Hybride model als bescherming tegen encryptiekrakende quantum-computers
Quantumtechnologie is verder ontwikkeld dan we denken. Hoewel berichten eerder dit jaar over het kraken van bestaande encryptiemethoden door quantumcomputers vals alarm bleken, zal dit over enkele jaren wel degelijk eenvoudig te doen zijn, verwacht Jan Heijdra, Technology Evangelist bij Cisco. Vandaag is het World Quantum Day en daarmee het uitgelezen moment om na te denken over manieren om de integriteit en vertrouwelijkheid van onze data te beschermen tegen misbruik met behulp van quantumtechnologie, stelt Heijdra.
Alle staats- en bedrijfsgeheimen die momenteel versleuteld worden verstuurd, kunnen mogelijk worden onderschept en opgeslagen. Kwaadwillenden verzamelen deze informatie en wachten tot deze vertrouwelijke informatie ontsleuteld kan worden met behulp van quantumtechnologie. Om deze data ook in de toekomst veilig te houden, moeten organisaties dus nu al encryptietechnieken toepassen die onkraakbaar zijn voor quantumcomputers.
Quantum Key Distribution
Op dit moment zijn er volgens Heijdra twee verschillende denkrichtingen om data te beschermen tegen quantumcomputers. Tijdens de Europese Quantum Netwerk en Security conferentie begin maart in Den Haag lag de focus op Quantum Key Distribution (QKD), het toepassen van een cryptografisch protocol dat elementen van quantummechanica gebruikt. Twee partijen produceren een willekeurige geheime sleutel die alleen zij kennen om data te versleutelen.
De unieke eigenschap van QKD is dat het een derde partij die de sleutel probeert te ontfutselen, weet te detecteren. Dat komt doordat er waarneembare afwijkingen ontstaan wanneer een derde partij probeert in te breken op de communicatielijn. Zodra er afwijkingen worden gedetecteerd, wordt de communicatie onmiddellijk afgebroken. Dit betekent dat de toepassing van QKD extreem veilig is.
Post-quantum cryptography
Aan de andere kant werkt het Amerikaanse National Institute of Standards and Technology (NIST) aan een nieuwe standaard op basis van PQC, post-quantum cryptography. Dit zijn encryptie-algoritmen waarvan wordt aangenomen dat ze veilig zijn tegen een aanval door een quantumcomputer.
NIST bracht in juli 2022 naar buiten dat het vier encryptie-algoritmen had geselecteerd voor haar standaard, die naar verwachting in 2024 gereed zal zijn. Nog geen maand later werd bekend dat een van de algoritmen gekraakt was. De grote vraag is of de andere drie algoritmen wel standhouden. Opvallend is dan ook dat de Nederlandse Inlichtingen en Veiligheidsdienst (AIVD) volledig lijkt in te zetten op PQR. De Nederlandse geheime dienst publiceerde vorige week een PQR-migratie handboek dat QKD afwijst omdat het vooralsnog geen praktisch alternatief zou zijn.
Hybride model
Waarschijnlijk ligt de oplossing voor de meest gevoelige en (staats)geheime data in een combinatie van de twee beveiligingsmethodes, meent Heijdra: een hybride model. Organisaties maken nu al veelal gebruik van post-kwantum crypto-methodes en de verwachting is dat dit de komende periode een verdere vlucht neemt. Maar omdat we niet zeker weten of deze encryptie-algoritmes ook in de toekomst nog veilig blijken te zijn, is het van belang dat we de echte kritieke data met QKD-technologie beschermen.
De tijd dat quantum computing slechts een onderzoeksproject van professoren was, is voorbij. Organisaties moeten nu nadenken over hoe zij hun data delen en beschermen. Welke informatie is echt kritiek en mag absoluut niet naar buiten komen? Het is aan te raden om nu al de risico’s in kaart te brengen en te bedenken waar PQC en QKD-technologie toe te passen om de meeste kritische gegevens optimaal en toekomstvast te kunnen beveiligen. Want het zou zomaar kunnen dat je bedrijfsgeheimen morgen ineens op straat blijken te liggen.
