Zelfs in 2016 zorgden artikelen over kwantumcomputers voor onzekerheid rond de gegevensbeveiliging, voor het geval er voldoende krachtige kwantumcomputers gebouwd zouden kunnen worden. Dit artikel zal proberen enig licht op de situatie te werpen.
Wat is kwantumcomputeren?
Kwantumcomputers zijn de toepassing van kwantummechanische principes om berekeningen uit te voeren. Concreet maakt quantum computing gebruik van kwantumtoestanden van subatomaire deeltjes, zoals superpositie en verstrengeling, om kwantumcomputers te creëren. Wanneer ze worden toegepast op kwantumcomputers met voldoende kracht, kunnen specifieke algoritmen veel sneller berekeningen uitvoeren dan klassieke computers en zelfs problemen oplossen die buiten het bereik van de huidige computertechnologie liggen. Als gevolg hiervan is er een toenemende belangstelling van overheden en industrieën over de hele wereld voor de ontwikkeling van kwantumcomputers. Recente ontwikkelingen op het gebied van quantum computing, zoals de Quantum Heron-processor van IBM, hebben de foutreductie aanzienlijk verbeterd, wat een snelle vooruitgang op dit gebied aantoont. De introductie van IBM Quantum System Two, uitgerust met deze geavanceerde processors, markeert een sprong in de richting van praktische kwantumcentrische supercomputing.
Klassiek versus kwantumcomputers
Klassiek computergebruik is afhankelijk van bits, die enen en nullen vertegenwoordigen door middel van elektrische stromen in circuits, om complexe problemen op te lossen. Quantum computing, dat gebruik maakt van qubits zoals die in IBM Quantum Heron, overtreft klassieke computing in rekenkracht door verbeterde foutcorrectie en qubit-stabiliteit. Qubits kunnen, in tegenstelling tot bits, in superpositie bestaan, waarbij ze tegelijkertijd één en nul belichamen. Dankzij deze mogelijkheid kan een enkele qubit twee toestanden tegelijk vertegenwoordigen, en met elke extra qubit verdubbelen de representeerbare toestanden exponentieel (`2^n` voor n qubits). Een kwantumcomputer met tien qubits kan bijvoorbeeld 1024 toestanden vertegenwoordigen, in tegenstelling tot 10 bits bij klassiek computergebruik. Kwantumverstrengeling, een complex en nog niet volledig begrepen fenomeen, maakt het mogelijk qubits met elkaar te verbinden, waardoor de rekenefficiëntie toeneemt. Door gebruik te maken van zowel superpositie als verstrengeling, opereren kwantumcomputers in multidimensionale ruimtes en voeren ze parallelle berekeningen uit, in tegenstelling tot de sequentiële benadering bij klassiek computergebruik. Dankzij deze geavanceerde rekencapaciteit kunnen kwantumcomputers problemen aanpakken die buiten het bereik van klassieke computers liggen, zoals het nauwkeurig simuleren van moleculaire interacties in chemische reacties. Dit heeft verstrekkende gevolgen voor wetenschap en technologie, waaronder het potentieel om problemen veel sneller op te lossen dan klassieke computers, wat gevolgen heeft voor gebieden als cryptografie.Hoe kan quantum computing cryptografie beïnvloeden?
Zoals hierboven besproken, is cryptografie gebaseerd op het bestaan van hardnekkige wiskundige problemen, wat niet betekent dat ze onoplosbaar zijn, maar dat de tijd en middelen die nodig zijn om ze ongedaan te maken, ze praktisch veilig maken.
Quantum computing verandert dit ecosysteem door de tijd die nodig is voor het oplossen van dergelijke problemen te minimaliseren door specifieke algoritmen toe te passen.
Het algoritme ontdekt door bijvoorbeeld , samen met de implicaties van algoritmen zoals die van Shor in de context van geavanceerde kwantumprocessors zoals IBM's Quantum Heron, onderstrepen de onmiddellijke behoefte aan kwantumbestendige cryptografische systemen.
“In 1994 toonde Peter Shor van Bell Laboratories aan dat kwantumcomputers, een nieuwe technologie die gebruik maakt van de fysieke eigenschappen van materie en energie om berekeningen uit te voeren, elk van deze problemen efficiënt kan oplossen, waardoor alle cryptosystemen met publieke sleutels die op dergelijke aannames zijn gebaseerd impotent worden. Een voldoende krachtige kwantumcomputer zal dus vele vormen van moderne communicatie – van sleuteluitwisseling tot encryptie en digitale authenticatie – in gevaar brengen.”
Kortom, een kwantumcomputer met voldoende vermogen zou de Public Key Infrastructure ronduit kunnen crashen, waardoor de behoefte ontstaat aan een herontwerp van het hele cyberbeveiligingsecosysteem.
Recente toepassingen van post-kwantumcryptografie worden gezien in de consumentenwereld, zoals Chrome's ondersteuning voor een PQC-algoritme, wat de praktische gevolgen van kwantumcomputers op de huidige cryptografische systemen aangeeft.
Maar dit is niet alles. Een ander algoritme, deze van ' kan een bedreiging vormen voor symmetrische cryptografie, hoewel niet zo ernstig als die van Shor. Wanneer toegepast op een voldoende krachtige kwantumcomputer, maakt het algoritme van Grover het mogelijk om symmetrische sleutels op viervoudige snelheid te kraken in vergelijking met klassiek computergebruik. Een aanzienlijke verbetering die wordt tegengegaan door het gebruik van grotere sleutels en het handhaven van het huidige beveiligingsniveau.
Komt quantum computing binnenkort?
De natuurkunde heeft bewezen dat quantum computing haalbaar is. Nu is het een technisch probleem, zij het een heel moeilijk probleem. Bij de bouw van kwantumcomputers wordt gebruik gemaakt van state-of-the-art technologie zoals onder meer superfluïden en supergeleiders. De uitdaging om een stabiel en schaalbaar kwantummechanisch systeem te creëren is immens en leidt ertoe dat teams over de hele wereld verschillende paden bewandelen. Er zijn verschillende soorten kwantumcomputers, waaronder het kwantumcircuitmodel, kwantum Turing-machine, adiabatische kwantumcomputer, eenrichtings kwantumcomputer en verschillende kwantum cellulaire automaten. De meest gebruikte is het kwantumcircuit.
Een belangrijk probleem met elk model van kwantumcomputers is dat qubits van nature hun superpositiestatus verliezen zodra ze zijn gemeten en bijgevolg erg gevoelig zijn voor interferentie van buitenaf. Daarom is het een uitdaging voor qubits om hun kwantumtoestand te behouden. Sommige oplossingen omvatten het gebruik van ionenvallen, maar totale eliminatie van externe interferentie is waarschijnlijk onhaalbaar. Als gevolg hiervan is een van de meest cruciale problemen bij het maken van kwantumcomputers een robuust foutcorrectiemechanisme.
Met recente doorbraken, zoals IBM's vooruitgang op het gebied van quantum computing, is het veld verder gegaan dan theoretische modellen naar meer praktische en krachtige kwantumsystemen, waardoor het kwantumtijdperk dichterbij komt dan eerder werd verwacht.
Het grote plaatje is dat er nu een doorbraak kan plaatsvinden, of dat het een paar jaar kan duren voordat een werkend prototype met voldoende rekenkracht is gemaakt. Er zijn al een paar prototypes, waarvan IBM Q System One de meest bekende is, maar hun rekenkracht is nog te klein om een probleem te zijn voor cryptografische systemen. Natuurlijk mag de cybersecurity-gemeenschap in geen geval ontspannen. Zelfs als we een efficiënt post-kwantumbeveiligingssysteem hadden, is het een enorme taak om het hele ecosysteem naar deze nieuwe standaard te migreren. Bijgevolg worden er verschillende inspanningen geleverd om klaar te zijn voor het post-kwantumtijdperk.
Veelbelovende technologieën voor het postkwantumtijdperk
Naarmate we dichter bij de wijdverbreide toepassing van kwantumtechnologie komen, zoals blijkt uit ontwikkelingen als IBM's Quantum System Two, groeit de behoefte aan een kwantumbestendig systeem. PKI wordt urgenter naarmate de wijdverbreide kwantumcomputertechnologie zijn intrede doet. Hieronder zullen we proberen de meest veelbelovende technologieën samen te vatten en een kort overzicht te geven van de collectieve projecten die momenteel lopen om post-kwantumcryptografie tot stand te brengen, samen met de uitdagingen die ons te wachten staan.
Families van post-kwantumalgoritmen
Onderzoek in de afgelopen 15-20 jaar heeft het bestaan bewezen van algoritmen die bestand zijn tegen kwantumaanvallen. Hieronder geven we een korte beschrijving van de meest veelbelovende algoritmefamilies die een oplossing kunnen bieden voor beveiliging in een post-kwantumwereld.
Code-gebaseerde cryptografie
Recente ontwikkelingen op het gebied van op codes gebaseerde cryptografie maken gebruik van foutcorrectiecodes om cryptografie met publieke sleutels op te bouwen. Het werd voor het eerst voorgesteld door Robert McEliece in 1978 en is een van de oudste en meest onderzochte asymmetrische versleutelingsalgoritmen. Een handtekeningschema kan worden geconstrueerd op basis van het Niederreiter-schema, de dubbele variant van het McEliece-schema. Het McEliece-cryptosysteem heeft zich tot nu toe verzet tegen cryptanalyse. Het grootste probleem met het oorspronkelijke systeem is de grote omvang van de private en publieke sleutel.
Op hash gebaseerde cryptografie
Met de groeiende implementatie in praktische toepassingen vertegenwoordigt op hash gebaseerde cryptografie een veelbelovende post-kwantumcryptografische benadering van digitale handtekeningen. Hash-functies zijn functies die tekenreeksen van willekeurige lengte toewijzen aan tekenreeksen met een vaste lengte. Ze zijn een van de oudere cryptografiesystemen met publieke sleutels en hun veiligheidsbeoordelingen tegen klassieke en kwantumgebaseerde aanvallen zijn goed begrepen. Hash-functies zijn al een van de meest gebruikte cryptografische tools. Het was al lange tijd bekend dat ze konden worden gebruikt als het enige instrument voor het bouwen van cryptografie met publieke sleutels. Bovendien is hash-gebaseerde cryptografie flexibel en kan aan verschillende prestatieverwachtingen voldoen. Het nadeel is dat op hash gebaseerde handtekeningschema's voornamelijk stateful zijn, wat betekent dat de privésleutel na elk gebruik moet worden bijgewerkt; anders is de veiligheid niet gegarandeerd. Er zijn op hash gebaseerde schema's die staatloos zijn, maar deze gaan ten koste van langere handtekeningen, langere verwerkingstijden en de noodzaak van de ondertekenaar om bepaalde informatie bij te houden, zoals hoe vaak een sleutel is gebruikt om een handtekening te maken.
Op latex gebaseerde cryptografie
Op roosters gebaseerde cryptografie wordt nu overwogen voor meer geavanceerde cryptografische oplossingen en is een specifiek geval van de op subset-somproblemen gebaseerde cryptografie en werd voor het eerst geïntroduceerd in 1996 door Ajtai. Het is de algemene term voor cryptografische primitieven die zijn opgebouwd met behulp van roosters. Sommige van deze constructies lijken bestand te zijn tegen zowel kwantum- als klassieke computeraanvallen. Bovendien hebben ze nog andere aantrekkelijke kenmerken, zoals hardheidsproblemen in het slechtste geval. Ze presenteren ook eenvoud en parallellisme en zijn veelzijdig genoeg om robuuste cryptografische schema's te construeren. Ten slotte zijn ze de enige familie van algoritmen die alle drie de soorten primitieven bevatten die nodig zijn om een post-kwantum Public Key Infrastructure op te bouwen: encryptie met publieke sleutels, sleuteluitwisseling en digitale handtekening.
Multivariate cryptografie
Multivariate cryptografie verwijst naar cryptografie met openbare sleutels waarvan de openbare sleutels een multivariate en niet-lineaire (meestal kwadratische) polynoomkaart vertegenwoordigen. Het is bewezen dat het oplossen van deze systemen NP-compleet is, waardoor deze familie van algoritmen goede kandidaten zijn voor post-kwantumcryptografie. Momenteel zijn multivariate encryptieschema's minder efficiënt gebleken dan andere schema's, omdat ze aanzienlijke openbare sleutels en lange decoderingstijden vereisen. Aan de andere kant bleken ze meer geschikt voor het bouwen van handtekeningschema's, omdat ze de kortste handtekeninggrootten bieden onder post-kwantumalgoritmen, hoewel ze vrij grote openbare sleutels met zich meebrengen.
Isogeny-gebaseerde cryptografie
Op Isogeny gebaseerde cryptografie maakt gebruik van kaarten tussen elliptische curven om cryptografie met openbare sleutels te bouwen. Het algoritme dat in aanmerking komt voor post-kwantumcryptografie is de Supersingular isogeny Diffie-Hellman key exchange (SIDH) die in 2011 werd geïntroduceerd, waardoor dit schema het meest recente onder de kandidaten is. SIDH vereist een van de kleinste sleutels van de voorgestelde sleuteluitwisselingsschema's en ondersteunt perfecte voorwaartse geheimhouding. Vanwege de relatief jonge leeftijd zijn er echter niet veel regelingen op dit concept gebaseerd en is er niet veel geweest om de mogelijke kwetsbaarheden te inspecteren.
Projecten voor post-kwantumcryptografie
Er zijn verschillende werkgroepen voor post-kwantumcryptografieschema's, zoals het Open Quantum Safe (OQS)-project en ENISA. Toch is het meest samenhangende initiatief het NIST Post-Quantum Cryptography Standardization Project, dat sinds 2021 aanzienlijke vooruitgang heeft geboekt, waarbij nieuwe algoritmen naar voren komen als koplopers voor industriële standaardisatie in het post-kwantumtijdperk. Het proces begon met 69 kandidaat-algoritmen, waarvan er 26 doorgingen naar de tweede evaluatieronde. In juli 2020 zijn de kandidaten voor ronde 3 bekend gemaakt, zoals weergegeven in onderstaande tabel. Er zijn in totaal zeven finalisten en acht alternatieve kandidaten. In de tabel wordt aangegeven of ze in aanmerking komen voor encryptie- of handtekeningschema's, de algoritmefamilie en het harde probleem waarop ze zijn gebaseerd.
| schema | Enc/SIg | Familie | Moeilijk probleem |
|---|---|---|---|
| Klassieke McEliece | inclusief | Op code gebaseerd | Het decoderen van willekeurige binaire Goppa-codes |
| Kristallen-Kyber | inclusief | Op roosters gebaseerd | Cyclotomische module-LWE |
| NTR | inclusief | Op roosters gebaseerd | Cyclotomisch NTRU-probleem |
| Sabel | inclusief | Op roosters gebaseerd | Cyclotomische module-LWR |
| Kristallen-Dilithium | Sig | Op roosters gebaseerd | Cyclotomische module-LWE en module-SIS |
| valk | Sig | Op roosters gebaseerd | Cyclotomische ring-SIS |
| Regenboog | Sig | Multivariate-gebaseerd | Olie-en-azijn luik |
Ronde 3 alternatieve kandidaten
| schema | Enc/Sig | Familie |
|---|---|---|
| FIETS | inclusief | Op code gebaseerd |
| hoofdkwartier | inclusief | Op code gebaseerd |
| Frodo-KEM | inclusief | Op roosters gebaseerd |
| NTRU-Prime | inclusief | Op roosters gebaseerd |
| SIKE | inclusief | Op isogenie gebaseerd |
| GeMSS | Sig | Multivariate-gebaseerd |
| Picknick | Sig | Symmetrische cryptografie |
| SPHINCS + | Sig | Op hash gebaseerd |
De evaluatie van het algoritme was gebaseerd op de drie onderstaande criteria.
-
Security: Dit is het meest cruciale criterium. NIST heeft verschillende factoren vastgesteld waarmee rekening moet worden gehouden bij het evalueren van de beveiliging die door elk kandidaat-algoritme wordt geboden. Naast de kwantumresistentie van algoritmen heeft NIST ook aanvullende beveiligingsparameters gedefinieerd die geen deel uitmaken van het huidige cyberbeveiligingsecosysteem. Dit is perfecte voorwaartse geheimhouding,
-
Kosten en prestaties: De algoritmen worden geëvalueerd op basis van hun prestatiestatistieken, zoals sleutelgroottes, de rekenefficiëntie van publieke en private sleutelbewerkingen en -generatie, en decoderingsfouten.
-
Algoritme en implementatiekenmerken: Ervan uitgaande dat de algoritmen goede algehele beveiliging en prestaties bieden, worden ze geëvalueerd op basis van hun flexibiliteit, eenvoud en adoptiegemak (zoals het al dan niet bestaan van intellectueel eigendom dat het algoritme omvat).
Cryptografische behendigheid
Een belangrijk paradigma bij het ontwerpen van informatiebeveiligingsprotocollen is cryptografische flexibiliteit. Het schrijft voor dat protocollen meerdere cryptografische primitieven moeten ondersteunen, waardoor de systemen die een bepaalde standaard implementeren, kunnen kiezen welke combinaties van primitieven geschikt zijn. Het primaire doel van cryptografische behendigheid is het mogelijk maken van snelle aanpassingen van kwetsbare cryptografische primitieven en algoritmen met robuuste, zonder verstorende wijzigingen aan te brengen in de infrastructuur van het systeem. Dit paradigma blijkt cruciaal te zijn in het post-kwantumcryptografieontwerp en vereist op zijn minst gedeeltelijke automatisering. Een gemiddelde onderneming beschikt bijvoorbeeld over honderdduizenden certificaten en sleutels, en dat aantal blijft groeien. Met zoveel certificaten moeten organisaties geautomatiseerde methoden inzetten om deze certificaten snel te vervangen als de cryptografie waarop ze vertrouwen onveilig wordt.
Een uitstekende eerste maatregel voor organisaties is om hybride cryptografie te gaan implementeren, waarbij kwantumveilige public-key-algoritmen worden gebruikt naast traditionele public-key-algoritmen (zoals RSA of elliptische curven), zodat de oplossing in ieder geval niet minder veilig is dan bestaande traditionele cryptografie.
Vooruitkijkend
Kwantumcomputing maakt een transitie door van een theoretische mogelijkheid naar een praktische realiteit, geïllustreerd door recente ontwikkelingen op het gebied van kwantumprocessors en -systemen. Bijgevolg zal het cyberbeveiligingsveld zich snel aan deze veranderingen moeten aanpassen.
