen in het breken van encryptie, is er iets te gebruiken bij de hedendaagse encryptie wat in staat moet zijn een aanval alsnog lastig te maken?
Mijn eerste ingeving is dat dit een typisch geval van YAGNI is. Enerzijds, zoals door anderen genoemd, Wie zegt dat quantumcomputers echt werkelijkheid (+ bereikbaar) worden? Wie zegt hoeveel jaar dat duurt? En zelfs als dat zo is, weten we dan wel welke encryptie-technieken er dan wel of niet standhouden?

Dus: mogelijk lossen we een probleem op wat er nooit komt, of we kiezen een oplossing die uiteindelijk geen oplossing blijkt te zijn.

Goed, ik weet er te weinig van, maar dit zijn de dingen die bij mij opkomen...
En wat schiet ik op met je mijmeringen? (graag ook bronnen in je antwoord)
Hoezo zou ik bronnen moeten geven?
Ik stel een kritische noot op basis van algemene wijsheden. Zij moeten bewijs geven, niet andersom!
Gaan we dan gewoon niet encryptie gebaseerd op quantum technology creëren? :+
die is er al en die is heel goed, het heet quantum entanglement encryption
https://www.youtube.com/watch?v=TyomwLbYhig
and it is awesome :)
Als kwantum computers een feit zijn, dan zullen alle crypto currencies in één klap gemined zijn.
Dus goed! Dan zal de koers minder instabiel zijn.
dat alle crypto coins dan gemined is helemaal niet erg, kan er lekker gehandeld worden. Wat het gevaar is is dat men de privatekey van een adres kan decrypten en zo bij de coins komen van iemand anders en ze ergens anders heen sturen maar dan hopen dat je als quantumcomputer(s) bezitter dan zelf weer niet "gehacked" wordt haha of gewoon zsm proberen te cashen. :9

edit [toevoeging] :maar als ze crypto coins kunnen hacken, dan zullen ook vast makkelijk bij banken binnen komen, kunnen ze daar ook geld jatten

on topic: ben benieuwd naar nieuwe encryptie, als een goede encryptie door quantum computers moet worden "uitgevonden" dan zal het op gewone computers moeilijk dat te kunnen gebruiken vanwege veeeel minder power.

[Reactie gewijzigd door Petje72 op 31 juli 2024 10:28]

ben benieuwd naar nieuwe encryptie, als een goede encryptie door quantum computers moet worden "uitgevonden" dan zal het op gewone computers moeilijk dat te kunnen gebruiken vanwege veeeel minder power.
Dat is een vergissing. Het vereiste rekenwerk voor het kraken van encryptie neemt exponentieel toe met de keygrootte, maar niet het encrypten (versleutelen) of het decrypten (weer omzetten in plaintext met de juiste key).

De gemiddelde smartphone kan met gemak megabytes aan data encrypten in een paar seconden, met een dusdanig sterke encryptie dat het met alle computers ter wereld triljarden jaren zou duren om te kraken.

Dus veel zwaardere encryptie is niet zozeer 'zwaarder' qua normaal gebruik, alleen qua moeilijkheid om het te kraken.
Was dit niet al heel lang bekend en voor sommige overheidsinstanties ook niet dé reden om in quantum computers te investeren?
Je slaat hier de plank zelf mis. Lange claimt ook helemaal niet dat dit nieuw is, het ligt meer aan het Tweakers-artikel dat die indruk wordt gewekt. Ze heeft samen met Bernstein een zogenaamde review geschreven. In principe is dat een overzicht van ontwikkelingen in een bepaald vakgebied en niet zozeer een presentatie van nieuwe resultaten.
Ze had met een PoC moeten komen.

In theorie is over 10 jaar alles sneller te kraken als vandaag de dag... dat heeft niets met quantum computing computers te maken.

En de vraag is of men over 10 jaar wel zover is om een paar kilobytes te houden in quantum computing "geheugen".
Ik zal een voorbeeld geven:

Het RSA algorithme werkt op basis van integer factorizatie: het is heel makkelijk om getallen met elkaar te vermenigvuldigen, maar heel moeilijk (voor niet-quantumcomputers) om deze weer uit elkaar te halen. Doordat men aanneemt dat het laatste heel moeilijk is voor iedereen behalve degene die de sleutel heeft gemaakt, werkt RSA als asymetrische versleuteling.

Al sinds 2001 bestaat Shor's algorithme, wat efficient getallen kan factorizeren op een quantumcomputer, alleen de hardware die dit uit kan voeren bestaat nog niet. Als deze hardware bestaat, wordt het stukken makkelijker om de privesleutel van een RSA-encryptie te vinden, wat deze hele techniek breekt.
Ze had met een PoC moeten komen.
Hoe zie je dat voor je; een werkende quantumcomputer...!?
In theorie is over 10 jaar alles sneller te kraken als vandaag de dag... dat heeft niets met quantum computing computers te maken.
Zonder quantumcomputers is alles over tien jaar ergens tussen duizend en een miljoen keer sneller te kraken (grove schatting). Met andere woorden, in plaats van miljarden keren de leeftijd van het heelal duurt het dan nog duizenden tot miljoenen keren de leeftijd van het heelal. Mét quantumcomputers duurt het minuten (of seconden!?). Allebei is "sneller", maar de ene versnelling is geen probleem, de andere toch echt wel.
En de vraag is of men over 10 jaar wel zover is om een paar kilobytes te houden in quantum computing "geheugen".
Nee, dat is niet de vraag. De echte vraag is "moeten we serieus rekening houden met de mogelijkheid dat dat gaat lukken?". Het bijbehorende antwoord is (volgens mij en, ietsje relevanter, volgens Lange) "ja!".
Maar om welke encryptie hebben wij het dan? Want je hebt naar mijn weten verschillende soorten encryptie waarbij de een toch weer sterker is dan de ander. Al helemaal als je een verouderde encryptie methode gebruikt.

Op dit item kan niet meer gereageerd worden.