Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Cryptoloog TU/e waarschuwt voor quantumcomputers die snel encryptie kraken

Door , 86 reacties

Cryptoloog Tanja Lange van de Technische Universiteit Eindhoven waarschuwt voor het effect dat quantumcomputers kunnen hebben op de beveiliging van data. Encryptie die nu niet snel genoeg te kraken is, zal met quantumcomputers makkelijker te kraken zijn.

Onderzoekers werken volgens het artikel in Nature van Lange en haar Amerikaanse collega Daniel Bernstein van de Universiteit van Illinois aan betere encryptie, maar die vragen veel bandbreedte en dat is een groot nadeel voor implementatie.

Die implementatie moet volgens Lange snel beginnen, omdat het na het maken van de versleutelingstechniek vijftien tot twintig jaar kan duren voor zij in algemeen gebruik is. Quantumcomputers staan nu nog in de kinderschoenen, maar de techniek zou over acht tot tien jaar al een stuk volwassener kunnen zijn.

Als kwaadwillenden kunnen gaan beschikken over quantumcomputers, kunnen ze veel van de informatie die nu veilig versleuteld staat opgeslagen, gaan ontsleutelen. Daarmee wordt veel informatie die geheim moet blijven, waaronder privégegevens in bijvoorbeeld medische dossiers en financiële databases, ineens toegankelijke informatie. Het pleidooi om snel een betere versleuteling in te voeren is niet nieuw. Lange waarschuwt er zelf al meer dan tien jaar voor en ook andere wetenschappers roepen daartoe al langer op.

Door Arnoud Wokke

Redacteur mobile

13-09-2017 • 20:18

86 Linkedin Google+

Reacties (86)

Wijzig sortering
Zowel Daniel Bernstein (djb) als Tanja Lange roepen dit al tijden. Ze hebben in de kern gelijk, maar ze nemen in dit argument mijns inziens iets te makkelijk voor lief dat grote kwantumcomputers een gegeven zijn in de toekomst. Die aanname is niet heel erg onderbouwd: hoe wel er zeker vooruitgang bestaat in de ontwikkeling van kwantumcomputers - en het door de naam 'computer' verleidelijk is om te denken aan een soort eeuwige vooruitgang - is het totaal niet duidelijk of een kwantumcomputer van een bepaalde omvang of complexiteit geen onoverkomelijke theoretische of praktische problemen met zich meebrengt. We moeten zeker voorbereid zijn op een 'postkwantumwereld', maar een dergelijke kwantumapocalyps is niet zo vanzelfsprekend als wordt gesuggereerd.

djb en Tanja Lange hebben zelf 'traditionele' cryptografie opgelost. Ze zijn de bedenkers van Curve25519, een assymetrisch cryptosysteem dat efficient en eenvoudig is en een van de weinige gangbare elliptische krommen die geen mysterieuze getallen bevat. Ze hebben Chacha20 en Poly1305 uitgevonden die praktische problemen van toepassingen symmetrische ciphers oplossen. Er zijn niet zoveel dingen meer op te lossen in 'traditionele' cryptografie (door hun eigen toedoen), dus ik kan me niet aan de indruk onttrekken dat ze zelf gewoon interessantere puzzels zoeken om op te lossen.
Een quantumcomputer is zoiets als een lotto-deelnemer die op het moment dat de uitslag bekend wordt gemaakt ook een briefje in handen heeft met de winnende combinatie.

Een quantumcomputer kan dus niet de uitslag van de loterij voorspellen, maar kan wel de dag tevoren een briefje in een envelop stoppen, en als je de envelop na de uitslag open maakt, staat er de winnende combinatie op. Maar als je de envelop eerder open maakt staat de winnende combinatie er dus niet op!

Dat maakt 'm super voor kraken, want vrijwel alle asymetrische encryptie is gebaseerd op het principe dat het makkelijk is om uit te rekenen dat 3x7x5=105 maar gegeven "105" is het lastig om te berekenen dat je daarvoor de priemgetallen 3, 5 en 7 moet vermenigvuldigen. Een quantumcomputer weet gegeven de uitkomst "105" heel snel de opgave "3x5x7" te raden.

De eigenschap druist in tegen wat we in de wiskunde "weten". Er is geen wiskundig algoritme bekend dat een getal snel kan ontbinden in factoren. Als we een machine kunnen bouwen die dat wel kan, dan zou die logischerwijs wel zo'n algoritme implementeren. Maar als een machine het kan implementeren, waarom kunnen wij 't dan niet wiskundig beschrijven? Daar wringt bij mij de schoen, mij lijkt 't makkelijker een efficiente ontbind-in-factoren machine te bouwen, dan een algemene quantum computer. Dus als we quantumcomputers kunnen bouwen in een omvang die echt nut heeft, dan hadden we die ontbinder al kunnen hebben en die alleen al is voldoende om de meeste asymetrische encryptie om zeep te helpen.
Klopt,dat is alleen niet het soort encryptie dat veel last heeft van Quantumcomputing. Voor symmetrische encryptie blijft AES ook werken na de komst van Quantumcomputers. Wellicht dat dat er naast AES 256 nog 512 en groter moet komen, maar dat blijft een stuk handiger dan one time pads ;)

PKI gebaseerde oplossingen die op een efficiënte manier voor grote groepen mensen en machines certificaten uitwisselen maken gebruik van heel andere wiskundige concepten. Die concepten gaan uit van berekeningen die voor computing zoals we die kennen heel rekenintensief is, maar voor Quantumcomputing zijn die juist een heel stuk eenvoudiger, daar komt dit probleem vandaan.

Ik was een paar jaar geleden bij een serie lezingen waarbij cryptografen en quantum computing mensen hun visie op deze onderwerpen gaven (Tanja Lange was daar bij, en ook Joan Daemen (medebedenker van AES). De paneldiscussie daarna was erg leuk, men was het niet helemaal met elkaar eens maar de eindconclusie was zo'n beetje dat ze efficiënte fusie eerder verwachtten dan quantumcomputers met de power om een probleem te vormen. Maar dat was een paar jaar geleden en de wetenschap gaat vooruit :)

Edit: sessie was bij KPN en is hier te bekijken.

[Reactie gewijzigd door Jheroun op 14 september 2017 11:30]

Vergeet niet dat encrypted data van nu ook opgeslagen wordt zonder dat men deze per se direct probeert te kraken. Het kan dus zo zijn dat er data tussen zit dat over 8 jaar nog relevant is en makkelijk te decrypten is. Dat maakt het relevant om er nu al voor te waarschuwen.

Als jij in een land leeft waar de overheid z'n tegenstanders een kopje kleiner probeert te maken, dan ben je met goede encryptie minder snel grijpbaar voor deze overheden. Maar geloof mij dat die zelfde overheid over 8 jaar nog steeds geïnteresseerd is welke mensen vroeger wat tegen hun hebben gehad.
Het is goed om te weten dat het gevaar met name bestaat voor assymetrische ciphers als RSA en Ed25519. Deze ciphers worden meestal ingezet bij actieve communicatie, maar niet bij data-opslag. Kwantumcomputers kunnen ook symmetrische ciphers aanvallen, maar kunnen op zijn best de complexiteit halveren. AES256 kraken wordt met een kwantumcomputer het equivalent van AES128 met een gewone computer: beiden zijn onmogelijk.

Het grote risico bestaat dus als communicatie wordt opgeslagen inclusief key exchange. En dat is relatief moeilijk en duur om te doen. Niet alle data van vandaag de dag is dus zomaar in gevaar.
Het is onzin om te stellen dat we ooit dachten dat die algorithmen die je noemt echt veilig waren. WEP was ontworpen met hardwarebeperkingen en exportrestricties in het achterhoofd. DES is gemaakt om in hardware geimplementeerd te worden (ipv software), en kreeg al sinds release vraagtekens over de keylengte. 3-DES is algemeen bekend als een leuke hack om bestaande hardware te hergebruiken. Ook MD5 en SHA-1 zijn gecompromitteerd korte hashes, en het duurde maar een paar jaar voordat daar de eerste twijfels over ontstonden. Dit is totaal anders dan bouwstenen als AES, Ed25519 en SHA256 van de moderne crypto, die al meer dan 15 jaar zonder noemenswaardige zwaktes overleven ondanks onderzoek. Je probeert dus onzin te verkopen om je argument op te zetten.

AES is ontworpen zonder restricties in een transparant proces, bestaat al sinds 2000 en er zijn geen noemenswaardige aanvallen tegen, terwijl er heel veel mensen heel veel mee zouden kunnen winnen. AES is niet perfect: maar de imperfectie ligt in hoe makkelijk het toegepast kan worden, en niet in de intrinsieke veiligheid.

Niks is perfect maar de cryptografie is veel volwassener (en minder beperkt) geworden met de tijd.
Niet alleen de overheden die minder vriendelijk zijn. Denk ook aan bijvoorbeeld medische gegevens. Als jij bijvoorbeeld een of meerdere keren een SOA hebt gehad dan kan het best vervelend zijn als dat soort informatie op eens uitlekt.
Ik werk toevallig voor een bedrijf dat veel men Amerikaanse healthcare data werkt, en dus veel met de HIPPA wetgeving die eigenlijk niets anders zegt dan dat healthcare data voldoende moet beveiligd zijn. En dus zijn dit soort waarschuwingen zeker voor verzekeraars en andere bedrijven in deze tak van sport in Amerika erg belangrijk omdat men nu eenmaal niet kan zeggen: "ich habe das nicht gewusst" af gezien van het feit dat geen Amerikaan dat zal begrijpen.

Het is van groot belang nu al te kijken naar hoe kunnen we onze data beschermen met een algoritme dat, ook al kost het veel tijd dan wel opslag ruimte, bestand is tegen een quantum computer aanval.
Vergeet niet dat zo'n zelfde wet stelt dat en dit is heel gewoon in veel landen en onderdelen van wetgeving deze gegevens altijd bewaard moeten blijven zo lang deze persoon of dit bedrijf een klant is, en minimaal 6 jaar na de laatste dag dat deze persoon of dit bedrijf klant was pas verwijderd mag worden.
Binnen bijvoorbeeld de logistiek varieert dat van land tot land maar het gemiddelde in Europa ligt rond de 5 jaar met uitschieters tot 10 jaar na dat de levering is afgerond.

In veel gevallen is deze data encrypted met een RSA of PGP oplossing soms met beide PGP voor de bestanden en RSA voor de opslag. Simpel weg omdat die gevoelige informatie is die je niet wil dat concurrenten in kunnen zien, ook willen de bedrijven met wie je zaken doet niet dat hun gegevens uitlekken en dus sla je het op met encryptie voor het geval dat. Maar als die encryptie ophoud met de veiligheid te bieden die het nu bied dan is het te laat want als de data uitlekt dan is het te laat. En dus is de waarschuwing nu van groot belang.
Als er al een manier komt om uit een public key, een bijpassende private te genereren in afzienbare tijd (en dat is een héle grote als) hoeft dat alsnog geen probleem te zijn.

Bitcointransacties gaan van een public key van de verzender (voorzien van een signature waar je de bijbehorende private key voor nodig hebt) naar een adres. En een adres is een dubbele hash van de public key van de ontvanger (sha256 gevolgd door ripemd160). Daar kun je ook met kwantumcomputers niks mee. Je weet dus iemands public key pas op het moment dat hij de bitcoins alweer heeft uitgegeven. Dit vereist dan wel dat je adressen maar één keer gebruikt, maar tegenwoordig zijn alle wallets HD wallets waarbij dat standaard het geval is.

Bitcoins zijn 100% quantum-proof zolang ze op adressen staan waar je nog geen transactie vandaan hebt gedaan. Dus bij twijfel je bitcoins even naar een nieuw adres overmaken, en je bent veilig.

Daarnaast kan Bitcoin natuurlijk overstappen op een ander public/private key algoritme, mocht dat ooit in de zeer verre toekomst nodig zijn, maar die noodzaak is in de verste verte nog niet aan de orde. Nogmaals, er ligt echt nog een extreem lange weg tussen het ooit, misschien, mogelijk, theoretisch kraakbaar zijn van secp256k1 ECDSA, en het daadwerkelijk in de praktijk kunnen.

[Reactie gewijzigd door Jace / TBL op 13 september 2017 23:14]

Je slaat hier de plank zelf mis. Lange claimt ook helemaal niet dat dit nieuw is, het ligt meer aan het Tweakers-artikel dat die indruk wordt gewekt. Ze heeft samen met Bernstein een zogenaamde review geschreven. In principe is dat een overzicht van ontwikkelingen in een bepaald vakgebied en niet zozeer een presentatie van nieuwe resultaten.
Ik zal een voorbeeld geven:

Het RSA algorithme werkt op basis van integer factorizatie: het is heel makkelijk om getallen met elkaar te vermenigvuldigen, maar heel moeilijk (voor niet-quantumcomputers) om deze weer uit elkaar te halen. Doordat men aanneemt dat het laatste heel moeilijk is voor iedereen behalve degene die de sleutel heeft gemaakt, werkt RSA als asymetrische versleuteling.

Al sinds 2001 bestaat Shor's algorithme, wat efficient getallen kan factorizeren op een quantumcomputer, alleen de hardware die dit uit kan voeren bestaat nog niet. Als deze hardware bestaat, wordt het stukken makkelijker om de privesleutel van een RSA-encryptie te vinden, wat deze hele techniek breekt.
Ze had met een PoC moeten komen.
Hoe zie je dat voor je; een werkende quantumcomputer...!?
In theorie is over 10 jaar alles sneller te kraken als vandaag de dag... dat heeft niets met quantum computing computers te maken.
Zonder quantumcomputers is alles over tien jaar ergens tussen duizend en een miljoen keer sneller te kraken (grove schatting). Met andere woorden, in plaats van miljarden keren de leeftijd van het heelal duurt het dan nog duizenden tot miljoenen keren de leeftijd van het heelal. Mét quantumcomputers duurt het minuten (of seconden!?). Allebei is "sneller", maar de ene versnelling is geen probleem, de andere toch echt wel.
En de vraag is of men over 10 jaar wel zover is om een paar kilobytes te houden in quantum computing "geheugen".
Nee, dat is niet de vraag. De echte vraag is "moeten we serieus rekening houden met de mogelijkheid dat dat gaat lukken?". Het bijbehorende antwoord is (volgens mij en, ietsje relevanter, volgens Lange) "ja!".

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*