De Nederlandse overheid is niet goed voorbereid op de dreigingen van quantumcomputers. Dat concludeerde de Algemene Rekenkamer in een rapport van vorige maand. Quantumcomputers zouden over een aantal jaar mogelijk in staat zijn om de huidige encryptiealgoritmes te kraken. Als deze algoritmes niet snel plaatsmaken voor quantumveilige varianten, zouden gevoelige gegevens, waaronder mogelijk staatsgeheimen, in de handen van tegenstanders kunnen belanden.
Over dergelijke dreigingen wordt al jaren gesproken. Tweakers schreef er in 2017 nog een uitgebreid artikel over, waarin ook al het advies stond om op dát moment actie te ondernemen. Toch lijkt de komst van een quantumcomputer negen jaar later nog steeds ver weg. Hoe staat het er momenteel voor met de ontwikkeling van quantumcomputers, zijn de dreigingen de afgelopen jaren toegenomen en is het nu écht nodig om er wat tegen te doen?
Shors algoritme
Ook problemen voor AES?
De huidige asymmetrische encryptiemethodes als RSA en ECC zijn door de komst van quantumcomputers te kraken, zoveel is inmiddels bekend. Maar hoe zit het met symmetrische encryptie, zoals AES? Het lijkt erop dat zulke methodes de dans zullen ontspringen.
"De impact van een quantumcomputer is daarbij beperkt", zegt hoogleraar Christian Schaffner. "Bij RSA en ECC is heb je een duidelijk quantumalgoritme dat iets doet wat niet kan op een gewone computer. Bij symmetrische cryptografie is het verschil tussen quantum en klassiek veel kleiner." Mocht het al mogelijk zijn om AES op quantumcomputers sneller te bruteforcen dan met traditionele computers, dan zou het verschil dus waarschijnlijk verwaarloosbaar zijn.
Misschien wel het grootste verschil ten opzichte van 2017 is dat onderzoekers het er nu over eens zijn dát quantumcomputers op den duur in staat zullen zijn om encryptiealgoritmes te breken. "Destijds waren er nog veel twijfelaars, waaronder serieuze wiskundigen, die niet geloofden dat je quantumcomputers daadwerkelijk kunt bouwen", zegt Christian Schaffner, hoogleraar aan de Universiteit van Amsterdam en directeur van onderzoekscentrum QuSoft. "Alle experimenten die nu gedaan worden, wijzen er echter op dat het mogelijk gaat zijn, al is het wel erg uitdagend."
Het quantumalgoritme dat het mogelijk moet maken om encryptiealgoritmes als RSA te kraken, een van de meest gebruikte algoritmes voor versleuteling, is in de jaren '90 bedacht door de wiskundige Shor. "Wat voor de veiligheid van RSA belangrijk is, is dat het heel lastig is om een groot getal te ontbinden in twee factoren van het priemgetal", vertelt Sophie Hermans van QuTech, een onderzoeksinstituut van de TU Delft. "Het getal vijftien kun je bijvoorbeeld eenvoudig ontbinden in twee factoren van priemgetallen, vijf en drie, maar dat is veel moeilijker om te doen bij een getal met tweeduizend cijfers."
Quantumcomputers kunnen dat mogelijk wél. Ze kunnen goed verschillende oplossingen tegelijkertijd bekijken. Shors algoritme zorgt ervoor dat alle mogelijke oplossingen naast elkaar worden gezet en worden geconvergeerd tot één antwoord, legt Hermans uit. "Het algoritme laat de juiste antwoorden constructief interfereren, terwijl de verkeerde antwoorden uitdoven in de berekening."
Instabiele qubits en foutcorrectie
Om Shors algoritme te kunnen berekenen, is wel flink veel rekenkracht nodig. De huidige quantumcomputers hebben honderden qubits aan rekenkracht. Dat is een hele vooruitgang ten opzichte van 2017, toen er hooguit enkele qubits mogelijk waren. Maar eigenlijk zegt dat getal nog vrij weinig. Veruit de meeste van de huidige qubits zijn namelijk zo goed als onbruikbaar.
Qubits bevinden zich in superpositie, oftewel in verschillende staten tegelijk. Normale bits zijn altijd 0 of 1, maar qubits kunnen zowel een 1 als een 0 en alles daartussenin vertegenwoordigen. Het probleem is dat quantumsystemen zeer foutgevoelig zijn door ruis van de omgeving. Dat kan van alles zijn, zoals lichtdeeltjes of elektrische pulsen. Door deze ruis blijft de staat van een qubit vaak niet goed bewaard.
Qubits gebruiken foutcorrectie om de informatie zo lang mogelijk te bewaren. Hermans geeft als voorbeeld een situatie waarbij één qubit (de 'logische' qubit) bestaat uit drie fysieke qubits. De logische qubit representeert 0 als de drie fysieke qubits 000 zijn, en 1 als de drie fysieke qubits 111 zijn. Mocht er een fout optreden waarbij een van de fysieke qubits wordt verstoord door een bitflip (0 wordt 1 en 1 wordt 0), dan kan dit opgemerkt worden en gecorrigeerd zonder dat de logische qubit een fout antwoord geeft of uitgelezen hoeft te worden.
Dit is een vereenvoudigd voorbeeld; voor complexere fouten is uitgebreidere foutcorrectie nodig, wat ook meer fysieke qubits vereist. "De fysieke qubits zijn momenteel alleen nog niet zó goed dat je er maar weinig van nodig hebt om stabiele logische qubits te kunnen maken", stelt Hermans.
Momenteel is de schatting dat er zo'n duizend keer meer fysieke qubits dan logische qubits nodig zijn voor het kraken van RSA-4048. Schaffner verwacht dat er in totaal zo'n miljoen qubits nodig zijn om deze standaard te kraken. Dat is behoorlijk veel, maar wel zijn het er al een stuk minder dan in eerdere schattingen. "Een tijdje terug was de voorspelling dat daar 20 miljoen qubits voor nodig zijn." Het is pas sinds een paar jaar mogelijk om foutcorrectie toe te passen op quantumcomputers, dus er zijn al grote stappen in gezet.
Er zijn wel partijen die beweren dat ze heel weinig qubits nodig hebben om logische qubits te maken. Zo claimt de Britse start-up Quantinuum dat zijn quantumcomputer Helios een recordaantal van 48 logische qubits bevat, waarvoor in totaal maar zo'n 98 qubits nodig waren. Toch zijn deze logische qubits nog niet foutresistent genoeg. Voor het berekenen van complexe algoritmes als dat van Shor zijn dus nog veel meer fysieke qubits nodig.
Q-Day
Op het gebied van foutcorrectie zijn nog grote stappen te zetten. Er zijn nu twee ontwikkelingen om die foutcorrectie te verbeteren, vertelt Hermans. "Aan de ene kant werken mensen aan de hardware om die fysieke qubits steeds foutresistenter te maken. Daarnaast wordt er theoretisch onderzoek gedaan naar hoe deze fysieke qubit wordt ingezet, zodat er minder fysieke qubits nodig zijn." Tweakers schreef eerder al over de verschillende qubittechnologieën waaraan gewerkt wordt. Het is momenteel nog steeds de vraag welke technologie de beste qubits kan voortbrengen.
Deze problemen oplossen gaat waarschijnlijk nog wel een tijdje duren. De Rekenkamer haalt in zijn rapport een schatting van de AIVD aan dat 'Q-Day', de dag waarop quantumcomputers hedendaagse encryptiealgoritmes kunnen kraken, al in 2030 zou kunnen komen. Dat is volgens de experts die Tweakers sprak wel heel optimistisch (of pessimistisch, afhankelijk van hoe je ernaar kijkt). Tien tot vijftien jaar zou volgens hen een realistischere schatting zijn.
/i/2008073696.png?f=imagegallery)
Implementatie duurt lang
Hoewel de Nederlandse overheid volgens de Rekenkamer niet voorbereid is op de komst van quantumcomputers, geldt dat volgens hoogleraar Pepijn Pinkse, die werkt aan fotonische quantumsystemen, eigenlijk voor de hele wereld. "Het is moeilijk om bedrijven te laten investeren in extra veiligheid terwijl het probleem nu nog niet bestaat."
Zijn we al te laat?
Hoewel quantumcomputers nog lang niet in staat zijn om cryptografie te kraken, is het vervangen van de huidige standaarden nu misschien al te laat. "Hackers of buitenlandse mogendheden kunnen de versleutelde gegevens nu al afvangen en mogelijk over tien jaar ontsleutelen", stelt hoogleraar Pepijn Pinkse. Deze strategie heet ook wel 'harvest now, decrypt later'.
"Afhankelijk van hoe waardevol de data is die je nu onveilig verstuurt, heb je later een probleem", aldus hoogleraar Christian Schaffner. "Staatsgeheimen of medische gegevens die heel lang veilig moeten blijven, komen mogelijk op straat te liggen." Volgens hem wordt vrijwel al het versleutelde verkeer momenteel afgevangen. "De NSA heeft een groot datacenter in de woestijn waarin deze gegevens worden opgeslagen. Wie weet wat ze daarmee gaan en kunnen doen."
Ook Schaffner vindt de oproep van de Rekenkamer wat alarmistisch. "Het is nu eenmaal een ingewikkeld proces om alle cryptografie en hardware te vervangen en alle software te updaten." Juist omdat het zo'n ingewikkeld proces is, is het volgens hem wel belangrijk om daar nu al mee te beginnen. "Om bijvoorbeeld binnen een bank de transitie te maken van SHA-1 naar SHA-2 ben je zo tien jaar verder, dus het is wel tijd om een beetje vaart te maken."
Een deel van de uitdaging zit hem er volgens Schaffner in dat de nieuwe cryptografie secuur geïmplementeerd moet worden. "Je hebt experts nodig die onder meer weten hoe je cryptografie implementeert op een manier die bestand is tegen sidechannelaanvallen". Ook vereist het meer rekenkracht en vermogen, wat voor low-powerhardware als smartcards een probleem kan vormen. "Dan moet je of dikkere smartcards gebruiken, of ervoor zorgen dat de quantumveilige algoritmes zó efficiënt zijn dat ze op een smartcard kunnen draaien", voegt Pinkse toe.
Het vervangen van cryptografische algoritmes door quantumveilige alternatieven is al mogelijk. Het Amerikaanse National Institute of Standards and Technology heeft een wedstrijd georganiseerd om postquantumencryptiestandaarden te vinden. Daaruit zijn al vijf kandidaten geselecteerd die de testen hebben doorstaan. Deze zijn niet gebaseerd op het factoriseren van grote priemgetallen, waardoor het voordeel van quantumcomputers hierop niet van toepassing is. Een van de nieuwe cryptografische algoritmes, ML-KEM, is mede ontwikkeld door onderzoekers van het Nederlandse Centrum Wiskunde & Informatica.
Postquantumencryptie
Cryptografie vervangen door postquantumvarianten gebeurt al. Zo is Signal met zijn end-to-endencryptiealgoritme, dat onder meer WhatsApp ook gebruikt, in oktober overgestapt op een quantumproof variant. Apple gebruikt sinds 2024 al postquantumencryptie in iMessage. Daarnaast is Cloudflare al lange tijd bezig met postquantumcryptografie over tls in te bouwen. Volgens het bedrijf maakt bijna 70 procent van het internetverkeer via Cloudflare inmiddels gebruik van postquantumencryptie.
Veel regelgevende instanties hebben deadlines ingesteld voor de implementatie van postquantumcryptografie. In de Europese Unie gaat het om deadlines tussen 2030 en 2035, afhankelijk van de risicofactor van het systeem. Pinkse verwacht dat bedrijven en organisaties het gebruik van quantumveilige algoritmes binnenkort gaan vereisen. "Als jij met de AIVD zaken wilt doen, zal de AIVD waarschijnlijk eisen dat je eerst aan die nieuwe postquantumcryptografiestandaarden moet voldoen."
Andere quantumtechnologie
Hoewel het voor geheime diensten of overheidsinstanties nuttig kan zijn om de cryptografie te kraken, is het nog maar de vraag welke andere problemen quantumcomputers kunnen oplossen. Dat is nog helemaal niet zo duidelijk. "Het blijkt dat veel toepassingen, zoals het oplossen van problemen in de quantumchemie, moeilijker zijn dan verwacht", zegt Pinkse. "Er zijn een stuk meer middelen nodig dan voor het draaien van een algoritme."
De hoop is dat quantumcomputers uiteindelijk nieuwe moleculen voor katalyse of nieuwe medicijnen kunnen vinden. Daarvoor moeten complexe eiwitten of andere moleculen quantummechanisch worden doorgerekend. Maar het is de vraag of dat eigenlijk wel mogelijk wordt, laat staan of dat eerder dan Q-Day gebeurt.
Hermans verwacht dat andere quantumtechnologieën veel eerder nuttig zullen zijn dan quantumcomputers. "Een van die technologieën zijn quantumnetwerken, die je kunt gebruiken voor privacyvriendelijke communicatie. Bijvoorbeeld als je een berekening op een server wilt runnen zonder dat de server weet wat je aan het doen bent." Een ander voorbeeld zijn quantumsensoren, waarmee het mogelijk is om dingen heel precies op zeer kleine schaal te meten, waardoor onder meer optische klokken nauwkeuriger de tijd kunnen meten. "Quantumcomputers eisen vaak alle aandacht op, maar de andere quantumtechnologieën zullen zich waarschijnlijk een stuk sneller in de maatschappij nestelen."
Redactie: Kevin Krikhaar • Eindredactie: Marger Verschuur
:strip_icc():strip_exif()/i/2004260530.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004238628.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2004175138.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2001777363.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2001735019.jpeg?f=fpa_thumb)
:strip_exif()/i/2008009420.jpeg?f=fpa)
/i/2007132430.png?f=fpa)
/i/2007013324.webp?f=fpa)
/u/94596/crop643fb12fd4e6d.png?f=community){kind=small}
/u/8830/crop5df8eadcd55ca_cropped.png?f=community){kind=small}
/u/286795/crop5b1a42cd59dfd_cropped.png?f=community){kind=small}
/u/26742/000000751.png?f=community){kind=small}
/u/357567/crop5dfcfaa04d0e8_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/1526456/crop5fd895bf8b208_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/473463/preloader-w8-cycle-black.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/3730/oddball.jpg?f=community){kind=small}
/u/152864/crop59af8ee117886_cropped.png?f=community){kind=small}
:strip_exif()/u/29265/kampvuur.gif?f=community){kind=small}
/u/1741088/crop636b6e3488036_cropped.png?f=community){kind=small}
/u/1906/crop5dfd46928e003.png?f=community){kind=small}
:strip_icc():strip_exif()/u/147791/crop56e423ed8d794_cropped.jpeg?f=community){kind=small}
:strip_icc():strip_exif()/u/1822858/crop63851bcaeea32_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/269054/crop6064049cee9ab_cropped.jpg?f=community){kind=small}
/u/367546/crop6825fbafe3854_cropped.png?f=community){kind=small}