Bedrijfsgeheimen op straat door quantum
Over enkele jaren is bestaande encryptie waarschijnlijk eenvoudig te kraken door krachtige quantumcomputers.
Eerder dit jaar leek het nog even dat kwantumcomputers in staat waren om bestaande encryptie te kraken. De reden was de publicatie van een wetenschappelijk artikel verbonden aan zeven verschillende onderzoeksinstellingen in China. Dat bleek gelukkig vals alarm. Maar wat niet iedereen zich realiseert, is dat we verder zijn met quantumtechnologie dan we denken.
Over enkele jaren is bestaande encryptie waarschijnlijk eenvoudig te kraken door krachtige quantumcomputers. Alleen niemand weet precies wanneer. Vandaag is het World Quantum Day en daarmee het uitgelezen moment om na te denken over manieren om de integriteit en vertrouwelijkheid van onze data te beschermen tegen misbruik met behulp van quantumtechnologie.
Alle staats- en bedrijfsgeheimen die momenteel versleuteld worden verstuurd, kunnen mogelijk worden onderschept en opgeslagen. Kwaadwillenden verzamelen deze informatie en wachten tot deze vertrouwelijke informatie ontsleuteld kan worden met behulp van quantumtechnologie. Om deze data ook in de toekomst veilig te houden, moeten organisaties dus nu al encryptietechnieken toepassen die onkraakbaar zijn voor quantumcomputers.
Onkraakbare sleutels
Op dit moment zijn er twee verschillende denkrichtingen om data te beschermen tegen quantumcomputers. Tijdens de Europese Quantum Netwerk en Security conferentie begin maart in Den Haag lag de focus voornamelijk op Quantum Key Distribution (QKD), het toepassen van een cryptografisch protocol dat elementen van quantummechanica gebruikt. Twee partijen produceren een willekeurige geheime sleutel die alleen zij kennen om data te versleutelen. De unieke eigenschap van QKD is dat het een derde partij die de sleutel probeert te ontfutselen, weet te detecteren. Dat komt doordat er waarneembare afwijkingen ontstaan wanneer een derde partij probeert in te breken op de communicatielijn. Zodra er afwijkingen worden gedetecteerd, wordt de communicatie onmiddellijk afgebroken. Dit betekent dat de toepassing van QKD extreem veilig is.
Aan de andere kant werkt het Amerikaanse National Institute of Standards and Technology (NIST) aan een nieuwe standaard op basis van PQC, post-quantum cryptography. Dit zijn encryptie-algoritmen waarvan wordt aangenomen dat ze veilig zijn tegen een aanval door een quantumcomputer. NIST maakte juli vorig jaar bekend vier encryptie-algoritmen te hebben geselecteerd voor hun standaard, die naar verwachting volgend jaar gereed zal zijn. Nog geen maand later werd naar buiten gebracht dat een van de algoritmen gekraakt was. De grote vraag is of de andere drie algoritmen wel standhouden. Opvallend is dan ook de AIVD volledig lijkt in te zetten op PQR. De Nederlandse geheime dienst publiceerde vorige week een PQR-migratie handboek dat QKD afwijst omdat het vooralsnog geen praktisch alternatief zou zijn.
Hybride model
Waarschijnlijk ligt de oplossing voor de meest gevoelige en (staats)geheime data in een combinatie van de twee beveiligingsmethodes. Een hybride model. Organisaties maken nu al veelal gebruik van post-kwantum crypto-methodes en de verwachting is dat dit de komende periode een verdere vlucht neemt. Maar omdat we niet zeker weten of deze encryptie-algoritmes ook in de toekomst nog veilig blijken te zijn, is het van belang dat we de echte kritieke data met QKD-technologie beschermen.
De tijd dat quantum computing slechts een onderzoeksproject van professoren was, is voorbij. Organisaties moeten nu nadenken over hoe zij hun data delen en beschermen. Welke informatie is echt kritiek en mag absoluut niet naar buiten komen? Het is aan te raden om nu al de risico’s in kaart te brengen en te bedenken waar PQC en QKD-technologie toe te passen om de meeste kritische gegevens optimaal en toekomstvast te kunnen beveiligen. Want het zou zomaar kunnen dat je bedrijfsgeheimen morgen ineens op straat blijken te liggen.
Lees ook: Bouw van ‘nationaal hoofdkwartier voor quantumtechnologie’ in Delft van start