Post-quantum cryptografie beschermt de geheimen van nu tegen de hackers van morgen

22 september 2020

Quantumcomputers vormen een grote bedreiging voor onze gegevens. Onze onderzoekers zoeken naar oplossingen.

Afbeelding: Shutterstock
Afbeelding: Shutterstock

Onderzoekers over de hele wereld, ook hier op de TU/e, werken hard aan de bouw van een quantumcomputer. Zo’n computer kan in principe extreem snel rekenen, waardoor problemen die letterlijk een eeuwigheid duren voor een conventionele supercomputer, ooit in een mum kunnen worden opgelost. Quantumcomputers hebben één groot nadeel:  ze dreigen alle cryptografische beveiligingsmechanismen te breken die nu nog onze gevoelige communicatie en gegevens beschermen. Onderzoekers van de TU/e werken hard aan slimme oplossingen voor dit urgente probleem. In dit factsheet leggen we dit spannende onderzoek uit aan de hand van zes vragen en antwoorden.

Waarom zijn QUantumcomputers een probleem?

De veiligheid van onze digitale communicatie en gegevens is afhankelijk van het gebruik van cryptografie. Quantumcomputers vormen een bedreiging voor met name public-key cryptosystemen, zoals RSA, DSA en elliptische-curve-cryptosystemen. Deze cryptosystemen worden gebruikt om publieke-sleutel versleuteling en digitale handtekeningen te implementeren.

Hoewel deze cryptosystemen prima werken voor veel van onze digitale communicatie, zijn ze kwetsbaar. Ze zijn gebaseerd op zeer lastige wiskundige problemen, zoals integer-factorisatie, die vrijwel onmogelijk te kraken zijn voor conventionele computers, maar die gemakkelijk kunnen worden opgelost door een krachtige quantumcomputer, omdat die meerdere berekeningen tegelijk kunnen uitvoeren (zie kader over quantumcomputers hieronder). De huidige quantumcomputers ontberen nog altijd de rekenkracht om deze taak uit te voeren, maar dit kan elk moment veranderen.

Wat het probleem nog erger maakt, is dat versleutelde tekst die nu wordt onderschept, op een later moment kan worden ontcijferd door een aanvaller zodra die beschikt over een quantumcomputer heeft. Volgens Tanja Lange, onderzoeker aan de TU/e en een toonaangevende autoriteit op het gebied van post-quantumcryptografie, betekent dit dat alle huidige gegevens die ook in de toekomst vertrouwelijk moeten blijven, al gecodeerd moeten zijn op een manier die quantumcomputers niet kunnen kraken. "Met andere woorden: we moeten de geheimen van vandaag beschermen tegen de quantumaanvallers van morgen", zegt Lange.

Over kwantumcomputers

Een conventionele computer voert bewerkingen uit met behulp van bits, die slechts twee waarden hebben: nul of een. Een quantumcomputer daarentegen gebruikt quantumbits of qubits. Qubits kunnen fotonen zijn, of elektronen, of elk systeem dat kan bestaan in een zogenaamde quantumtoestand. Wat cool is aan kwantumfysica is dat deze toestanden tegelijkertijd kunnen bestaan.

Deze zogenaamde 'superpositie' maakt het mogelijk om veel meer informatie vast te houden in vergelijking met de bits in gewone computers. Waar twee klassieke bits in één van vier mogelijke combinaties kunnen bestaan (22), kunnen qubits in al deze combinaties tegelijk bestaan. Dit aantal groeit exponentieel met elke extra qubit. Twintig qubits kunnen al meer dan een miljoen waarden parallel opslaan (220), en 300 qubits kunnen evenveel deeltjes opslaan als er in het universum zijn (2300).

Ondanks deze immense rekenkracht is het onwaarschijnlijk dat quantumcomputers ooit de conventionele computers volledig zullen vervangen. Dit komt door het eigenaardige effect van metingen op qubits: zodra er een uitslag is, gaat alle andere informatie die samenhangt met hun superpositie verloren. Toch blinken kwantumcomputers uit in operaties waarbij veel berekeningen tegelijkertijd moeten worden uitgevoerd, zoals voor simulaties voor de ontwikkeling van nieuwe medicijnen en betere autoaccu's en voor financiële modellering. Ze zijn ook erg goed in het breken van cryptografische codes, wat een groot en urgent probleem is voor de veiligheid van onze gegevens.

Meer over kwantumcomputers in deze videoclip van onderzoekers van Google.

Informatie over lopend onderzoek naar kwantumtechnologie op de TU/e is te vinden op de website van het Center for Quantum Materials and Technology Eindhoven.

Wat is post-QUantumcryptografie en hoe kan dat helpen?

Een manier om onze huidige computers en gegevens 'quantum-proof' te maken is met zogenaamde post-quantumcryptografie. Onderzoekers aan de TU/e en aan andere universiteiten en bedrijven over de hele wereld ontwikkelen algoritmes die bestand zijn tegen aanvallen van hackers die zijn uitgerust met een quantumcomputer en die bruikbaar zijn voor de hedendaagse apparaten als smartphones, laptops en bankpassen.

Op dit moment zijn er vier gevestigde mogelijke oplossingen, met algoritmen op basis van code, hash, roosters, en multivariate-systemen. In alle gevallen gaat het om harde wiskundige problemen die, in tegenstelling tot de op factorisatie gebaseerde en andere algoritmen die momenteel in public-key systemen worden gebruikt, niet efficiënt kunnen worden opgelost door een kwantumcomputer.

Oplossingen op basis van wiskundige roosters (lattices) worden gezien als een van de meest veelbelovende en vormen ook de basis van het NTRU-algoritme dat hier op de TU/e is ontwikkeld. Het algoritme is vorig jaar door Google en Cloudflare in de praktijk getest. NTRU werd door Google onder meer geselecteerd vanwege haar aantoonbare veiligheidsgaranties. Het is geen toeval dat universitair docent Andreas Hülsing, die van dit bewijs mede-auteur was, óók de auteur is van een andere veelbelovende oplossing, SPHINCS + genaamd, dat consequent wordt geprezen om zijn betrouwbare veiligheidsgaranties.

De basisconcepten voor deze systemen dateren uit de vorige eeuw, maar in de afgelopen vijf tot tien jaar hebben professor Lange, Hülsing en andere onderzoekers van de TU/e deze concepten geanalyseerd en omgezet in praktische cryptografische systemen. Een belangrijk aspect van dit werk is het bewijzen van de veiligheid van deze cryptografische systemen, om ervoor te zorgen dat ze bestand zijn tegen quantum computergebaseerde aanvallen.

Die nieuwe standaard voor post-QUantumcryptografie, duurt die nog lang?

NIST, het Amerikaanse National Institute of Standards and Technology, lanceerde in 2017 een meerjarige wedstrijd om de beste oplossingen te selecteren voor post-quantumcryptografie en digitale handtekeningen. De winnaars maken grote kans om de nieuwe standaarden te worden, en zullen worden overgenomen door overheden en de industrie over de hele wereld. In de zomer van 2020 is de wedstrijd, die begon met 69 inzendingen, aan zijn derde ronde begonnen. Voor deze ronde heeft NIST zeven finalisten geselecteerd, waaronder twee van de onderzoekers van de TU/e.

Daarnaast heeft NIST acht zogenaamde alternatieve kandidaten geselecteerd, waaronder twee van de TU/e. Deze oplossingen worden beschouwd als potentiële kandidaten voor standaardisatie, mogelijk na een vierde ronde. De finalisten ondergaan nu een eindevaluatieronde, in de aanloop daar naartoe hebben de deelnemers de mogelijkheid om hun algoritmes verder te 'tweaken'. NIST verwacht dat het hele proces binnen de komende twee tot vier jaar zal worden afgerond.

Wat Kan ik zelf doen?

In 2019 slaagden de onderzoekers van Google erin om een quantumcomputer met 53 qubits te maken die in staat was om een uiterst moeilijke wiskundige berekening uit te voeren in een ontzagwekkende 3 minuten en 20 seconden. Ze schatten dat IBM’s Summit, de grootste supercomputer, meer dan 10.000 jaar nodig zou hebben om dezelfde taak uit te voeren.

Een indrukwekkende (en omstreden) prestatie, maar waarnemers zijn het erover eens dat een quantumcomputer die nuttige dingen kan doen in de echte wereld, nog enkele jaren op zich laat wachten, vooral vanwege de kwetsbaarheid van qubits (zie infokader). Quantumcomputers zijn ook erg duur, wat het praktische gebruik ervan beperkt.

"Toch is de overstap naar post-quantumcryptografie urgent," zegt Lange, "vooral voor gegevens die vertrouwelijk moeten blijven na de komst van kwantumcomputers. Dus, als een aanvaller toegang zou kunnen krijgen tot jouw versleutelde gegevens, en die informatie moet de komende 10 jaar geheim blijven, moet je je versleutelingssystemen nu upgraden met het meest veilige systeem. Je hoeft dus niet te wachten op de afsluiting van de NIST-wedstrijd. Begin nu met de voorbereidingen! Je kunt het altijd opnieuw versleutelen met een efficiënter systeem, als dat eenmaal voldoende is onderzocht, maar je kunt nooit meer lekkende, zwak versleutelde geheimen ongedaan maken".

De meest praktische oplossing, volgens Lange, is een hybride oplossing. "Dit combineert een post-quantumsysteem met een van de huidige gangbare public-key systemen op een manier die zo sterk is als de sterkste van de twee. Dit maakt de overgang en eventuele audits gemakkelijker."

Meer weten?

Meer informatie over het werk van Tanja Lange, Andreas Hülsing en hun collega's, is te vinden op de website van hun onderzoeksgroep Coding Theory and Cryptology.

Voor algemene achtergrondinformatie over post-quantumcryptografie kun je terecht op pqcrypto.eu.org. Gedetailleerde informatie over de TU/e NIST-inzendingen vind je hier:

De TU/e heeft ook verschillende trainingen georganiseerd over post-quantumcryptografie op verschillende niveaus, zie https://pqcschool.org/ en https://2017.pqcrypto.org/school/index.html.

Mediacontact

Henk van Appeven
(Communications Adviser)