Nou, bij embedded devices zal het waarschijnlijk niet mogelijk zijn.
Die dingen zijn veelal zo underpowered dat zelfs huidige encryptie zwaar valt.

Maar zelfs als het apparaat het aankan, als je PQC wilt, dan moeten er wel algoritmes voor bestaan.
Algoritmes waarvan we met grote mate van zekerheid kunnen zeggen dat het veilig is, met bevestiging van de juiste instanties.
En dan moet er ook voor die algoritmes code beschikbaar zijn in de vorm van source of libraries.

Zover ik weet zijn we nog niet zó ver.

Precies, maar ze zijn er gelukkig aan bezig, in 2024 zou het het al gestandariseerd moeten zijn:
https://www.nist.gov/news-events/news/2023/08/nist-standardize-encryption-algorithms-can-resist-attack-quantum-computers

Lekker boeien. Dat type devices zijn toch ongeschikt om 'hun eigen broek op te houden' qua security.

Het statement 'de meeste gevallen' is natuurlijk helemaal correct .

Nu is het hele QC toch al zwaar overhyped , maar je praat over een threat-model waarin een verkeer gevangen (en bewaard) wordt door een tegenstander die dan (eventueel ooit) beschikt over een mega speciale stervensdure quantum computer.

En dan is het verhaal ook nog dat je misschien nu wat moet doen voor verkeer dat over decennia nog waarde heeft .
En dat type verkeer of aanval zou dan termineren op z'n embedded ding dat de huidige encryptie al amper aankan ?

Volkomen onzin.

Je vreest alleen dat de hele audit industrie met hun afvink-spreadsheet er de ballen van snapt - en de enige dingen die nu makkelijk af te vinken zijn is precies algo XYZ met keylengte veel, net als 'password lengte minimaal veel' .
De rest van security risico's is een veel groter risico maar heel veel lastiger te quantificeren .

Otoh, als breekijzer voor een lekkere hardware refresh om een hoop oude meuk er eindelijk eens uit te gooien, elk nadeel heb ze voordeel ;-)



Inderdaad. Maar goed, de werkelijk gebouwde QCs zijn ook helemaal niet ver, en ik hoor de researchers nooit iets zeggen hoe zeker het is dat de speelgoed formaat echt opgeschaald kan worden naar de capaciteit die interessant is voor reeel gebruikte encryptie .

Het produceert een hele berg research papers en PhDs, en vult de tijd op security congressen (en bij de koffie automaat voor technerds) , maar om nou te zeggen dat je een werkelijk risico hebt, ik zie het niet.

Volgens mij hoef je helemaal niets te doen. Zodra CSS er doorgedrukt is, maakt geen enkele encryptie meer wat uit. Waarom dan nog updaten?

De meeste researchers gaan er vanuit dat het binnen 10 a 15 jaar zover is.
Maar het kan ook binnen 5 jaar zover zijn, of nog 30 jaar duren.

Gelukkig word er al best veel gedaan aan nieuwe encryptie methoden die wel veilig zijn.
En symmetrische encryptie is nu al veilig. Het is de asymetrische encryptie die door Quantum computers om zeep word geholpen. En daar zijn ook al vervangende methodes voor bedacht. Die moeten nog een vervangende standaard worden, maar daar hebben we dus nog wel een aantal jaren voor.


Als je nu data encrypt die de komende 15 jaar veilig moet blijven, dan is het wel de moeite waard om er nu al aandacht aan te schenken. Daar gebruik je typisch symmetrische encryptie voor, dus daar zijn wel mogelijkheden.

Gaat heel duur zijn. Als het al gaat bestaan. Dat QC. En dan heb je nog niet meteen een desktopmodel, want er komt iets meer bij kijken dan waterkoeling. Alleen wellicht iets voor data die heel lang geheim moet blijven, zoals staatsgeheimen die pas over honderd jaar van het slotje mogen.

Na honderd jaar hoop ik dan wel dat het decryptiesleuteltje nog ergens ligt!

Want anders krijg je je eigen archief niet meer van het slotje. Tenzij je het niet QC ge-encrypt had, en je de QC slotenmaker zou kunnen bellen. Over honderd jaar. Je kunt natuurlijk niet in de toekomst kijken. Maar gooi je iets tè goed op slot en je raakt de sleutel kwijt, dan had je net zo goed honderd jaar geleden op dieliet kunnen klikken. Was goedkoper geweest ook. Het vraagt dus allemaal wat verstandige afweging of het allemaal wel handig bedacht is, zulke adviezen.

Vergen de post-kwantum-algoritmes dan meer rekenkracht op traditionele hardware?

Kwantumcomputers snijd je niet de pas af door te zorgen dat er meer rekenkracht nodig is op traditionele hardware, maar door te zorgen dat een computer die op fundamenteel andere natuurkundige principes werkt geen algoritme beschikbaar heeft dat het kraken op een spectaculaire manier kan kortsluiten. Het gaat niet om zwaardere algoritmes, het gaat om een ander type algoritmes.

Nou weet ik niet hoe het in de praktijk uitpakt, dus wie weet zijn de postkwantumalgoritmes die men heeft bedacht inderdaad wel zwaarder voor traditionele hardware dan de nu gebruikte algoritmes, maar dat volgt in mijn ogen niet vanzelfsprekend uit het feit dat men computers die volgens een totaal ander natuurkundig principe werken de pas wil afsnijden. Voor hetzelfde geld stuit men op iets dat juist met met minder rekenkracht net zo sterk is.

Dus: ging je uit van een algemeen patroon dat je kent van wanneer men op traditionele hardware rekening houdt met aanvallen met traditionele hardware die krachtiger wordt, bijvoorbeeld door met langere sleutels te werken; of weet je dat het bij kwantumbestendige cryptografie ook zo uitpakt?

Ze hebben die voorspelling gemeen met kernfusie-onderzoekers, die ook al veertig jaar 'binnen 10 jaar' klaar voor praktijkgebruik denken te zijn. Met , feitelijk , zelfs wat meer theoretische redenen waarom het 'in principe' kan.

De voortgang in gerealiseerde QC is toch echt ontzettend beperkt over de laatste 15 jaar .
Een reden waarom je qua voortgang misschien 'opeens' een extreme sprong zou moeten/kunnen verwachten heb ik nooit gehoord .

[knip verder eens]

Anticiperende organisaties hebben hun end-to-end encryptie met eigen hard- en software ingericht, zie https://photos.app.goo.gl/XRcRX84H48EvhX9i9 voor een voorbeeld.
De Quantum Hardware is te zien op https://photos.app.goo.gl/Q8QLdXpRmDYUK76r5

De adviezen van AIVD, TNO en CWI:
https://www.aivd.nl/onderwerpen/informatiebeveiliging/nieuws/2023/09/18/handreiking-maak-je-organisatie-quantumveilig-gepubliceerd

Volgens de BIO mag informatie boven een bepaalde rubricering toch al niet via het internet worden getransporteerd. Volgens mij zullen vooral de kroonjuwelen van bedrijven kwetsbaar zijn.

Dat klopt.
Je zoekt encryptie algorithmen die NIET efficient met Shor's algorithm (dat is wat quantum computers kunnen) opgelost kunnen worden.
Degenen gebaseerd op factorisatie (RSA) of discrete logarithmen (D-H, ElGamal) zijn kwetsbaar .

Er zijn een hoop kandidaten voorgesteld - die voor een deel al weer (zelfs 'gewoon') oplosbaar bleken.

De voorgestelde kandidaten hebben allemaal fors langere sleutels, en vergen ook meer processing tijd.
En afgezien van veiligheid is 'snel genoeg' ook een requirement - Als een TLS sessie setup 5 seconden full cpu kost is dat niet bruikbaar.


Ook zonder QC zou een (nog) sneller public-key algorithme erg welkom zijn . RSA en D-H zijn ook al erg zwaar.
Je kunt in elk geval zeggen dat bij 'nog zwaardere processing dan RSA' inderdaad de onderkant van de devices - zoals embedded - onbruikbaar wordt.

Het klopt dat je niet vanzelf kunt zeggen 'PQC _moet_ zwaardere processing vergen' , het is alleen dat er kandidaat gevonden is (nog ?) die in dezelfde of betere orde grootte zit als RSA en D-H .

(Voor de symmetrische algorithmen is 'slechts' een verdubbeling van keylengte voldoende - ook een verzwaring, maar valt relatief mee) .


Ik ben een andere anoniem, maar het is voorlopig een feit dat kandidaat-PQC met meer kosten (keysize en processing) komen dan de huidige public key algorithmen.

Voor (niet heel licht verteerbaar) details

https://blog.cloudflare.com/the-tls-post-quantum-experiment/
https://cwssp.uccs.edu/sites/g/files/kjihxj2466/files/2021-09/1_Security%20Comparisons%20and%20Performance%20Analyses%20of%20Post-Quantum%20Signature%20Algorithms.pdf
https://csrc.nist.gov/CSRC/media/Presentations/measuring-tls-key-exchange-with-post-quantum-kem/images-media/sullivan-session-1-paper-pqc2019.pdf

Welnee, quantum computer bestendige algorithmes bestaan al en worden al toegepast, zoals in Signal messenge. En die werken op gewone bestaande computers. En omdat ze nog niet zo goed getest zijn als de bestaande gebruikt Signal de klassieke ECC en een quantum bestendig algorithme achter elkaar zodat je met het breken van slechts 1 van de 2 het bericht nog niet kunt ontcijferen.

Kernfusie onderzoekers hebben het steeds over 50 jaar.

Het klinkt meer als de zelfrijdende auto propagandisten van een paar jaar geleden die voorspelden dat volledig zelf rijden binnen 5 jaar werkelijkheid zou zijn.

Mw, hoe dan ook een verschuivende horizon, en volgens zijn er toch telkens wel beloften (of 'doorbraak verwacht' ) die prettig vallen in onderzoeksfinancieringsprogramma's van 5 tot 10 jaar .

Ik ben nogal wat skeptischer geworden op wetenschappelijke voorspellingen de laatste jaren , dan wel de werkelijke impact van groots aangekondigde 'doorbraken' .

Het is echt _heel_ teleurstellend om te kijken welk formaat problemen er tussen 1994 (publicatie Shor's algorithm) en nu opgelost zijn.

https://crypto.stackexchange.com/questions/59795/largest-integer-factored-by-shors-algorithm
geeft een aantal URLs.

zie ook
https://quantumcomputing.stackexchange.com/questions/2111/what-integers-have-been-factored-with-shors-algorithm


Wat ik daar ook las (was nieuw voor me) dat eigenlijk alle voorbeelden van 'iets' grotere getallen feitelijk ontbonden zijn met een methode die vereist dat je het antwoord weet !


Dat is een te grote belofte, maar je kunt wel heel duidelijk zien (tesla) dat zelfrijdende auto heel veel meer zichtbare voortgang heeft dan 'quantum computer'

Het gaat dus bv over pgp keys, user certificates... Kortom met identificatie middelen beveiligde geheimen.
Idd ook evt session keys voor ssl/tls .

CSS is zeker geen gelopen race...
Of misschien toch wel heb je de spell checker etc van je mobiele toetsen bord al gesloopt? Zo niet dan dan is er al CSS van Google/Apple/Samsung/Huawei.....

De 10 jaar komt van de bouw van een proef centrale waarbij het bouwen van dat apparaat een jaar of 8 duurt en ingebruikstelling ook wat tijd nodig heeft.
Met de metingen van die proef centrale kunnen de parameters voor productie omgevingen bepaald worden.
Dan is 10 a 20 jaar later iets mogelijk voor continue productie.
De proefcentrale is ontworpen op basis van een schaalmodel en zit redelijk op de grenzen met wat nu mogelijk is met de kennis van nu. Het is een instapmodel waarbij continue productie van energie mogelijk is.

"Kwantumbestendige encrytie"... is dat niet iets dat,
m.b.t. de vermeende bestendigheid en gezien het tempo van ontwikkelingen i.c.m. AI,
hooguit tijdelijk is?

AI voegt op dit vlak echt helemaal niks toe .

Het tempo van quantum computing is feitelijk helemaal niet hoog - en het hangt allemaal op één algorithme (Shor's) voor de public-key decryptie . Dus alle 'post quantum' encryptie algorithmen moeten 'niet kwetsbaar zijn voor Shor's algorithm' .

Je kunt niks verwachten of voorspellen omtrent het bestaan/ontdekt worden voor _andere_ algorithmen dan Shor's waar de PQC kandidaten kwetsbaar voor zijn.

Maar dat is nogal vergelijkbaar met 'gewone' factorisatie - daar zijn tussen ~1975 en 20xx ook een aantal slimmere algorithmen bedacht/gevonden waarmee in elk geval de keylengte omhoog moet.
Het is , vzviw niet uitgesloten dat er ooit een super efficient factorisatie algorithme gevonden wordt waarmee ook een niet-quantum computer RSA kan oplossen .

Er is geen wiskundig bewijs dat de diverse public key algorithmen 'altijd moeilijk' zijn .