image

Duitse overheid: quantumcomputer gevaar voor encryptie

vrijdag 27 maart 2020, 12:03 door Redactie, 20 reacties
Laatst bijgewerkt: 27-03-2020, 13:28

Quantumcomputers zijn een toenemend gevaar voor hedendaagse encryptie en daarmee ook voor de veiligheid van de digitale infrastructuur, zo stelt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

"Het is lastig om te voorspellen wanneer deze dreiging zichzelf zal manifesteren. De bestaande quantumcomputers vormen nog geen dreiging voor de cryptografische processen die we tegenwoordig gebruiken, maar technologische ontwikkelingen kunnen zich op elk moment voordoen", aldus de Duitse overheidsinstantie. Die stelt dat het daarom belangrijk is dat er wordt gezocht naar quantumbestendige alternatieven van de huidige encryptieprocessen.

"Postquantumcryptografie zal op de lange termijn de standaard worden. Afhankelijk van de toepassing moet er vroegtijdig een risicoanalyse worden gemaakt en bijgehouden om te bepalen wanneer de overstap naar quantumbestendige procedures moet plaatsvinden", gaat het BSI verder. De dreiging van quantumcomputers speelt vooral bij informatie die voor langere periodes beschermd moet worden. Het risico bestaat dat aanvallers versleutelde informatie verzamelen en later via een quantumcomputer kunnen ontsleutelen.

In een nieuw document doet het BSI verschillende aanbevelingen voor het migreren naar "post-quanten-kryptografie" (pdf). Zo moeten applicatieontwikkelaars ervoor zorgen dat encryptie zo flexibel mogelijk wordt geïmplementeerd, zodat er op alle mogelijke ontwikkelingen is te reageren. Tevens wordt een sleutellengte van 256 bits voor symmetrische encryptie aangeraden, alsmede hybride sleuteluitwisseling en aanpassing van cryptografische protocollen.

Reacties (20)
27-03-2020, 12:13 door Anoniem
Handige tip, maar ik gebruik al AES-256.
Reden: je moet altijd de zwaarste beveiliging implementeren.
27-03-2020, 12:34 door Erik van Straten - Bijgewerkt: 27-03-2020, 12:41
@Redactie: in "Tevens wordt een sleutellengte van 256 bits voor asymmetrische encryptie aangeraden" moet zijn "symmetrische" (dit stukje tekst mogen jullie weghalen na correctie).

Goed dat dit onder de aandacht wordt gebracht, want er zijn nog veel te weinig snel inzetbare oplossingen als asymmetrische cryptografische algoritmes zoals RSA, ECC en DH (Diffie-Hellman) van de ene op de andere dag kraakbaar blijken.

Door Anoniem: Handige tip, maar ik gebruik al AES-256.
Reden: je moet altijd de zwaarste beveiliging implementeren.
De zwaarst mogelijke beveiliging heeft vaak nadelen zoals performanceverlies en energieverspilling. Bovendien heb je niks aan AES als de sleutel daarvoor via een t.z.t. quantum-kraakbaar algoritme (zoals DH t.b.v. forward secrecy) bij elke sessie tussen partijen wordt overeengekomen.
27-03-2020, 13:16 door johanw
Door Anoniem: Handige tip, maar ik gebruik al AES-256.
Reden: je moet altijd de zwaarste beveiliging implementeren.
Symmetrische algorithmes als AES hebben niet zo'n last van quantumcomputers, sleutellengtes vanaf 128 bits zijn ook dan nog wel veilig. Public-key systemen zijn de echte slachtoffers, die algorithmes zullen vervangen moeten worden door algorithmes die nu nog veel minder getest zijn, veel complexer zijn en veel grotere sleutellengtes nodig heben dan de huidige. Gelukkig bestaan ze al wel dus kan er al onderzoek naar verricht worden.
27-03-2020, 14:31 door Anoniem
27-03-2020, 15:42 door Anoniem
Door johanw:Symmetrische algorithmes als AES hebben niet zo'n last van quantumcomputers, sleutellengtes vanaf 128 bits zijn ook dan nog wel veilig. …
128-bit symmetrische encryptie komt overeen met 64-bit security [1] wanneer er (krachtig genoeg) kwantum computers zijn. 64-bit is relatief makkelijk te brute-forcen. Vroeger werd 80-bit security aanbevolen, maar tegenwoordig is dit 128-bit security (let op: 128-bit security is dus wat anders dan 128-bit encryptie!)

[1] https://en.wikipedia.org/wiki/Grover%27s_algorithm
27-03-2020, 15:51 door Anoniem
Ook AES-256 is (uiteindelijk) kwetsbaar voor quantumcomputers
27-03-2020, 17:29 door Erik van Straten
Door Anoniem: Ook AES-256 is (uiteindelijk) kwetsbaar voor quantumcomputers
Kom met overtuigende aanwijzingen waarom dat zo zou zijn en wat daar voor nodig is, of hou op met het verspreiden van onzin.
27-03-2020, 18:32 door Anoniem
Door Anoniem: Hadden men hier een paar jaar geleden niet SPHINCS-256 voor bedacht?

SPHINCS-256 is voor digitale handtekeningen. Dat is van een andere categorie dan public-private encryptie of key exchanges, waar op kortere termijn een oplossing voor moet zijn. Al zullen handtekening op langere termijn ook vervangen moeten worden.

Bij symmetrische crypto (AES/ChaCha20) kun je eenvoudig de lengte verhogen (van 128 naar 256 bits). Bij certificaten kun je deze vervalsen, maar dat is later pas een probleem als er een quantumcomputer is en deze zijn bovendien snel te vervangen. Juist het afspreken van die symmetrische sleutel, via een key exchange zoals DHE/ECDHE, is vatbaar voor afluisteren en kraken op termijn. Daar moet dus als eerste een oplossing voor komen (zoals NewHope e.a.).

Fun fact: digitale handtekeningen vallen niet onder export controle wetgeving, terwijl post-quantum encryptie mechanismen hier al wel in opgenomen zijn
27-03-2020, 22:30 door Anoniem
Gaat Merkel de snelheidsbegrenzer invoeren voor cpu's?
28-03-2020, 12:30 door Anoniem
Tja in vpn applicaties wordt de 256bit encryptie gebruikt,althans is dat instelbaar bij sommige.
Misschien moet er een mogelijkheid komen om 512bit's encryptie te kunnen ontwikkelen,als protocol.
Dan heb je een nog stevigere encryptie firewall.
28-03-2020, 19:06 door Anoniem
Door Erik van Straten:
Door Anoniem: Ook AES-256 is (uiteindelijk) kwetsbaar voor quantumcomputers
Kom met overtuigende aanwijzingen waarom dat zo zou zijn en wat daar voor nodig is, of hou op met het verspreiden van onzin.

Veertien seconden googlen leert dat quantum computers een AES-256 aanzienlijk sneller kunnen breken dan een conventionele computer. Het is nog steeds "onpraktisch lang" en dus niet perse onveilig, maar om te zeggen dat het geen last gaat hebben van de kracht van computers die nog niet bestaan is... hoe zeg ik dat netjes...onzin?
28-03-2020, 19:49 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ook AES-256 is (uiteindelijk) kwetsbaar voor quantumcomputers
Kom met overtuigende aanwijzingen waarom dat zo zou zijn en wat daar voor nodig is, of hou op met het verspreiden van onzin.

Veertien seconden googlen leert dat quantum computers een AES-256 aanzienlijk sneller kunnen breken dan een conventionele computer. Het is nog steeds "onpraktisch lang" en dus niet perse onveilig, maar om te zeggen dat het geen last gaat hebben van de kracht van computers die nog niet bestaan is... hoe zeg ik dat netjes...onzin?

Zeggen dat 2^128 security 'kwetsbaar' is is doodgewoon onzin - Ja, het is aanzienlijk sneller dan 2^256, maar het is niet 'kwetsbaar' .

Laten we trouwens ook gaan nadenken over wat we doen met onbeperkt electriciteit , in een Post-Fusion wereld.
(de beloften van opschalen en beschikbaar komen van kernfusie lijken nogal op die van QC )
29-03-2020, 01:34 door Anoniem
Ik hoop vóór 2035 nog een nieuwe laptop aan te schaffen (zal wel een standaard quantummodelletje zijn) en mag aannemen dat mijn Zwitserse versleutelaar ook met zijn tijd is meegegaan. Iets te verbergen? Altijd. Want ik trek 's avonds ook mijn gordijnen dicht. Tegen die tijd mogen overheden mjin (ontsleutelde) data inzien. Graag zelfs. Ze mogen gerust weten hoe ik in 2020 en ver daarvóór over hen dacht. Maakt verder niet uit, maar mijn inschatting is dat over 15 à 20 jaar 'onze' huidige overheden gezien worden zoals ze zijn: Onderkruipsels in dienst van het fictieve financiële systeem. "Dit nooit meer", roept men dan.
Ik zie dus de (verre) toekomst positief.
29-03-2020, 20:01 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ook AES-256 is (uiteindelijk) kwetsbaar voor quantumcomputers
Kom met overtuigende aanwijzingen waarom dat zo zou zijn en wat daar voor nodig is, of hou op met het verspreiden van onzin.

Veertien seconden googlen leert dat quantum computers een AES-256 aanzienlijk sneller kunnen breken dan een conventionele computer.
Nou, kom maar op met die links die aantonen dat AES-256 "(uiteindelijk) kwetsbaar" is voor quantumcomputers, en wanneer dat het geval zal zijn.
29-03-2020, 21:46 door [Account Verwijderd] - Bijgewerkt: 29-03-2020, 21:46
Door Anoniem:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ook AES-256 is (uiteindelijk) kwetsbaar voor quantumcomputers
Kom met overtuigende aanwijzingen waarom dat zo zou zijn en wat daar voor nodig is, of hou op met het verspreiden van onzin.

Veertien seconden googlen leert dat quantum computers een AES-256 aanzienlijk sneller kunnen breken dan een conventionele computer. Het is nog steeds "onpraktisch lang" en dus niet perse onveilig, maar om te zeggen dat het geen last gaat hebben van de kracht van computers die nog niet bestaan is... hoe zeg ik dat netjes...onzin?

Zeggen dat 2^128 security 'kwetsbaar' is is doodgewoon onzin - Ja, het is aanzienlijk sneller dan 2^256, maar het is niet 'kwetsbaar' .

Laten we trouwens ook gaan nadenken over wat we doen met onbeperkt electriciteit , in een Post-Fusion wereld.
(de beloften van opschalen en beschikbaar komen van kernfusie lijken nogal op die van QC )
Geloof jij echt dat wij zouden moeten opschalen tot kernfusie vanwege AES-256?
30-03-2020, 02:09 door Anoniem
Door donderslag:
Door Anoniem:
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Ook AES-256 is (uiteindelijk) kwetsbaar voor quantumcomputers
Kom met overtuigende aanwijzingen waarom dat zo zou zijn en wat daar voor nodig is, of hou op met het verspreiden van onzin.

Veertien seconden googlen leert dat quantum computers een AES-256 aanzienlijk sneller kunnen breken dan een conventionele computer. Het is nog steeds "onpraktisch lang" en dus niet perse onveilig, maar om te zeggen dat het geen last gaat hebben van de kracht van computers die nog niet bestaan is... hoe zeg ik dat netjes...onzin?

Zeggen dat 2^128 security 'kwetsbaar' is is doodgewoon onzin - Ja, het is aanzienlijk sneller dan 2^256, maar het is niet 'kwetsbaar' .

Laten we trouwens ook gaan nadenken over wat we doen met onbeperkt electriciteit , in een Post-Fusion wereld.
(de beloften van opschalen en beschikbaar komen van kernfusie lijken nogal op die van QC )
Geloof jij echt dat wij zouden moeten opschalen tot kernfusie vanwege AES-256?

Je zin slaat nergens op - we _hebben_ AES-256 , gewoon standaard. En ik zeg nergens 'opschalen tot kernfusie' .
Je kunt blijkbaar erg slecht lezen.

Lees wat over de geschiedenis van kernfusie, en de verwachtingen , beloften - en wat op tot op heden echt bereikt is.
('fusion - ten years away, for the last fifty years' )

Kijk naar de beloften van quantum computing en wat op moment beste prestatie is van QC voor een cryptografisch probleem.
En zie of je dan mijn mopje qua overeenkomst wel snapt.
30-03-2020, 11:26 door SPer
Alles ten spijt elke huidige encryptie valt, gezien de methode waarop ze werken, te decryptenn.

Twee uitzonderingen

1) One-time pad, soms ook wel OTP, Vernam-cijfer, eenmalig blokcijfer of het perfecte cijfer genoemd, is de enige bewezen methode voor cryptografie die een onbreekbare vercijfering mogelijk maakt, mits correct toegepast. Het one-time pad werd ontwikkeld als een methode voor papier en potlood gebaseerd op het oorspronkelijke door Gilbert Vernam in 1917 ontwikkelde systeem voor gebruik bij telexverkeer. De code lijkt echter al ouder te zijn en dateert uit 1882[1]. Het staat beschreven in een boek van Frank Miller, een bankdirecteur.
(alleen vervelend dat de sleutel ook gedeeld moet worden.......en dat kun dan weer niet met kraakbare encryptie)


2) Kwantumcryptografie (het verslaan met Eigen middelen ;-)
30-03-2020, 12:59 door Anoniem
Door SPer: Alles ten spijt elke huidige encryptie valt, gezien de methode waarop ze werken, te decryptenn.

Je snapt dat deze uitspraak niet klopt? Het is niet zo dat 'alle encryptie kapot is' met quantum computers. Dit is hier uitgebreid beschreven.

Je suggesties slaan kant nog wal, een OTP bied geen integriteit en het grootste probleem is niet met symmetrische crypto (zoals OTP, AES, ChaCha20) maar juist assymetrische crypto (DHE, RSA, ECDSA). Quantumcryptografie (anders dan post-quantumcryptografie) is vooral een theoretisch verhaal en heeft slechts een heel niche toepassing, als je al wilt geloven dat het enige vorm van toekomstperspectief heeft.
30-03-2020, 14:01 door Anoniem
Door SPer: Alles ten spijt elke huidige encryptie valt, gezien de methode waarop ze werken, te decryptenn.

Twee uitzonderingen

1) One-time pad, soms ook wel OTP, Vernam-cijfer, eenmalig blokcijfer of het perfecte cijfer genoemd, is de enige bewezen methode voor cryptografie die een onbreekbare vercijfering mogelijk maakt, mits correct toegepast. Het one-time pad werd ontwikkeld als een methode voor papier en potlood gebaseerd op het oorspronkelijke door Gilbert Vernam in 1917 ontwikkelde systeem voor gebruik bij telexverkeer. De code lijkt echter al ouder te zijn en dateert uit 1882[1]. Het staat beschreven in een boek van Frank Miller, een bankdirecteur.
(alleen vervelend dat de sleutel ook gedeeld moet worden.......en dat kun dan weer niet met kraakbare encryptie)


2) Kwantumcryptografie (het verslaan met Eigen middelen ;-)

"Valt te decrypten" is een extreem misleidende term voor "not perfect information-theoretically secure" .
Dingen die een analyse van 2^256 stappen vergen, of een opslag van 2^128 zijn totaal niet te decrypten - ook al zijn ze niet 'perfect information-theoretically secure'.

Met name ook omdat de garantie van het OTP alleen geldt voor de (on)mogelijkheid van cryptanalyse van een OTP dat perfect voldoet aan de eisen.
Als je "decrypten" oprekt tot naar side-channels zoals timing/power analyse van implementaties , of het gebruik van zwakke sleutels (wegens slechte rng, of van mensen die een beperkt password kiezen) vervallen de garanties van een OTP precies zo hard als bij reguliere encryptie. Waar de term 'decrypt' dan wel 'kraken' nog wel in die opgerekte variant gebruikt wordt.
[zoek op 'venona project' , voor het falen in de praktijk van een OTP ].

Misschien zelfs dat een OTP meer fragiel is, wanneer mensen te veel geloven "theoretisch onkraakbaar" en te weinig de kleine letters kennen "mits true random, mits one time only". Side-channels op basis van power analyse, geluiden , EM van codeermachines zijn een bron van lekkages zo oud als codeermachines. En slordige codeerklerken al helemaal.

Ad 2: je kunt discussieren of quantum encryptie 'encryptie' is - of een tamper-proof/tamper-evident communicatie pad.
30-03-2020, 15:37 door SPer
Met name ook omdat de garantie van het OTP alleen geldt voor de (on)mogelijkheid van cryptanalyse van een OTP dat perfect voldoet aan de eisen.
dit geldt natuurlijk alleen als de OTP string veilig te communiceren is true random is (een herhalend gegenereerd patroon is vragen om moeilijkheden, het beste is een munt en met de hand ..... of ruis van een slechte weerstand/transistor/etc. ).

Ad 2: je kunt discussieren of quantum encryptie 'encryptie' is - of een tamper-proof/tamper-evident communicatie pad.

Je kunt constateren dat je vertrouwelijkheid geschaad is, hierdoor ben je in staat om in actie te komen (een nieuwe sleutel gebruiken via een ander pad communiceren etc.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.