NIST stelt encryptiealgoritmes vast die bestand zijn tegen quantumcomputers

Het NIST heeft drie nieuwe algoritmestandaarden voor postquantumcomputing vastgesteld. De algoritmes zijn bedoeld voor algemene versleuteling en digitale handtekeningen. De standaarden moeten encryptie beveiligen tegen quantumcomputers die versleuteling kunnen breken.

Het National Institute of Standards and Technology van het Amerikaanse ministerie van Handel heeft de drie nieuwe algoritmes uitgebracht, inclusief documentatie over hoe beheerders ze in hun systemen kunnen integreren. Het gaat om drie encryptiestandaarden waarmee versleutelde verbindingen kunnen worden opgezet die bestand zijn tegen quantumcomputing. Bestaande public-key-cryptografische standaarden zijn gebaseerd op wiskundige berekeningen die praktisch niet te kraken zijn door 'gewone' computers, maar in de toekomst in theorie wel door quantumcomputers. Daarom ontstaat er behoefte aan nieuwe encryptiestandaarden die bestand zijn tegen quantumcomputing.

Het NIST heeft nu drie algoritmes gemaakt. Een daarvan is bedoeld voor standaardversleuteling, waarbij twee partijen een gedeelde secret key kunnen uitwisselen via een publiek kanaal. Dat algoritme kan bijvoorbeeld worden gebruikt in communicatiediensten met end-to-endversleuteling. De twee andere algoritmes zijn bedoeld voor digitale handtekeningen, die bijvoorbeeld worden gebruikt voor het valideren van domeinen of berichten. Daarnaast werkt het NIST aan nog twee andere standaarden, die in de toekomst als alternatief voor de nu vastgestelde algoritmestandaarden kunnen worden gebruikt.

Het eerste algoritme, voor de standaardversleuteling, is FIPS 203, een module-lattice-based key-encapsulation mechanism-standaard. Zo'n KEM kan een gedeelde sleutel opzetten met een algoritme voor symmetrische keys. Het module-latticegedeelte verwijst naar de cryptografische praktijk van module learning with errors, wat over het algemeen gezien wordt als een van de beste manieren om een algoritme op te zetten dat bestand is tegen quantumcomputing. Het NIST zegt dat het van deze ML-KEM-standaard drie varianten heeft gemaakt, op basis van 512-, 768- of 1024bit-sterkte om het algoritme krachtiger te maken. Deze standaard is gebaseerd op het Kyber-protocol, waarmee ook veel grote techbedrijven al experimenteren.

Een van de andere twee standaarden voor digitale ondertekening maakt gebruik van hetzelfde module-latticemechanisme: FIPS 204, dat op zijn beurt gebruikmaakt van het Crystals-Dilithium-algoritme. Het NIST heeft daarnaast nog een tweede standaard opgesteld voor digitale handtekeningen: FIPS 205, een stateless hash-based standaard. Die is gebaseerd op Sphincs+, een signature scheme dat specifiek voor deze NIST-standaard is gemaakt. FIPS 205 is bedoeld om hashes aan te maken in stateless omgevingen, waarbij data niet wordt bewaard.

Het NIST vroeg in 2016 al om voorstellen uit de sector voor postquantumencryptiestandaarden. Daaruit kwamen 82 potentiële algoritmemodellen naar boven, die door het NIST zijn getest en geëvalueerd. Uiteindelijk waren de huidige drie modellen het geschiktst. Eind 2024 wil het NIST nog een vierde standaard presenteren.

Reacties (76)

Skit3000

16 augustus 2024 10:59

Het grote nadeel van een van bovenaf opgelegde encryptiestandaard is dat je niet weet of deze (of een bovenliggende partij) zelf misschien (in de toekomst) wel mogelijkheden ziet om gecodeerde berichten te lezen.

Zo heeft de Amerikaanse overheid na de Tweede Wereldoorlog bijvoorbeeld hun overschot aan Hagelin M-209 cipher apparaten voor een schijntje aan verschillende (derde)wereldlanden verkocht terwijl ze zelf al op de hoogte waren van verschillende manieren om onderschepte communicatie te decoderen, wat met het gebruik van computers alleen nog maar makkelijker werd. Toch hebben landen tot ver in de jaren '70 nog deze machines (vergelijkbaar met de Duitse Enigma, maar iets minder veilig) gebruikt.

Overigens is de M-209 in bepaalde gevallen nog steeds onkraakbaar; als de sleutel maar vaak genoeg gewisseld wordt en er alleen korte berichten worden gestuurd. Het Amerikaanse leger gebruikt zelfs nog een
handmatige, papieren encryptiestandaard DRYAD
om over (mogelijk) onbeveiligde kanalen toch relatief simpel een geheim bericht te versturen.

[Reactie gewijzigd door Skit3000 op 16 augustus 2024 11:06]

bomberboy @Skit3000 • 16 augustus 2024 11:13

Het grote nadeel van een van bovenaf opgelegde encryptiestandaard is dat je niet weet of deze (of een bovenliggende partij) zelf misschien (in de toekomst) wel mogelijkheden ziet om gecodeerde berichten te lezen.

Het is zo dat NIST vooral het proces managed. Ze doen uiteraard zelf ook een analyse en check (en hebben heel capabele mensen in dienst). Maar ze hebben niet zelf de ontwikkeling gedaan.

Deze standaarden zijn het resultaat van een internationale en publieke bevraging naar nieuwe algoritmes, die ook publiek en door verschillende universiteiten gevalideerd en geëvalueerd worden. Het is eerder een soort van wedstrijd waarbij iedereen zijn voorstel kan indien, en iedereen die voorstellen ook kan proberen te kraken. Diegene die er het beste uit komt wordt dan uiteindelijk geselecteerd en in die standaard gegoten.

De rol van het NIST is hier veeleer "projectmanager". Als er dus al een probleem zou zijn met één van die standaarden, dan heeft de hele internationale encryptie gemeenschap dit nog niet ontdekt.

Tarquin @bomberboy • 16 augustus 2024 12:32

Ik snap de redenering maar dit is achterhaald.

De US heeft echt zelf behoefte aan sterke onkraakbare encryptie. Het is niet alsof ze dit spul voor de russen voorschrijven zodat de US het kan kraken:
Dit is wat ze zélf voor zichzelf voorschrijven zodat de russen het niet kunnen lezen.

Na het drama met DES, PGP en zelfs een poging om encryptie onder restricties te plaatsen, ziet men inmiddels dat een bewuste zwakheid in encryptie toch waarschijnlijk ontdekt gaat worden en de gevolgen daarvan wegen echt niet op tegen het kunnen lezen van berichten.

The Underminer @Tarquin • 16 augustus 2024 14:08

Welk drama met PGP?

Ik heb wel eens wat gehoord over verkeerde implementatie die het onveiliger maakte onder het mom van gebruiksvriendelijkheid, maar niet dat het gekraakt zou zijn.

Tarquin @The Underminer • 16 augustus 2024 14:18

Overheid was doodsbang voor encryptie die ze niet konden kraken.
DES werdt verplicht gesteld en sterke, onkraakbare encryptie werd onder de wet 'munitie' geschaard waardoor export en distributie aan banden werd gelegd.

Paul Zimmerman publiceerde een sterk-encryptie programma PGP als open source, wat maakte dat iedereen sterke encryptie kon gebruiken zonder bij de overheid te moeten bedelen om alsjeblieft een bewust mank gemaakt algoritme te mogen kopen.

Dat heeft een rol gespeeld in de discussie omdat duidelijk werd dat je 'encryptie' niet kan verbieden omdat mensen gewoon de sourcecode kunnen verspreiden.

Op een gegeven moment waren er ook T-shirts te koop met 4 cruciale coderegels uit het algoritme, waardoor de T-shirts strikt genomen volgens de wet verboden zouden zijn.

Leuke verhalen uit andere tijden.

fevenhuis @Tarquin • 16 augustus 2024 16:51

Dit gaat niet perse over encryptie maar over technologie (Quantum computers) die encryptie selectief kunnen breken.

De bedoeling van deze standaarden is dus om de huidige gebruikte encryptie te beschermen tegen Quantum aanvallen.

Wat betreft het verhaal hoe betrouwbaar is NIST, het lijkt mij vrij eenvoudig, zij zullen standaarden prefereren waar zij zelf de zwakheden van kennen.

Dit is echter inherent aan encryptie standaarden ontwikkelen, zonder de zwakheden op te zoeken ben je niets aan het ontwikkelen. En als je toch al de zwakheden kent is het nog handiger om er een aantal te verzwijgen.

De enigste manier om dit te breken is door zelf zeer goed te worden in encryptie (wiskunde), maar dan blijf je nog altijd zitten met het probleem, hoe voorkom je dat dit gestolen word.

De meeste landen zullen afhankelijk blijven van NIST standaarden omdat zelf gewoonweg niet de kennis bezitten, maar hebben zelf een bepaalde macht tegenover landen die de standaarden niet eens kunnen implementeren.

Belangrijk hier is dus om te begrijpen dat wij nu in een transitie fase zitten van communicatie technologie.

[Reactie gewijzigd door fevenhuis op 16 augustus 2024 16:52]

Tarquin @fevenhuis • 17 augustus 2024 12:00

Dat is wat ik in twijfel trek: Dat ze iets met een bekende zwakheid introduceren in de hoop dat die zwakheid geheim blijft.

Ik denk dat men inmiddels geleerd heeft dat een beveiligingstechniek onder het vergrootglas komt en dat die bewuste zwakheid dus bekend wordt.
En dat men daarom zoekt naar écht sterke crypto waar ze écht in kunnen vertrouwen. En niet crypto met een achterdeur.

fevenhuis @Tarquin • 17 augustus 2024 13:28

En als we kijken naar de zwakheden die aan de lopende band gevonden worden, kunnen we ook gewoon concluderen dat het verzwijgen van zwakheden een standaard praktijk is.

twigsagan @fevenhuis • 18 augustus 2024 21:32

Aan de lopende band zwakheden in encryptie? Kun je een paar voorbeelden noemen van de laatste tien jaar? Volgens mij komt dit toch niet snel voor. Welke algoritmes gaat het om?

blorf @fevenhuis • 16 augustus 2024 22:12

Jammer dat ze nooit met details komen. Ik wil wel eens zien wat er precies een probleem is als je het probeert met een simulatie op een normale computer. Er ontstaat ergens door quantum-eigenschappen een niet-haalbaar exponent aan mogelijke combinaties die niet uit constanten herleidbaar zijn, want dan had je het gewoon uit een tabel kunnen halen? Wat is het verschil met een functie die niemand kan voorspellen omdat het kastje dicht is? Dan is de QC zelf de sleutel.

[Reactie gewijzigd door blorf op 16 augustus 2024 22:47]

fevenhuis @blorf • 19 augustus 2024 16:38

Inderdaad het gaat uiteindelijk toe naar het moment dat Quantum technologie zelf de basis voor encryptie wordt (is).

blorf @fevenhuis • 19 augustus 2024 17:25

Een probleem is dat het aan alle kanten commercieel is. Ik heb nog geen elementaire beschrijving van een qubit gezien zoals die voor een transistor. Dat wordt altijd zo ingewikkeld dat de werkelijke functie gewoon onduidelijk blijft. Net als bij AI chips gaat dit volgens mij alleen maar om het hebben van een systeem dat van buitenaf niet controleerbaar is.

The Underminer @Tarquin • 16 augustus 2024 14:23

Ah, drama voor de overheid omdat het te sterk is, ok ik had je verkeerd begrepen

SVMartin @Tarquin • 16 augustus 2024 19:24

Lang geleden was Zimmerman op bezoek bij de TU Eindhoven (dit was rond de eeuwwisseling), waar ik toen studeerde. In zijn verhaal vertelde hij dat ze de code het land uit kregen door deze te printen en buiten de VS weer over te typen.

n4m3l355 @Tarquin • 16 augustus 2024 13:58

Is het misschien ook niet zo dat de noodzaak naar backdoors minder is? De US overheid zal met weinig moeite grote partijen in de US maar ook die zaken doen met de US overtuigen om toch toegang te krijgen tot hetgeen wat ze willen via court orders. En hoewel data steeds vaker E2E encrypted is, zijn de devices waarmee het gebeurd niet.

Tarquin @n4m3l355 • 16 augustus 2024 14:03

Klopt ook.
Overheden zijn niet blij met E2E omdat ze dan de sleutel niet hebben, maar veel vaker krijgen ze gewoon via een device of een court-order toegang. Het hoeft dus helemaal niet opgelost te worden via het kraken van crypto.

dit dus:
https://xkcd.com/538/

Nielssss @Tarquin • 16 augustus 2024 18:07

En da's waarom https://en.m.wikipedia.org/wiki/Deniable_encryption een ding is

Verwijderd @Nielssss • 16 augustus 2024 23:18

Wat super interessant. Ik begin eens met BestCrypt StegFS.

[Reactie gewijzigd door Verwijderd op 16 augustus 2024 23:21]

Mushroomician @Tarquin • 16 augustus 2024 19:14

Pardon, wat is er mis met PGP?

Stetsed @Skit3000 • 16 augustus 2024 11:14

In theory heb je gelijk, in de praktijk worden algorithmes door deze situtaties juist niet vertrouwt. Bijvoorbeeld toen ze een nieuwe symetrische encryptie wouden om weg te stappen van DES(Of triple-DES toen), hielden ze een competitie waar uiteindelijk wat wij nu kennen als AES is uitgekomen(Originele naam was Rijndael Cipher[1]).

Maar het waren niet alleen NIST of andere overheids organisaties die er naar keken, het waren cryptographen vanuit een groot deel van de industrie, en deze mensen kregen ook een stem toen hij uiteindelijk werdt gekozen[2], en zijn ook gemaakt door mensen die bekend waren in de cryptographische industry.

We zagen dit ook met ECDSA[3], omdat het niet publiek was hoe ze zijn gekomen op de curve(Het is een ECC cryptographie methode) zijn gekomen, en dus wordt er in mijn experience meer gebruik gemaakt van EdDSA die je misschien beter kent als Ed25519 als je gebruik maakt van SSH.

Ik ben zelf niet op de hoogte gebleven van hoe deze encryptie standaard tot stand is gekomen, maar als ik naar het artikel erover kijk[4], en effe blader door de publicatie documenten lijkt het erop dat het in een soort gelijke manier is gedaan zoals bij AES, dat het begon met crytographen die hun eigen dingen mochten voorstellen, en dat ze dan allemaal de kans kregen om de anders algorithme te testen en zo voort.

Dus hoewel je gelijk hebt, je kan algorithmes niet compleet vertrouwen want ja, was jij erbij toen het werdt gekozen? Maar in dit soort situtatie lijkt het meer op een AES situtatie dan een ECDSA situtatie.

[1]. Wikipedia: Advanced Encryption Standard
[2]. Wikipedia: Advanced Encryption Standard process
[3]. Wikipedia: Elliptic Curve Digital Signature Algorithm
[4]. Wikipedia: NIST Post-Quantum Cryptography Standardization

[Reactie gewijzigd door Stetsed op 16 augustus 2024 16:49]

mrmrmr @Stetsed • 16 augustus 2024 16:48

Wat bedoel je met triple DSA? Bedoel je triple DES?

Stetsed @mrmrmr • 16 augustus 2024 16:49

Je hebt gelijk, bedankt voor de correctie.

latka @Skit3000 • 16 augustus 2024 11:07

Tsja, Nederland doet leuk mee met dit soort spelletjes. Maar het alternatief zou dan zijn: zelf iets verzinnen en ik weet zeker dat dat zeer onveilige rot-13 niveau van oplossingen gaat leveren.

Skit3000

@latka • 16 augustus 2024 11:10

Elk land zou dat doen, als ze de kans krijgen. Ik denk dat het van dat oogpunt gezien ook slim is dat de VS hier nu mee komt, dan gaan mensen (hopelijk voor hen) in ieder geval hun standaard gebruiken in plaats van die uit Nederland, Frankrijk, China, Rusland, etc. De kans is ook vrij groot dat we nu allemaal aan deze standaarden vast komen te zitten, omdat de meerderheid van de software die we gebruiken ook haar oorsprong kent in de Verenigde Staten (en die dus gedwongen kunnen worden het te gebruiken).

cotix @latka • 16 augustus 2024 11:25

Daarom ook 2x rot-13 dat is twee keer zo veilig

beerse @Skit3000 • 16 augustus 2024 11:20

Met encryptie standaarden en ook met organisaties als het NIST zie ik niet dat het van boven af opgelegd is.

Wel zie ik dat het NIST redelijk snel is met het opzetten van specificaties voor versleuteling die bestand zouden zijn tegen quantum processing. En ze is best snel met het evalueren van deze standaarden. En ze doet dit redelijk open. Daarmee is het aan een ieder om zelf te kiezen gebruik te maken van deze specificaties en zelfs om gebruik te maken van deze standaarden.

Nu je het over de geschiedenis van versleuteling technieken hebt: In de 2e wereld oorlog waren de geallieerden continu op jacht naar nieuwe enigma machines. Maar ze mochten die nooit te pakken krijgen. Dit om de tegenpartij te laten geloven dat ze de versleuteling nog niet hadden doorbroken. Terwijl ze al voor 1940 zo'n enigma machine hadden. Als je dat door trekt naar nu: Misschien heeft het NIST deze nieuwe versleuteling al doorbroken...

pagani @Skit3000 • 16 augustus 2024 11:21

Je moet echter niet alleen korte berichten versturen, maar ook voorkomen dat er veel herhaling in zit. Zo was bij Enigma de standaard afsluiting met de groet aan hun leider een handige zwakte, evenals gestandaardiseerde berichten (orders volgens een vastgestelde structuur, weerberichten etc.)

kodak

Beveiliging en antivirus

@Skit3000 • 16 augustus 2024 11:23

Het risico is dus dat men niet weet of de encryptiealgoritmes ze genoeg zal beschermen. Maar aangezien het grootste deel van de wereld niet in staat is inhoudelijk te bepalen of een encryptiealgoritme geschikt is gaat dat net zo goed op als ze zelf proberen een keuze te maken. En dat geeft waarschijnlijk nog veel meer risico, omdat ze dan ook kunnen kiezen voor encryptiealgoritmes die nu al weinig tot geen bescherming geven.
Daarom gaat een standaard accepteren niet slechts om wantrouwen in een of meer betrokkenen, maar ook om genoeg vertrouwen kunnen hebben in wie er nog meer een inhoudelijke mening over heeft. Dat is ook waarom deze standaarden transparantie hebben.

GertMenkel

Beveiliging en antivirus

@Skit3000 • 16 augustus 2024 11:35

Hier zitten ook weer voordelen aan. Bepaalde geheime diensten lopen aardig voor op de academische wereld als het om het aanvallen van cryptografie gaat, en ook zij willen hun landsbelangen beschermen. Bij het standaardiseren van DES bleek bijvoorbeeld dat de NSA al tientallen wist van differentiële cryptografische aanvallen die in de bedrijfswereld nog relatief nieuw waren.

Zolang je niet de constantes vanuit de overheid aanhoudt (zoals secp256r1) maar constantes die opener gekozen zijn (secp256k1, Curve25519) is het risico op misbruik kleiner maar kun je de algoritmes van de overheid goed gebruiken. Dan moet je wel opletten dat je random-number-generator niet van een overheid afkomt, want bij veel algoritmes is kennis een patroon in de volgens de standaard willekeurige getallen een gifpil voor de veiligheid van je gegevens.

eheijnen @Skit3000 • 16 augustus 2024 12:27

Dit soort zaken horen open source te zijn.
Zodat ze op geldigheid en functionaliteit getest kunnen worden en we niet achter zoveel jaar weer een hele bende achterdeuren hebben gevonden...

Frame164 @eheijnen • 16 augustus 2024 13:10

Het hoeft niet open source te zijn, het moet wel een open standaard zijn.

-jacQues- 16 augustus 2024 11:07

Het lĳkt bĳna of bestaande encryptiealgoritmes niet voldoen. Dit is voor zover ik het weet niet waar.

Een aantal (MD5 en SHA1) zĳn überhaupt niet (meer) veilig, quantum of 'gewone' computer. Bĳ een boel andere (bĳvoorbeeld SHA256) wordt het gemakkelĳker/sneller met quantumcomputer, maar daarmee nog steeds niet haalbaar. Wanneer je om een private key te vinden een miljard jaar nodig hebt in plaats van een biljoen jaar, heb je 'winst'. Maar dan nog ben je logischerwĳs veilig met het gebruik ervan.

Uiteraard is dit afhankelĳk van de totale rekenkracht die men kan inzetten. Maar voor nu en zeer waarschĳnlĳk tot het einde van deze eeuw volstaan veel bestaande algoritmes. Dus waarom een nieuw, onbekend en onbewezen algoritme gebruiken, wanneer er bestaande, veilige en bewezen versies voorhanden zĳn? Angst is een slechte raadgever. Dat gezegd hebbende, juich ik nieuwe ontwikkelingen zeker wel toe.

Stetsed @-jacQues- • 16 augustus 2024 11:29

Bĳ een boel andere (bĳvoorbeeld SHA256) wordt het gemakkelĳker/sneller met quantumcomputer

Dit is niet correct, QC's hebben weinig effect op Hashing functies(Je mixt op dit moment hashing met encryptie), hier praat het artikel ook niet over en de standaard waar ze naar wijzen[1], is ook niet een nieuwe standaard voor hashing het is een nieuwe standaard voor encryptie, in specifiek een nieuwe standaard voor asymetrische encryptie want deze is het meest vatbaar voor aanvallen van quantum computers.

AES in de currente vorm en met de aanvallen die wij kennen verliest hij de helft van de bits als "security"(Dit is heel kort gezegd), dus AES-256 met een quantum computer is ongeveer zo sterk als AES-128 op een normale computer, dus is het nog veel dan beter genoeg, dit is ook waarom NIST waaruit ook de overheid van de VS zijn beleid uit haalt op encryptie heeft gezegd in 2023 dat voor secret/top-secret documenten het nu nodig is om AES-256 te gebruiken.

RSA verliest dus well heel wat van zijn security, want met gebruik van Shor's algorithm(en andere, dit is de meest bekende) wordt de tijd per bit gigantisch omlaag gebracht[2/3](Heel interesant om over te lezen). Dit is ook waarom deze standaard bestaat juist omdat deze publieke encryptie vormen heel wat minder complex zijn voor QC's.

[1]. https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.203.pdf
[2]. Wikipedia: Shor's algorithm
[3]. https://quantum-journal.org/papers/q-2021-04-15-433/pdf/

[Reactie gewijzigd door Stetsed op 16 augustus 2024 11:43]

CAPSLOCK2000

Beveiliging en antivirus

@-jacQues- • 16 augustus 2024 14:42

Bĳ een boel andere (bĳvoorbeeld SHA256) wordt het gemakkelĳker/sneller met quantumcomputer, maar daarmee nog steeds niet haalbaar. Wanneer je om een private key te vinden een miljard jaar nodig hebt in plaats van een biljoen jaar, heb je 'winst'. Maar dan nog ben je logischerwĳs veilig met het gebruik ervan.

Uiteraard is dit afhankelĳk van de totale rekenkracht die men kan inzetten.

Je hebt zeker een punt, er moet nog veel gebeuren voor quantum-computers praktisch bruikbaar zijn om hedendaagse cypto te kraken. De ellende met crypto is dat je ver in de toekomst moet kijken, tien of twintig jaar is niks als het om echt belangrijke informatie gaat, of dat nu staatsgeheimen zijn, oliereserves of medische informatie.

Voor IT is 20 jaar vooruit kijken erg ver, maar een menseleven duurt een stuk langer. De crypto op het dagboek dat ik als puber bijhield is inmiddels waardeloos, maar ik zou dat dagboek toch liever niet met anderen delen.

De ervaring leert dat je iedere tien á twintig jaar over moet op een ander algortime. Zo'n algoritme gaat decennia lang mee, maar de migratie kost tien jaar. Wegmigreren naar het volgende algoritme kost ook weer 10 jaar (voor de bulk van je oude data en applicaties zijn omgezet). Een levensduur van twintig jaar is dus het absolute minimum, eigenlijk wil je dertig jaar of meer op zo'n algoritme kunnen vertrouwen.
Dat is vervelend lang voor IT.

Maar voor nu en zeer waarschĳnlĳk tot het einde van deze eeuw volstaan veel bestaande algoritmes.

Tot het einde van de eeuw geloof ik niet. Dusver heeft geen enkel algoritme het zo lang volgehouden. Ook zonder crypto verwacht ik dat de standaarden van nu (bv AES) het niet volhouden tot het einde van de eeuw.

Waarschijnlijk kunnen de huidige algoritme nog lang mee, maar "waarschijnlijk" is niet goed genoeg. Niemand kan garanderen dat de huidige algoritmes foutloos zijn, morgen zou iemand een geniaal inzicht kunnen hebben waardoor een bestaand algoritme onmiddelijk omvalt. We moeten zorgen dat de volgende generatie crypto klaar staat voor het geval dat zou gebeuren, hoe onwaarschijnlijk ook.

Dus waarom een nieuw, onbekend en onbewezen algoritme gebruiken, wanneer er bestaande, veilige en bewezen versies voorhanden zĳn?

Dat onbekend en onbewezen is niet helemaal waar. NIST heeft die algoritmes niet zelf bedacht. NIST heeft gekozen uit bestaaande algoritmes. Daar zijn ze al in 2016 mee begonnen en er is dus al jaren ervaring met deze algorimtes, ook al zit die vooral bij security researchers. Nu is het punt bereikt dat NIST zegt dat de algoritmes zich voldoende bewezen hebben om in het echt te gebruiken. Meer ervaring is beter, maar die zal ergens vandaan moeten komen.

Uiteraard moet je altijd je eigen afweging maken tussen belangen, risico's, bedreigingen, kosten, etc... Het is zeker nog niet zo ver dat iedereen nu direct over moet naar deze nieuwe algoritmes. Maar als je je zorgen maakt over quantumcomputers, nu of in de toekomst, dan heb je nu opties.

Niemand weet hoe lang het nog duurt voor quantum-computers praktisch bruikbaar zijn maar de laatste jaren is er duidelijk groei te zien die doet denken aan de wet van Moore.

Het eind van deze eeuw is echt nog veel te ver weg om nu voorspellingen over te doen. Alsof iemand op grond van de Enigma uit de tweede wereldoorlog moet voorspellen hoe computerbeveiliging er nu uit zien. Overigens, in ondersteuning van jouw standpunt, het is nog steeds niet makkelijk voor gewone mensen om een door Enigma versleutelde tekst te kraken. Voor de overheid of een groot bedrijf is het echter geen enkel probleem.

Om mijn dagboek geheim te houden zou een Enigma prima voldoen. Behalve als (ok, wanneer) ik minister president van Nederland wordt, dan wil ik dat het dagboek uit mijn jeugd nog steeds niet eenvoudig te kraken is. Journalisten hoeven niet te weten wat ik dacht als puber.

uiltje @CAPSLOCK2000 • 17 augustus 2024 02:00

"Om mijn dagboek geheim te houden zou een Enigma prima voldoen. Behalve als (ok, wanneer) ik minister president van Nederland wordt, dan wil ik dat het dagboek uit mijn jeugd nog steeds niet eenvoudig te kraken is. Journalisten hoeven niet te weten wat ik dacht als puber."

Da's ook weer wat overdreven. Een enigma code is door iedereen a la seconde te kraken. En dat kan ook het geval zijn voor RSA & ECC versleuteling die vandaag de dag wordt gebruikt. Het probleem daarvan is dat de ciphertext nu kan worden opgeslagen om in de toekomst te worden ontsleuteld. Het hangt er natuurlijk vanaf of je je dagboek ooit openbaar wilt maken. Maar als je dat niet wilt dan zijn de gangbare asymmetrische versleutelmethoden niet meer voldoende.

Skit3000

@-jacQues- • 16 augustus 2024 11:15

Niks staat je in de weg om zowel een bestaande, als een tegen quantumcomputing beschermende encryptiemethode gelijktijdig te gebruiken.

Overigens denk ik dat je de snelheid van de ontwikkelingen onderschat. Op priemgetallen gebaseerde encryptie zou bij het algemeen beschikbaar komen van quantumcomputers met de eerste de beste ontdekking van een goed algoritme om dit te decoderen, direct leesbaar kunnen zijn.

GertMenkel

Beveiliging en antivirus

@-jacQues- • 16 augustus 2024 11:55

MD5 en SHA1 zijn geen versleutelingsmethode maar hashes. Het doel van een hash is niet om de data er weer uit te krijgen, maar om dezelfde data nog een keer door het algoritme heen te gooien en hetzelfde resultaat eruit te krijgen. Er is geen methode om een van beiden te kraken op het moment, maar computers zijn wel snel genoeg om met hulp een efficiënte brute-force voor elkaar te krijgen, en met dingen als rainbow tables is de hoeveelheid rekenkracht voor simpele hashes flink verminderd.

Als je het over versleuteling hebt, heb je het eerder over dingen als AES, elliptische curves, of RSA.

Het probleem waar we tegenaan lopen is dat we weten dat de meeste assymmetrische cryptografie eenvoudig kan worden doorbroken zodra er een quantumcomputer is die sterk genoeg is. Dat is geen "als", maar een "wanneer", zelfs als die "wanneer" misschien 30 jaar in de toekomst ligt. Nu is AES daar als het goed is veilig tegen beschermd, maar voor het afstemmen van de AES-sleutel wordt doorgaans assymmetrische cryptografie gebruikt; AES hoeft dus ook niet gekraakt te worden als je het sleutelafspreekproces maar kan kraken. Dat is anders dan bij bijvoorbeeld DES, waar de Amerikanen de sleutel ingekort hebben tot 56 bits zodat het niet sterk genoeg was om onkraakbaar te zijn. 3DES heeft dat iets verbeterd (sleutels van 112 bits), maar vanwege de kleine blokgrootte kun je na het opvangen van driekwart terabyte aan versleutelde data de sleutel aanvallen. Bij AES is de blokgrootte 128 bits, dat helpt met dit soort aanvallen enorm.

Momenteel zijn grote overheden bezig met het opvangen en opslaan van een hele hoop (ook versleutelde) data voor onbekende redenen. Het vermoeden is dat deze overheden wachten tot ze de nodige kraakhardware hebben om daarna jaren later al het verkeer te kunnen inzien. Goed voor het oppakken van terroristen en moordernaars, minder goed voor het oppakken van activisten, politici, en klokkenluiders.

Er wordt al jaren gekeken naar het post-quantumversleuteling; men was er op tijd bij, en neemt de tijd om het goed te doen. De technologie hierachter is verre van nieuw of recent, juist omdat men niet makkelijk wisselt van versleutelingsmechanisme zonder het nodige vertrouwen.

Mocht je het toch niet vertrouwen: dit soort standaarden kun je in de meeste versleutelingssoftware zelf kiezen. Zet de nieuwe standaarden uit in je software/browser/server, en je zult nergens last van hebben.

[Reactie gewijzigd door GertMenkel op 16 augustus 2024 11:56]

sdziscool 16 augustus 2024 11:06

Dit was een moeilijke hoor! Het probleem met post quantum crypto en de crypto wetenschappers is dat het eigenlijk twee
ver van elkaar verwijderde disciplines waren, dus veel crypto wetenschappers hadden geen goede grasp op de mogelijkheden van quantum, terwijl quantum onderzoekers juist geen grip hadden op wat mogelijk is met klassieke computers. Dit leidde bijvoorbeeld tot het (bijna grappige) voorval waarbij een van de post quantum algoritmes met een Dell optiplex oid in een weekendje gekraakt kon worden.

Nog steeds is geen van de algoritmen hedendaags theoretisch veilig naar mijn idee, maar ook het huidige ECC is ook nog niet hardcore proven en daar runnen we ook al jaren op

joost00719 16 augustus 2024 12:51

Veritasium had een tijdje terug een video gemaakt waar Lattice Based Encryption werd uitgelegd. Voor de geïnteresseerden: YouTube: How Quantum Computers Break The Internet... Starting Now

n00bs 16 augustus 2024 12:56

In Edge ziet je al Kyber support actief staan (nog een Draft versie)
In Firefox heb ik het kunnen enablen via about:config zoeken op security.tls.enable_kyber -> 1

Vervolgens kijk je hier: https://crypto.cloudflare.com/cdn-cgi/trace
http=http/2
loc=NL
tls=TLSv1.3
sni=plaintext
warp=off
gateway=off
rbi=off
kex=X25519Kyber768Draft00

SuperDre 16 augustus 2024 13:29

Ben benieuwd hoe snel die gekraakt zullen worden zodra er ook daadwerkelijk quantum computers op de markt zijn. Nu is het nogal theoretisch testen, maar we weten dat vaak genoeg eenmaal in de praktijk met steeds sneller wordende computers en nieuwe inzichten, algorithmes nogal wel eens snel gekraakt kunnen worden. Zeker als je er ook nog eens AI op inzet.

FrostyPeet 16 augustus 2024 13:40

Dit gaat mij boven mijn pet, dat quantum gebeuren.

Ik ben nog een KISS man. Het geheime archief van het Vaticaan is nog steeds geheim omdat het op papier staat, in een kelder, in een kooi. Dan zal je toch echt fysiek een exemplaar in handen moeten krijgen.

Dat mijn PGP e-mails uit 1990 over 30 jaar gekraakt zouden kunnen worden, daar lig ik niet wakker van. Die info is allang irrelevant. Als iemand real-time mijn TLS internet bank verbinding kan meelezen, dat lijkt me wel eng.

Verwijderd @FrostyPeet • 16 augustus 2024 15:16

Dat mijn PGP e-mails uit 1990 over 30 jaar gekraakt zouden kunnen worden, daar lig ik niet wakker van. Die info is allang irrelevant. Als iemand real-time mijn TLS internet bank verbinding kan meelezen, dat lijkt me wel eng.

Bewaar jij je emails zo lang??? Ben je een liefhebber van nostalgie?

[Reactie gewijzigd door Verwijderd op 16 augustus 2024 15:17]

Verwijderd @Verwijderd • 16 augustus 2024 23:37

Goeie backupstrategie dunkt me. Kan me relateren.

Dark Angel 58 16 augustus 2024 11:54

Is die instelling betrouwbaar? Werkt het niet voor overheid of geheime dienst? Dat ze iets weten hoe het gekraakt kan worden??

Ik zou het eerst door echt meerdere onafhankelijk instellingen laten bevestigen voordat we het kunnen inzetten.

Geez ik klink zo paranoïde lol 😹

[Reactie gewijzigd door Dark Angel 58 op 16 augustus 2024 11:56]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Dark Angel 58 • 16 augustus 2024 12:58

NIST is het National Institute of Standards and Technology; een wetenschappelijke instelling die onder de Amerikaanse federale overheid valt. Het is een toonaangevend orgaan bekend van o.a. het NIST Cyber Security Framework. Dit framework bevat op hoofdlijn vijf gebieden: Identify, Protect, Detect, Respond, and Recover.

De NIST staat erg hoog aangeschreven binnen de cyber security wereld. De NIST bestaat overigens al heel erg lang en was tussen 1901 en 1988 bekend als "the National Bureau of Standards".

Meer informatie: National Institute of Standards and Technology

[Reactie gewijzigd door Bor op 16 augustus 2024 22:49]

uiltje @Bor • 17 augustus 2024 02:12

Mja, da's een beetje kort door de bocht als je bedenkt dat NIST onder grote invloed staat van de NSA.

Dark Angel 58 @uiltje • 17 augustus 2024 02:43

Precies dat bedoel ik nou… dat vertrouw ik het niet zo makkelijk.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@uiltje • 17 augustus 2024 08:38

Wat gewoon de Amerikaanse National. Security Agency is. Soortgelijke diensten hebben we hier ook in Nederland.

uiltje @Bor • 17 augustus 2024 22:22

Dat klopt, maar wat is je argument?

Frame164 @Dark Angel 58 • 16 augustus 2024 13:13

Het staat je vrij om zelf encryptiealgoritmes te bedenken en de wereld te overtuigen dat ze jouw algoritmes moeten gebruiken. Er is echter geen reden om NIST te wantrouwen. Jouw bericht is hier ook geplaatst middels door NIST aanbevolen zaken.

uiltje @Frame164 • 17 augustus 2024 02:14

Er zijn wel degelijk redenen om NIST te wantrouwen. Zie bijvoorbeeld het Dual-EC debacle en vroeger het single-DES / keysize probleem, waarbij in beide gevallen de invloed van NSA duidelijk te merken was. Maar tot nu toe worden de internationaal uitgezette competities wel in hoog aanzien gehouden.

TheMak @Dark Angel 58 • 16 augustus 2024 13:56

Nou de Amerikaanse overheid wil uiteindelijk zelf ook vertrouwelijk kunnen communiceren met de buitenwereld zoals NASAof SpaceX. De aanname is dat ze daarbij niet op methodes vertrouwen die ze zelf kunnen kraken. Want dan kunnen de chinezen het ook. Maar dat is een aansme.

uiltje @TheMak • 17 augustus 2024 02:18

Het feit dat deze algoritmen een keuze waren die internationaal werden bekeken en bekritiseerd geeft wel wat meer vertrouwen. Maar er zijn zeker vroeger wel degelijk algoritmen zoals DES of Dual-EC (een random number generator) in de markt gezet. Het laatste heeft RSA labs grotendeels de das om gedaan...

Overigens zijn ook nu niet alle wetenschappers even blij met de keuzes. CRYSTALS-Dilithium en -Kyber worden door bijvoorbeeld door de heer Bernstein bekritiseerd omdat hij vind dat de security argumentatie relatief zwak is. Dat betekend overigens niet dat het algoritme zwak is, maar dat het tegenovergestelde relatief lastig te bewijzen is.

[Reactie gewijzigd door uiltje op 17 augustus 2024 02:21]

theguyofdoom @Dark Angel 58 • 16 augustus 2024 16:45

Kyber (ML-KEM), Dilithium (ML-DSA) en SPHINCS+ (SLH-DSA) zijn ontwikkeld door consortia van voornamelijk Europese onderzoekers. De Radboud Universiteit en TU/e zijn goed vertegenwoordigd.

cotix 16 augustus 2024 11:08

Lijkt me mooi dat we ons hierop voorbereiden. Ik vraag me wel af hoe groot dit wetenschappelijk veld is. Met hoe klein de quantum computer wereld is, en het totale gebrek aan reeele quantummachines, hoeveel experts zijn nou echt bezig met quantum algoritmes verzinnen? Hoe zeker weten we dat er niet een ander algoritme is wat deze versleuteling wel kan breken?

Ook met reguliere encryptie weten we dat nooit echt zeker natuurlijk, het feit dat er nog geen snel algoritme gevonden is betekent niet dat het niet bestaat. Die sector is echter zo groot en oud, dat je wel over een vrij grote waarschijnlijkheid kan spreken. Hoe zit dit met quantum algoritmes?

sdziscool @cotix • 16 augustus 2024 11:50

Het hele idee van computing en veel algoritmes waren al uitgevonden voordat de normale computer/transistor was uitgevonden!

Verwijderd @sdziscool • 16 augustus 2024 23:28

Wikipedia: Scytale

uiltje @cotix • 17 augustus 2024 02:05

Het huidige probleem is niet zozeer de algoritmen maar de toepassing ervan. De algoritmen zijn bekend, maar er zijn nog geen identifiers voor opgesteld en de protocollen moeten nog worden aangepast. Ondertussen gebruikt e.g. Google wel al de nieuwe algoritmen om je TLS verkeer te versleutelen. Ik zie echter de banken en e.g. de Europese ID nog geen aangestelten maken om post-quantum algoritmen toe te passen, ook niet voor vertrouwelijkheid. Het probleem daarbij is wel dat de huidige protocollen op gebruikersniveau gebruik maken van lagere protocollen zoals JWT en TLS die ook nog niet aangepast zijn.

Natuurlijk is het standaardiseren van deze protocollen wel een stap voorwaarts. Nu kunnen eindelijk de identifiers worden opgesteld en de protocollen worden aangepast.

daily.data.inj 16 augustus 2024 11:28

Voor degene die zich afvragen waarom quantum computing een issue is/kan worden voor asymmetrische encryptie: ik vond Shor's algorithm verhelderend werken. Niet de formules en vergelijkingen zelf want dan moest ik afhaken

. Maar wel de concepten over het anders en dus sneller kunnen vinden van de priemgetallen, laat dat nou net zijn waar asymmetrische encryptie grotendeels om draait.

Misschien goed om te noemen, dat voor symmetrische encryptie en bestaande algoritmes er aangeraden wordt om de key sizes te vergroten naar volgens mij minimaal 256 bits om quantum proof te zijn.

Op dit item kan niet meer gereageerd worden.

NIST stelt encryptiealgoritmes vast die bestand zijn tegen quantumcomputers

Lees meer

Reacties (76)

Sorteer op:

Weergave: