image

Amerikaanse NIST kiest vier kwantumbestendige encryptie-algoritmes

woensdag 6 juli 2022, 12:50 door Redactie, 9 reacties

Het Amerikaanse National Institute of Standards and Technology (NIST) heeft vier encryptie-algoritmes gekozen die tegen de rekenkracht van kwantumcomputers zijn opgewassen. Het Nationaal Cyber Security Centrum (NCSC) heeft op basis van de selectie nu beveiligingsrichtlijnen gepubliceerd en waarschuwt organisaties nogmaals voor de dreiging van kwantumcomputers.

Volgens het NCSC zullen met de komst van kwantumcomputers de meestgebruikte asymmetrische cryptografische algoritmes, zoals RSA en ECC, niet meer veilig zijn. De overheidsinstantie acht de kans dat kwantumcomputers in 2030 al krachtig genoeg zullen zijn om huidige cryptografische standaarden te breken klein, maar wel reëel. Het NIST startte in 2016 een wedstrijd om kwantumbestendige encryptie-algoritmes te vinden.

De vier nu gekozen algoritmes zullen onderdeel worden van de post-kwantum cryptografische standaard van het NIST, die naar verwachting over twee jaar is afgerond. "De aankondiging is een belangrijke mijlpaal in het beveiligen van onze gevoelige data tegen de mogelijkheid van toekomstige cyberaanvallen door kwantumcomputers", aldus de Amerikaanse minister van Handel Gina Raimondo. Naast de vier gekozen algoritmes zijn er ook nog vier andere algoritmes die mogelijk aan de toekomstige standaard worden toegevoegd.

NCSC adviseert hybride constructie

Naar aanleiding van de keuze van het NIST heeft het NCSC beveiligingsrichtlijnen voor kwantumveilige transportlaag encryptie gepubliceerd. Ook de Amerikaanse en Australische overheid zijn met reacties en adviezen gekomen. Het NCSC adviseert dat organisaties zich nu al voorbereiden op een kwantum veilige omgeving door een migratieplan op te stellen.

"Versleutelde data die nu verstuurd of opgeslagen wordt, kan onderschept worden om op een later moment met een kwantumcomputer te ontsleutelen. Een oplossing om u nu al te beschermen tegen de dreigingen van kwantumcomputers is een hybride constructie. Hierin wordt klassieke cryptografie gecombineerd met kwantumresistente algoritmes", aldus de overheidsinstantie. Het NCSC en de AIVD hebben handvatten gepubliceerd om organisaties bij de migratieplanning te helpen.

Reacties (9)
06-07-2022, 14:31 door Anoniem
Alleen hebben ze nog geen quantum-computers.
Alvast bedacht mochten ze ooit dat lukken.

Met een backdoor erin ? schiet je er nog niets mee op.
06-07-2022, 17:34 door Anoniem
Quantum bestendig is ook een verkeerde woordkeuze...
RSA en WPA dachten ze ook van 'onbreekbaar'... We weten nu wel beter...

Dus zelfs wanneer het theoretisch een onmogelijk zou zijn (wat het niet is, want je moet ervan uit gaan dat state-actors elk jaar een kwadraat van rekenpower kunnen produceren) is er altijd nog de implementatie fout en de state-injected of state-enforced backdoors die de boel wagenwijd open kunnen zetten.

Verder is er nog het probleem van recorded-packets... Dat het NU geen suc6 is dat het gekraakt wordt wil niet zeggen dat het over een jaar of over 10 jaar wel gebeurd... En is die data die je vandaag over de lijn stuurt over 1 of 10 jaar nog steeds waardevol? Zoja, dan heb je een probleem.. En is je huidige encryptiestandaard NIET voldoende...

Mijn specificaties zijn, is het over 10 jaar nog steeds waardevolle informatie, moet je NU al encryptie toepassen die over 10 jaar nog steeds 'relatief' veilig is... En DAT vergeten heel veel security mensen... de factor tijd en de factor beroepsblindheid. (de bekende https://imgs.xkcd.com/comics/security.png
06-07-2022, 23:36 door Anoniem
Is aes niet gewoon quantum bestendig?
07-07-2022, 06:34 door Anoniem
Door Anoniem: Mijn specificaties zijn, is het over 10 jaar nog steeds waardevolle informatie, moet je NU al encryptie toepassen die over 10 jaar nog steeds 'relatief' veilig is...
Als je van kwantumbestendige encryptiealgoritmes niet kan verwachten dat ze over 10 jaar nog relatief veilig zijn (want dat lijk je te zeggen), wat moeten we dan volgens jou NU kiezen dat WEL over 10 jaar nog steeds relatief veilig is? Kan je namen van NU beschikbare encryptiealgoritmes noemen die daaraan voldoen?
07-07-2022, 09:50 door Anoniem
Door Anoniem: Is aes niet gewoon quantum bestendig?
Ja klopt, deze nieuwe standaarden zijn volgens mij geen vervanging voor AES maar gaan over asymmetrische crypto.
07-07-2022, 09:58 door Anoniem
Door Anoniem:
Door Anoniem: Mijn specificaties zijn, is het over 10 jaar nog steeds waardevolle informatie, moet je NU al encryptie toepassen die over 10 jaar nog steeds 'relatief' veilig is...
Als je van kwantumbestendige encryptiealgoritmes niet kan verwachten dat ze over 10 jaar nog relatief veilig zijn (want dat lijk je te zeggen), wat moeten we dan volgens jou NU kiezen dat WEL over 10 jaar nog steeds relatief veilig is? Kan je namen van NU beschikbare encryptiealgoritmes noemen die daaraan voldoen?

Nee, dat kan ik niet zeggen. A omdat ik nu wat minder in de encryptie hoek zit te werken en B omdat ik ervan uit ga dat ze er nog niet zijn omdat niemand zo ver door denkt. Iedereen denkt maar aan 'nu-nu-nu'... Nu is het veilig... Sommige misschien over 1 jaar veilig of sommige denken over 10 jaar veilig maar denken niet hard genoeg.

Maar over het algemeen durf ik wel te stellen dat als je denkt dat iets NU veilig is, dat je voor volgend jaar al iets moet hebben wat 4x beter is dan vandaag (en dan is je data dus maar 1+1 jaar veilig!)
07-07-2022, 12:46 door Anoniem
Door Anoniem: Is aes niet gewoon quantum bestendig?

Ja . Symmetrische encryptie (en hashes) heeft amper een probleem met quantum computers .

Alleen alle bestaande public key algorithmen zijn er kwetsbaar voor - aangenomen dat een quantum computer van voldoende formaat ook echt werkend gebouwd kan worden.

Het gaat dus om vervangende public key algorithmen die
1) bestendig zijn tegen quantum cryptographie
2) met werkbare sleutellengtes te implementeren zijn

Je wilt geen TLS handshake die 8 uur werk voor een GPU accelerator is om de sessie op te zetten.
08-07-2022, 09:33 door Anoniem
Door Anoniem:
Door Anoniem: Is aes niet gewoon quantum bestendig?

Ja . Symmetrische encryptie (en hashes) heeft amper een probleem met quantum computers .

Alleen alle bestaande public key algorithmen zijn er kwetsbaar voor - aangenomen dat een quantum computer van voldoende formaat ook echt werkend gebouwd kan worden.

Het gaat dus om vervangende public key algorithmen die
1) bestendig zijn tegen quantum cryptographie
2) met werkbare sleutellengtes te implementeren zijn

Je wilt geen TLS handshake die 8 uur werk voor een GPU accelerator is om de sessie op te zetten.

Misschien dat velen inderdaad denken aan nu-nu-nu.
Er zijn in ieder geval ook vele (andere) mensen die wel degelijk denken aan tijdsduur beveiliging.
Als practisch voorbeeld een website waar je algoritme en sleutellengte en beschermingstijd in samenhang kan brengen.
https://www.keylength.com/
08-07-2022, 12:39 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Is aes niet gewoon quantum bestendig?

Ja . Symmetrische encryptie (en hashes) heeft amper een probleem met quantum computers .

Alleen alle bestaande public key algorithmen zijn er kwetsbaar voor - aangenomen dat een quantum computer van voldoende formaat ook echt werkend gebouwd kan worden.

Het gaat dus om vervangende public key algorithmen die
1) bestendig zijn tegen quantum cryptographie
2) met werkbare sleutellengtes te implementeren zijn

Je wilt geen TLS handshake die 8 uur werk voor een GPU accelerator is om de sessie op te zetten.

Misschien dat velen inderdaad denken aan nu-nu-nu.
Er zijn in ieder geval ook vele (andere) mensen die wel degelijk denken aan tijdsduur beveiliging.
Als practisch voorbeeld een website waar je algoritme en sleutellengte en beschermingstijd in samenhang kan brengen.
https://www.keylength.com/

Als je een commentaar niet snapt, waarom zoek je niet even verder voordat je een niet terzake verhaal als followup post ?

Encryptie is er om te gebruiken - als je een sessie opzet (SSH, TLS , VPN) - dan moet de tijd om die sessie tot stand te brengen acceptabel zijn.
Als de hele public key handshake acht uur rekentijd kost - is zo'n public key algorithme gewoon GEEN geschikte vervanger voor de plaats waar nu DH/RSA zitten in TLS, SSH e.d.

Net zo goed als het favoriete onderwerpje voor discussie - One Time Pad - theoretisch perfect, quantum proof - gewoon volkomen ongeschikt is voor bijna ieder gebruik - afgezien van een paar heel speciale omstandigheden.

Net zo goed zijn theoretisch geschikte kandidaat-vervangende public key algorithmen ook ongeschikt als ze in sessie-setup tijd or processing requirements te extreem zijn.
Ze leveren nog steeds een mooi research paper op - maar geen nieuwe standaard.

Dat is overigens niks nieuws - een heel erg onkraakbaar symmetrisch algorithme ontwikkelen is , met enige kennis , echt niet moeilijk .
De uitdaging van de NIST competitie waar AES uit voortkwam was voor een veilig algorithme dat *ook* efficient in hardware en software te implementeren was . DAT is wel moeilijk.

En diezelfde uitdaging is voor de post-quantum kandidaten.

Maar het 'snelheid van processing' staat min of meer los van de projecties van tijdsduur die het zou kosten om een bepaald algorithme te breken .
Of - eigenlijk - je wilt een algorithme waarin de sleutellengte die 'onbreekbaar is' (10^heel veel jaren werk) "kort genoeg" is dat het algorithme praktisch bruikbaar is.

RSA-met-terabit-keylengtes is wellicht ook quantum proof - maar volkomen onbruikbaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.