De 'vernietiging' van RSA

Ophef in de gemeenschap van cryptologen en andere geïnteresseerden in cryptografie eerder deze maand: op Cryptology ePrint van de International Association for Cryptologic Research verscheen een paper van de hand van Claus Peter Schnorr over het snel kunnen ontbinden in priemfactoren. Vooral vanwege een zin uit de samenvatting kwam de publicatie vol in de schijnwerpers: "Dit vernietigt het RSA-cryptosysteem." De implicaties van deze claim zijn enorm, als hij waar zou zijn. RSA staat aan de basis van de beveiliging van communicatie tussen banken onderling en met klanten, e-commerce, telecommunicatie enzovoort. De ophef over de paper van Schnorr lijkt onnodig, maar dat betekent niet dat beveiliging die RSA biedt niet bedreigd wordt.

Wat is RSA ook alweer?

De kans is groot dat je de term RSA voorbij hebt zien komen, maar wat is het ook alweer? Encryptie of versleuteling bestaat al eeuwen en daarbij ging het lange tijd vrijwel uitsluitend om symmetrische encryptie. Je zet met behulp van een sleutel een tekst om in iets wat daarmee standaard onleesbaar wordt, en degene die ook de sleutel heeft, draait dat proces om en verkrijgt weer de leesbare tekst. Dat was zo met het Ceasarschrift bij de Romeinen, de Enigma in de Tweede Wereldoorlog en de DES-vercijfering daarna.

In de jaren zeventig kwam de Amerikaan Whitfield Diffie met het idee van een asymmetrische sleutel. Wat nu, stelde hij zich voor, als de encryptie- en decryptiesleutel niet dezelfde zijn. Dan zou Bob wel een tekst kunnen vercijferen met een publieke encryptiesleutel, maar hij noch iemand anders, zou die daarmee kunnen ontcijferen. Alleen de ontvanger, Alice, zou dat kunnen met haar privésleutel voor decryptie. Daarmee zou een groot probleem overwonnen zijn: dat van de distributie van de sleutels. Samen met Martin Hellman probeerde Diffie dit idee in de praktijk uit te werken, maar dat viel nog niet mee.

Drie andere Amerikanen raakten enthousiast van het concept en besloten eind jaren zeventig de uitdaging aan te gaan. Dit waren Ron Rivest, Adi Shamir en Leonard Adleman. Zij kwamen uit op het gebruik van priemgetallen; het is makkelijk om twee priemgetallen te vermenigvuldigen, maar het omgekeerde is bij enorm grote priemgetallen in de praktijk niet te doen. Met andere woorden: je kunt het product van twee priemgetallen als publieke sleutel gebruiken. Om te weten waar dat product N uit is opgebouwd, moet je kennis hebben van de priemgetallen p of q.

Stel dat Bob Alice een versleuteld bericht wil sturen. Alice kiest bijvoorbeeld p = 3 en q = 5 en houdt deze geheim. Dit is als de privésleutel te zien. Het product N, 15, kan ze wel publiceren, evenals een extra getal, e, dat ze kiest, bijvoorbeeld 7. Dit vormt samen de publieke sleutel. Bob kent N en e en wil Alice het bericht '3' sturen. Het omzetten in geheime tekst verloopt via de formule C=M^e(mod N). Bij het omzetten van het getal 3, wordt dat dan C=3⁷(mod 15), oftewel 12. Dit is de versleutelde boodschap C die Bob naar Alice zendt. Alice kan het oorspronkelijke bericht M herstellen via de formule M=C^d(mod N). Daarbij is d afhankelijk van e volgens de formule e x d=1(mod(p-1)x(q-1)) en dus in dit geval ook 7. Dat wordt dan M=12⁷(mod 15) met als uitkomst 3. Zo krijgt Alice de boodschap 3 door van Bob. In de praktijk werkt dit systeem natuurlijk met veel grotere priemgetallen, zodat het ontbinden in priemgetallen zoveel tijd kost dat dit in de praktijk onmogelijk is. Publieke sleutels op basis van dit systeem kunnen zo vrijelijk gepubliceerd worden zonder dat dit de beveiliging aantast. Pas bij een doorbraak wat betreft factoriseren komt het systeem in gevaar, bijvoorbeeld bij slimme wiskundige trucs om de priemgetallen te achterhalen of een gigantische sprong in rekenkracht.

RSA stamt dus uit het einde van de jaren zeventig. Begin jaren tachtig richtten Rivest, Shamir en Adleman RSA Security op en verkregen ze het patent op het encryptiealgoritme. Sinds die tijd wist RSA zijn weg te vinden naar onder andere SSL, SSH en PGP, en wordt het verwerkt in vpn-clients, webbrowsers en andere communicatietoepassingen. De belangrijkste boost voor het algoritme was wel dat Netscape in 1994 koos voor RSA bij de ontwikkeling van het Secure Sockets Layer-protocol om veilige http-verbindingen op te zetten. In september 2000 gaf RSA Security de technologie vrij om te implementeren; het patent liep toen ook af. Nog altijd is RSA te gebruiken als onderdeel van tal van cryptografische libraries, meestal in hybride encryptiesystemen. Het is belangrijk om te beseffen dat RSA niet gebruikt wordt om hele bestanden te versleutelen of voor de realtime encryptie van dataverkeer. Symmetrische encryptie doet dat snel en efficiënt. RSA vergt de nodige rekenkracht en is relatief traag; alleen de sleutels worden via RSA aangemaakt.

Het gaat tegenwoordig nog vooral om gebruik voor authenticatie. Bij TLS wordt RSA ook nog gebruikt voor de sleuteluitwisseling voor het opzetten van https-verbindingen, maar dat verandert nu TLS 1.3 er is. Bij die standaard worden algoritmes voor statische sleuteluitwisseling, zoals statisch RSA, uitgefaseerd omdat deze geen sleuteluitwisseling met forward secrecy bieden. Forward secrecy maakt dat communicatie afgeschermd blijft, ook als de geheime sleutel in de toekomst wordt gecompromitteerd. TLS 1.3 maakt voor de sleuteluitwisseling daarom gebruik van cryptografie op basis van elliptische krommen, in de praktijk Elliptic Curve Diffie-Hellman Ephemeral. Voor de certificaatauthenticatie ondersteunt TLS 1.3 nog wel RSA en hoe dan ook zal het nog wel even duren voordat iedereen is afgestapt van eerdere TLS-versies. Kortom: hoewel RSA een oud systeem is en langzaam uitgefaseerd wordt, is het nog volop in gebruik.

Schnorr- handtekening voor Bitcoin

Als de basis onder de beveiliging van RSA zou wegvallen, heeft dat dus flinke gevolgen. Diegene die de claim maakt, is niet zomaar iemand. Claus-Peter Schnorr is een Duitse wiskundige en cryptograaf die zijn sporen heeft verdiend. Hij beschreef in 1991 een algoritme voor digitale handtekeningen waarvan de beveiliging is gebaseerd op de complexiteit van bepaalde discrete logaritmen. Dat algoritme en die handtekeningen dragen zijn naam, waren door hem gepatenteerd en staan bekend om hun efficiëntie en geringe grootte. Vanwege de snelheidsvoordelen staan Schnorr-handtekeningen op de agenda om geïmplementeerd te worden bij Bitcoin, om precies te zijn met Bitcoin Improvement Proposal 340.

RSA Security verkreeg een exclusieve licentie op het gebruik van het inmiddels verlopen patent voor de Schnorr-handtekening en de Duitse cryptograaf werd een Distinguished Associate bij RSA Laboratories. Voor zijn werk voor de wiskunde en cryptografie ontving Schnorr in 1993 de prestigieuze Gottfried-Wilhelm-Leibniz-wetenschapsprijs en in 2013 de RSA Award for Excellence in Mathematics. Hij werd een bekende gastdocent aan universiteiten wereldwijd en was veertig jaar lang hoogleraar aan de Johann Wolfgang Goethe Universiteit van Frankfurt, tot hij in 2011 met pensioen ging.

Als een van de bekendste Duitse cryptografen claimt dat het over en uit is met RSA, dan wordt daar uiteraard serieus naar gekeken. Bij de publicatie op 1 maart op Cryptology ePrint van de International Association for Cryptologic Research viel direct één ding op bij de samenvatting in de zin: “This destroyes the RSA cryptosystem”, of eigenlijk twee dingen. Naast de voor wetenschappers nogal ongebruikelijke stelligheid en bewoording, werkt een taalfout natuurlijk niet mee om eventuele scepsis bij dit soort grote beweringen weg te nemen. En scepsis ontstond er dan ook al snel. Even was het de vraag of Schnorr wel de persoon was die de paper op Cryptology ePrint had gezet, ook omdat de 'destroyes'-claim op de samenvatting na niet in de tekst voorkwam. Verschillende personen kregen bevestiging van Schnorr dat hij toch echt verantwoordelijk was voor de publicatie en hij meldde dat het logisch was dat zijn paper het RSA-cryptosysteem ‘vernietigde’. Bovendien werd de paper opnieuw op ePrint gezet, nu zonder de taalfout in de samenvatting.

Die 'vernietiging' zou het resultaat zijn van het veel sneller kunnen ontbinden in priemfactoren, wat uit Schnorrs paper zou voortvloeien. Het gaat te ver om hier de wiskundige shortcuts die Schnorr claimt gevonden te hebben uit te leggen. Wereldwijd is er slechts zo'n dozijn cryptologen dat genoeg in de materie thuis is om hier een goede diepgaande analyse van te maken. In de tekst staat hoe dan ook meer dan eens dat berekeningen in polynomiale tijd uitgevoerd kunnen worden, oftewel, veel sneller dan nu kan. Schnorr poneert enkele stellingen en beschrijft daar abstracte bewijzen bij, maar volgens sceptici had de wiskundige het zich veel makkelijker kunnen maken om twijfel weg te nemen.

Hij had gewoon een van de RSA-getallen kunnen ontbinden in factoren en daarbij de details kunnen vermelden. Die RSA-getallen zijn in 1991 door RSA Laboratories gepubliceerd als onderdeel van een wedstrijd. Het zijn getallen van 100 tot 617 cijfers die het product zijn van twee priemgetallen en de uitdaging was om deze te factoriseren. Een enkel RSA-getal ontbinden is nog wel te doen met de nodige rekenkracht en het gebruik van algoritmes waarmee het vinden van factoren kan worden versneld, mits het aantal cijfers laag blijft. Zo is RSA-100, bestaande uit honderd cijfers of 330bit, in 1991 gefactoriseerd door de Nederlandse cryptograaf Arjen Lenstra met behulp van een kleine supercomputer en een kwadratisch zeefalgoritme. RSA-100 bleek te zijn gevormd door 37975227936943673922808872755445627854565536638199 × 40094690950920881030683735292761468389214899724061. Verschillende RSA-getallen vielen ten prooi aan de wiskundigen. Lenstra en collega's van het Centrum Wiskunde & Informatica herhaalden het huzarenstukje bijvoorbeeld in 1999 met RSA-155, een getal van 512bit.

Bij grote aantallen cijfers werken ook moderne supercomputers en de shortcuts van de huidige bekende algoritmes niet meer om de priemgetallen te vinden. De wedstrijd was in 2007 afgelopen, maar wiskundigen ondernemen nog steeds pogingen om de getallen te ontbinden in hun priemfactoren. Inmiddels zijn 23 van de 54 getallen ontbonden en de laatste was RSA-250, of 829bit, die in februari 2020 werd gefactoriseerd. De onderzoekers maakten gebruik van gridcomputing en concludeerden dat er 2700 corejaren nodig waren voor het berekenen, waarbij een 2,1GHz-core van een Intel Xeon Gold 6130 als referentie werd gebruikt. Als Schnorrs methode werkt, zouden aanzienlijk minder corejaren nodig zijn, maar hij zou ook voor het gemak een kleiner RSA-getal kunnen nemen om de speed-up te bewijzen. Om werkelijk impact te maken en zijn claim kracht bij te zetten, had hij natuurlijk RSA-1024 of een nog groter getal kunnen ontbinden.

RSA-sleutels op basis van 1024bit worden al sinds 2007 als onveilig beschouwd. RSA-1024 is echter nog niet gekraakt en het Nederlandse Nationaal Security Cybersecurity Centrum beschouwt RSA-sleutels van 2048 tot 3071bit als voldoende veilig. Sleutels van meer dan 3071bit krijgen het predicaat ‘goed’. Die omvang lijkt de deskundigen dus veilig genoeg om nog jaren mee te kunnen, ondanks de toename van rekenkracht. Legt Schnorr hier een bom onder, ondanks de kanttekeningen die er vooraf te maken zijn?

We vroegen Léo Ducas wat we moeten vinden van Schnorrs paper. Ducas is senior onderzoeker bij de Cryptology Groep van het Centrum Wiskunde & Informatica. Schnorrs claims gaan over het snel vinden van priemfactoren door short vector problem-algoritmes te gebruiken. Hierbij is de uitdaging om zo kort mogelijke vectoren in een rooster te vinden. Ducas is gespecialiseerd in lattice based cryptosystemen, oftewel systemen die gebruikmaken van een rooster.

Oude wijn in nieuwe zakken?

Volgens Ducas is er ondanks de ophef op sociale media maar weinig nieuws onder de zon: "Professor Schnorr maakte deze claim tien jaar geleden al. Het is nog steeds niet verschenen in een peer-reviewed publicatie en er is nog steeds geen bewijs voor. Normaal gesproken los je de uitdagingen (de RSA-getallen, red.) op om je claim te staven en dat heeft hij niet gedaan. De aanpak die hij beschrijft, is zelfs al ouder en gaat terug tot 1991. Deze aanpak verrast de deskundigen niet; er is al naar gekeken. Het is wiskundig gezien interessant, maar de consensus is dat er geen echte dreiging voor het RSA-cryptosysteem is. Er zijn verschillende delen in de paper waar hij extreem positief is en er staan expliciete fouten in."

Is er een kans dat Schnorr een genie is en zijn paper gewoon nog niet begrepen wordt? Ducas: "Het idee is niet alleen oud, maar meer mensen zijn ermee bezig geweest en niemand heeft het ooit werkend gekregen voor dit doel: factoriseren. Er zijn wel andere interessante dingen mee gedaan, buiten cryptografie om." Volgens Ducas is er fundamenteel gezien niets nieuws aan de publicatie van maart versus die van 2009 en falen de claims nog steeds, ondanks enkele wijzigingen.

Voor een snelle test van Schnorrs beweringen heeft Ducas een programmaatje geschreven in Sage, een programmeertaal die specifiek op getaltheorie gericht is. Hij heeft de bevindingen op GitHub gezet. "Het was heel makkelijk om de claims te implementeren in Sage, het gaat om zo’n tachtig regels code. In Sage zitten al veel belangrijke algoritmes, met name lattice-based algoritmes, waar ik vooral mee werk."

Ducas draaide telkens duizend tests met verschillende parameters. "Die parameters, b en n worden in de paper van Schnorr als suggestie aangedragen. Als ik een getal van 400bit wil factoriseren, kan ik een rooster van 47 dimensies construeren. Als ik korte vectoren in dat rooster vind, geven mij die factorisatierelaties. Als je genoeg van die relaties vindt, kun je ontbinden in factoren. Ik heb dat getest en kon niet eens een enkele relatie vinden."

In 1991 deed Schnorr dus al de suggestie dat zijn aanpak zou kunnen werken en in 2009 claimde hij een polynomial time factoring-algoritme te hebben. Waarom zijn Schnorrs beweringen inmiddels niet beargumenteerd van tafel geveegd? "Cryptoanalisten houden ervan om over snelle algoritmes te schrijven. Als iemand iets schrijft over iets interessants, maar wat niet leidt tot snelheid, eindigt het slecht gedocumenteerd. Dit is volgens mij genoeg onderzocht om er zeker van te zijn dat er geen dreiging is, maar de weerlegging is helaas niet genoeg gedocumenteerd." Volgens Ducas is het duidelijk dat deze aanpak niet werkt, maar hebben wiskundigen en cryptografen niet de moeite genomen om uit te werken waarom het niet werkt. "We kunnen geen absolute zekerheid hebben bij cryptografie, maar ik kan met voldoende zekerheid zeggen dat dit ver verwijderd is van de state of the art op dit gebied."

Bij de voorzichtigheid van cryptografen verwijst Ducas naar het ‘P vs. NP’-probleem, dat volgens hem als een zwaard van Damocles over de cryptografie hangt. Factoriseren wordt als een probleem van de NP-klasse beschouwd. Ontbinden in priemfactoren is heel complex, maar een oplossing is simpel te verifiëren. Wie kan echter bewijzen dat NP niet P is, een probleem dat zowel snel op te lossen als te verifiëren is? Wellicht zijn alle NP-problemen wel P-problemen, maar zijn de trucs simpelweg nog niet gevonden. Het P vs. NP-probleem is een van de zeven Millennium Problems die het Clay Mathematics Institute in 2000 opstelde en waarop een miljoen dollar prijzengeld staat voor het oplossen ervan.

Zijn er andere veelbelovende methodes aan de horizon die tot de kraak van RSA kunnen leiden? Ducas: "De state of the art is extreem volwassen. Er zijn geen grote verbeteringen geweest sinds de number field sieve, het getallenlichamenzeefalgoritme, waarvan de basis eind jaren tachtig van de vorige eeuw gelegd werd. Er zijn alleen wat implementatieverbeteringen geweest. Als iemand een snelheidsverbetering van tien procent van de number field sieve voor elkaar krijgt, is dat een publicatie waard. Dat betekent dat je publiceert als je een verbetering van een tiende van een bit tegenover de laatste stand van zaken kunt bewijzen. Dit zegt je dat er feitelijk geen beweging meer in de zaak zit. Je kunt natuurlijk niets uitsluiten; er kan een genie met een totaal nieuwe aanpak komen, maar niemand verwacht dat op dit moment."

Grote dreiging van kleine qubits

Er is, zo vervolgt Ducas, wel een levensgrote bedreiging voor RSA, en die komt uit een andere hoek: quantumcomputing. "Er is een heel grote reden om van RSA af te stappen. Het lijkt erop dat quantumcomputers binnen misschien tien tot vijftien jaar in staat zijn om dit soort factorisatieproblemen te berekenen." De enorme rekenkracht van quantumcomputers is hiervoor bij uitstek geschikt. Een van de eerste quantumalgoritmes is die van Peter Shor uit 1994, niet te verwarren met Schnorr, en die beschrijft hoe met quantumcomputers exponentieel sneller te factoriseren is dan via de general number field sieve. Wie de eerste functionerende quantumcomputer van enige omvang heeft, heeft daarmee de sleutel tot belangrijke digitale beveiligingssystemen in handen.

Gelukkig worden er al stappen ondernomen om ons hierop voor te bereiden, met zogenoemde post-quantumcryptografie. Onder andere de standaardisatieorganisaties ETSI en NIST zijn druk bezig met voorbereidingen. Het NIST kondigde vorig jaar zeven finalisten aan die in de race zijn om een 'quantumbestendige' cryptografiestandaard te worden. Ducas is bij verschillende daarvan betrokken. Hij is medeontwerper van Crystals-Kyber voor publieke-sleutelencryptie en bij Crystals-Dilithium voor digitale handtekeningen. "Er wordt voor de transitie gewerkt aan hybride of gecombineerde encryptie, waarbij de huidige systemen gecombineerd worden met nieuwe postquantumsystemen, zodat als een van de twee wegvalt, de veiligheid gegarandeerd blijft als de andere nog veilig is."

Schnorrs paper is dus niet serieus te nemen als dreiging voor RSA, maar de werkelijke vernietiging van het cryptosysteem van Ron Rivest, Adi Shamir en Leonard Adleman is onafwendbaar met de komst van quantumcomputers en vervanging is noodzakelijk. De enige vraag is hoe lang het nog duurt voordat quantumcomputers met voldoende qubits stabiel genoeg draaien om de geheime sleutels van RSA te kunnen vinden. Die race naar een quantumcomputer is, niet verwonderlijk, in volle gang bij bedrijven en overheden.