Sensationele artikelen zoals dit over kwantumcomputers, zelfs in 2016, zorgen voor onzekerheden voor de gegevensbeveiliging in het geval dat kwantumcomputers met voldoende vermogen worden gebouwd. Dit artikel zal proberen enig licht op de situatie te werpen.
Wat is kwantumcomputeren?
Quantum computing is de toepassing van quantummechanica-principes om berekeningen uit te voeren. Specifiek, kwantumcomputing maakt gebruik van kwantumtoestanden van subatomaire deeltjes zoals superpositie en verstrengeling om kwantumcomputers te creëren. Wanneer toegepast op kwantumcomputers met voldoende vermogen, kunnen specifieke algoritmen veel sneller berekeningen uitvoeren dan klassieke computers en zelfs problemen oplossen die buiten het bereik van de huidige computertechnologie liggen. Als gevolg hiervan is er een verhoogde interesse van overheden en industrieën over de hele wereld om kwantumcomputers te ontwikkelen. Het veld staat nog in de kinderschoenen, maar de ontwikkeling wint aan kracht en er zijn al werkende kwantumcomputers, zij het op dit moment erg zwak.
SSL.com biedt een breed scala aan SSL /TLS server certificaten voor HTTPS-websites.
Klassieke en Quantum Computing
Hoe kan quantum computing cryptografie beïnvloeden?
“In 1994 toonde Peter Shor van Bell Laboratories aan dat kwantumcomputers, een nieuwe technologie die gebruikmaakt van de fysieke eigenschappen van materie en energie om berekeningen uit te voeren, elk van deze problemen efficiënt kunnen oplossen, waardoor alle cryptosystemen met openbare sleutels die op dergelijke aannames zijn gebaseerd, onmachtig worden. Dus een voldoende krachtige kwantumcomputer zal vele vormen van moderne communicatie - van sleuteluitwisseling tot encryptie tot digitale authenticatie - in gevaar brengen."
Komt quantum computing binnenkort?
Wat kunnen we doen?
Wanneer wijdverbreide kwantumcomputertechnologie arriveert, moeten we klaar zijn met een kwantumresistente PKI. Er zijn veel lopende projecten in de richting van dit doel en veel voorgestelde technologieën die een oplossing zouden kunnen bieden. Hieronder zullen we proberen de meest veelbelovende technologieën samen te vatten en een kort overzicht te geven van de collectieve projecten die aan de gang zijn om post-kwantumcryptografie tot stand te brengen, samen met de uitdagingen die voor ons liggen.
Families van post-kwantumalgoritmen
Onderzoek in de afgelopen 15-20 jaar heeft het bestaan bewezen van algoritmen die bestand zijn tegen kwantumaanvallen. Hieronder geven we een korte beschrijving van de meest veelbelovende algoritmefamilies die een oplossing kunnen bieden voor beveiliging in een post-kwantumwereld.
Code-gebaseerde cryptografie
Op code gebaseerde cryptografie maakt gebruik van foutcorrigerende codes om cryptografie met openbare sleutels te bouwen. Het werd voor het eerst voorgesteld door Robert McEliece in 1978 en is een van de oudste en meest onderzochte asymmetrische coderingsalgoritmen. Een handtekeningschema kan worden geconstrueerd op basis van het Niederreiter-schema, de dubbele variant van het McEliece-schema. Het McEliece-cryptosysteem heeft zich tot nu toe tegen cryptanalyse verzet. Het grootste probleem met het originele systeem is de grote grootte van de private en publieke sleutel.
Op hash gebaseerde cryptografie
Op hash gebaseerde cryptografie vertegenwoordigt een veelbelovende post-kwantumcryptografische benadering voor digitale handtekeningen. Hashfuncties zijn functies die strings van willekeurige lengte toewijzen aan strings met een vaste lengte. Ze zijn een van de oudere cryptografieschema's met openbare sleutels en hun beveiligingsbeoordelingen tegen klassieke en op kwantum gebaseerde aanvallen zijn goed bekend. Hash-functies zijn al een van de meest gebruikte cryptografische tools. Het was bekend dat ze lange tijd konden worden gebruikt als het enige hulpmiddel voor het bouwen van cryptografie met openbare sleutels. Bovendien is op hash gebaseerde cryptografie flexibel en kan het aan verschillende prestatieverwachtingen voldoen. Nadeel is dat op hash gebaseerde handtekeningschema's voornamelijk stateful zijn, wat betekent dat de privésleutel na elk gebruik moet worden bijgewerkt; anders is de veiligheid niet gegarandeerd. Er zijn op hash gebaseerde schema's die staatloos zijn, maar ze gaan ten koste van langere handtekeningen, langere verwerkingstijden en de behoefte van de ondertekenaar om bepaalde informatie bij te houden, zoals hoe vaak een sleutel is gebruikt om een handtekening te maken.
Op latex gebaseerde cryptografie
Lattice-gebaseerde cryptografie is een specifiek geval van de subset sum problem-based cryptografie en werd voor het eerst geïntroduceerd in 1996 door Ajtai. Het is de algemene term voor cryptografische primitieven die zijn geconstrueerd met behulp van roosters. Sommige van deze constructies lijken bestand tegen zowel kwantum- als klassieke computeraanvallen. Bovendien hebben ze andere aantrekkelijke eigenschappen, zoals de moeilijkheidsgraad van de hardheid in het slechtste geval. Ze presenteren ook eenvoud en parallellisme en zijn veelzijdig genoeg om robuuste cryptografische schema's te construeren. Ten slotte zijn ze de enige familie van algoritmen die alle drie soorten primitieven bevatten die nodig zijn om een post-kwantum Public Key Infrastructure te bouwen: public-key encryptie, sleuteluitwisseling en digitale handtekening.
Multivariate cryptografie
Multivariate cryptografie verwijst naar cryptografie met openbare sleutels waarvan de openbare sleutels een multivariate en niet-lineaire (meestal kwadratische) polynoomkaart vertegenwoordigen. Het is bewezen dat het oplossen van deze systemen NP-compleet is, waardoor deze familie van algoritmen goede kandidaten zijn voor post-kwantumcryptografie. Momenteel zijn multivariate encryptieschema's minder efficiënt gebleken dan andere schema's, omdat ze aanzienlijke openbare sleutels en lange decoderingstijden vereisen. Aan de andere kant bleken ze meer geschikt voor het bouwen van handtekeningschema's, omdat ze de kortste handtekeninggrootten bieden onder post-kwantumalgoritmen, hoewel ze vrij grote openbare sleutels met zich meebrengen.
Isogeny-gebaseerde cryptografie
Op Isogeny gebaseerde cryptografie maakt gebruik van kaarten tussen elliptische curven om cryptografie met openbare sleutels te bouwen. Het algoritme dat in aanmerking komt voor post-kwantumcryptografie is de Supersingular isogeny Diffie-Hellman key exchange (SIDH) die in 2011 werd geïntroduceerd, waardoor dit schema het meest recente onder de kandidaten is. SIDH vereist een van de kleinste sleutels van de voorgestelde sleuteluitwisselingsschema's en ondersteunt perfecte voorwaartse geheimhouding. Vanwege de relatief jonge leeftijd zijn er echter niet veel regelingen op dit concept gebaseerd en is er niet veel geweest om de mogelijke kwetsbaarheden te inspecteren.
Projecten voor post-kwantumcryptografie
Er zijn verschillende werkgroepen voor post-kwantum cryptografie schema's, zoals de Open Quantum Safe (OQS)-project en ENISA. Toch is het meest coherente initiatief de NIST Post-Quantum Cryptografie Standaardisatie Project dat is aan de gang sinds 2017. Zoals de naam al aangeeft, is het project gericht op het kiezen van een geschikt cryptografieschema dat de industriestandaard zal zijn in het post-kwantumtijdperk. Het proces begon met 69 kandidaat-algoritmen, waarvan er 26 doorgingen naar de tweede evaluatieronde. In juli 2020 zijn ronde 3 kandidaten bekend gemaakt, zoals weergegeven in onderstaande tabel. Er zijn in totaal zeven finalisten en acht alternatieve kandidaten. Op de tabel staat vermeld of ze in aanmerking komen voor codering of handtekeningschema's, de algoritmefamilie en het harde probleem waarop ze zijn gebaseerd.
schema | Enc/SIg | Familie | Moeilijk probleem |
Finalisten ronde 3 | |||
Klassieke McEliece | inclusief | Op code gebaseerd | Het decoderen van willekeurige binaire Goppa-codes |
Kristallen-Kyber | inclusief | Op roosters gebaseerd | Cyclotomische module-LWE |
NTR | inclusief | Op roosters gebaseerd | Cyclotomisch NTRU-probleem |
Sabel | inclusief | Op roosters gebaseerd | Cyclotomische module-LWR |
Kristallen-Dilithium | Sig | Op roosters gebaseerd | Cyclotomische module-LWE en module-SIS |
valk | Sig | Op roosters gebaseerd | Cyclotomische ring-SIS |
Regenboog | Sig | Multivariate-gebaseerd | Olie-en-azijn luik |
Ronde 3 alternatieve kandidaten | |||
FIETS | inclusief | Op code gebaseerd | Decodering van quasi-cyclische codes |
hoofdkwartier | inclusief | Op code gebaseerd | Codeervariant van Ring-LWE |
Frodo-KEM | inclusief | Op roosters gebaseerd | LWE |
NTRU-Prime | inclusief | Op roosters gebaseerd | Niet-cyclotomisch NTRU-probleem of Ring-LWE |
SIKE | inclusief | Op isogenie gebaseerd | Isogeny-probleem met extra punten |
GeMSS | Sig | Multivariate-gebaseerd | 'Big-Field' luik |
Picknick | Sig | Symmetrische cryptografie | Preimage-weerstand van een blokcijfer |
SPHINCS + | Sig | Op hash gebaseerd | Preimage-weerstand van een hash-functie |
De evaluatie van het algoritme was gebaseerd op de drie onderstaande criteria.
- Beveiliging: Dit is het meest cruciale criterium. NIST heeft verschillende factoren vastgesteld waarmee rekening moet worden gehouden bij het evalueren van de beveiliging die door elk kandidaat-algoritme wordt geboden. Naast de kwantumweerstand van algoritmen heeft NIST ook aanvullende beveiligingsparameters gedefinieerd die geen deel uitmaken van het huidige cyberbeveiligingsecosysteem. Dit zijn perfecte voorwaartse geheimhouding, weerstand tegen zijkanaalaanvallen en weerstand tegen aanvallen met meerdere toetsen.
- Kosten en prestaties: de algoritmen worden geëvalueerd op basis van hun prestatiestatistieken, zoals sleutelgroottes, de rekenefficiëntie van bewerkingen en generatie van openbare en privésleutels, en decoderingsfouten.
- Algoritme en implementatiekenmerken: ervan uitgaande dat de algoritmen goede algemene beveiliging en prestaties bieden, worden ze geëvalueerd op basis van hun flexibiliteit, eenvoud en acceptatiegemak (zoals het al dan niet bestaan van intellectueel eigendom dat het algoritme dekt).
Cryptografische behendigheid
Conclusie