AIVD waarschuwt voor impact van quantumcomputer
Door de komst van de quantumcomputer zijn nieuwe cryptografische oplossingen nodig om ook in de toekomst gegevens veilig te kunnen blijven versleutelen, zo waarschuwt het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de AIVD in een nieuw pamflet (PDF) gericht aan overheidsorganisaties.
Quantumcomputers gebruiken een andere rekenmethode dan traditionele computers en kunnen volgens de NBV daardoor relatief eenvoudig de huidige encyptiemethoden ontcijferen. Met een quantum-computer is het bijvoorbeeld mogelijk om beveiligd internetverkeer (https) te ontcijferen. "Dit is vooral een uitdaging voor data die langere tijd geheim moet worden gehouden", zo laat het Bureau weten.
Op dit moment bestaan er al werkende quantumcomputers in testopstellingen en laboratoria. Deze zouden voorlopig nog niet krachtig genoeg zijn om een reële bedreiging te vormen. De TU Delft voorspelt dat er tussen 2030 en 2040 een quantumcomputer te bouwen is met voldoende capaciteit om een bedreiging te zijn voor onze huidige encryptiemethoden. "Door tijdig te investeren in nieuwe cryptografische technieken kan data ook veilig zijn na de opkomst van de quantumcomputer", aldus de NBV.
Het Bureau doet eigen onderzoek en werkt samen met partners om tijdig binnen de overheid producten en oplossingen beschikbaar te hebben die bescherming tegen quantumcomputers kunnen bieden. In afwachting hierop krijgen organisaties het advies om te bepalen hoe lang vertrouwelijke informatie beschermd moet worden. "Informatie die langdurig beschermd moet worden, kan nu al onderschept worden om later te ontcijferen. Als u inschat dat uw informatie gevaar loopt, is het verstandig een expert te vragen om advies."
Eigenlijk precies zoals die wedloop tussen 'cryptographers' en 'cryptoanalysts' al eeuwen gaat.
Eigenlijk precies zoals die wedloop tussen 'cryptographers' en 'cryptoanalysts' al eeuwen gaat.
Ja - dat klopt inderdaad. Probleem is echter dat het beschikbaar komen van een quantum computer niet voor iedereen op hetzelfde moment hoeft te komen...
Als de Chinezen/Russen/Amerikanen/vul zelf maar in al wel zo'n ding hebben, maar jij nog niet, dan kunnen die Chinezen, Russen, etc dus wel jouw encrypted data lezen, maar kan jij daar geen quantum-beveiligde verbinding tegenover stellen. Dat is ook de angst van veel overheden: dat een ander dan zij wel de beschikking heeft over zo'n ding, maar zij niet.
steeds met de allersterkste encryptieprotocollen en ciphers dient te worden versleuteld,
en dat encryptietechnieken nog verder moeten worden doorontwikkeld en verbeterd,
ook al zijn die superkrachtige quantum computers naar verwachting voorlopig nog niet operationeel.
Ik stuur een gecodeerd bericht naar mijn mededader waaruit blijkt dat ik een moord begaan heb. Dat bericht kan de overheid toch niet ontcijferen. Ik ben wel verdacht, dus de politie slaat al mijn internet verkeer op. 25 jaar later, voor de verjaring, kunnen ze mijn bekentenis wel ontcijferen door betere technieken en ben ik alsnog de klos.
Het artikel waarschuwt me dus om dergelijke berichten niet te versturen, maar jij beweerd dat de toekomstige techniek me hiertegen wel kan beveiligen. Leg mij dat eens beter uit hoe dat moet werken.
Carbon based cpu will be the future.....
Als de wens en het budget maar groot genoeg zijn.
Ik stuur een gecodeerd bericht naar mijn mededader waaruit blijkt dat ik een moord begaan heb. Dat bericht kan de overheid toch niet ontcijferen. Ik ben wel verdacht, dus de politie slaat al mijn internet verkeer op. 25 jaar later, voor de verjaring, kunnen ze mijn bekentenis wel ontcijferen door betere technieken en ben ik alsnog de klos.
Het artikel waarschuwt me dus om dergelijke berichten niet te versturen, maar jij beweerd dat de toekomstige techniek me hiertegen wel kan beveiligen. Leg mij dat eens beter uit hoe dat moet werken.
Om met het laatste te beginnen:
De AIVD heeft met het artikel niet de intentie om misdadigers te waarschuwen om dergelijke berichten niet te versturen. Uiteraard kan het best zijn dat een misdadiger zich wel op die manier gewaarschuwd voelt,
maar dan dwalen we af van wat de AIVD heeft bedoeld. (=off-topic)
Wat anoniem 16:43 volgens mij heeft bedoeld, is dat de ontwikkeling van computers met quantumtechnologie
waarschijnlijk gelijke tred zal houden met de ontwikkeling van speciale encryptietechnieken op basis van
eveneens die quantumtechnologie. (bijv. met verstrengelde paren?)
Dit is overigens wat mij betreft wel een wat riskante speculatie.
Het staat allemaal nog in de kinderschoenen, en het is nog zeer de vraag of er nu echt beslist nergens een addertje
onder het gras zit, en de huidige theorieën ooit zonder problemen werkelijkheid kunnen worden in de praktijk.
Juist daarom is dit (misschien naast het reeds gemaakte punt van andere anoniem 18:33) de hoofdintentie van de AIVD, namelijk dat men nu al moet beginnen met investeren in nieuwe encryptiemethoden op basis van eveneens
die vooralsnog veelbelovende quantumtechnologie. (en met het oog op in de toekomst waarschijnlijk snel en fors toenemende rekenkracht van quantumcomputers waarmee encrypties dus steeds sneller zijn te kraken).
Zie ook http://www.nu.nl/internet/3933890/aivd-werkt-sterkere-kwantumversleuteling.html
En http://www.nutech.nl/gadgets/3667106/vier-vragen-kwantumcomputer-van-nsa.html
"Om onze informatiebeveiliging in gevaar te brengen zijn echter honderden tot duizenden qubits nodig" - bron?
"De TU Delft verwacht tussen 2030 en 2040 een quantumcomputer te bouwen met duizenden qubits" - bron?
Kan het NCSC document met ICT-beveiligingsrichtlijnen voor TLS (https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/ict-beveiligingsrichtlijnen-voor-transport-layer-security-tls.html) nu de vuilnisbak in?
Het AIVD pamflet biedt geen enkele suggestie voor cryptografische algoritmes die wel veilig zouden zijn, anders dan dat je daarvoor maar contact moet opnemen met een expert, om vervolgens NBV te noemen. Zoekt de AIVD wellicht extra inkomsten (http://nos.nl/artikel/669781-bezuiniging-op-aivd-blijft.html) en is dit een ordinaire FUD reclamefolder?
Misschien kan de NBV zich vandaag nuttig maken en een harde uitspraak doen over het gebruik van RC4 door o.a. DigiD? (zie https://www.security.nl/posting/406116/).
Ik heb een vermoeden dat alles wat we voorgeschoteld krijgen , al minstens tien jaar of langer in gebruik is bij opsporingsdiensten.
Die quantum computers waren tenslotte al bijna tien jaar terug operationeel in testfasen, reken er maar op dat aivd en nsa die dingen al lang en breed jaren lang hebben draaien hoor.
Dus bedrijven als AMD en Intel bouwen nu chips die ze pas 10-15 jaar daarna op de markt (mogen?!?) brengen omdat de veiligheidsdiensten ze eerst in hun machines willen inbouwen? Dus toen Intel in 1968 werd opgericht had 't eigenlijk al binnen een jaar of 2-3 een Pentium chip, maar die hielden ze tot 1993 (introductie Pentium chip volgens Wikipedia) onder de pet voor de NSA? Want omdat de internets nog niet waren uitgevonden moest de NSA al wel al het versleutelde internet verkeer afluisteren?
Ik denk dat je dat op niburu.nl hebt gelezen...
Neemt niet weg dat "FUD" niet altijd is gegrond op volslagen irreële zaken.
Op het gebied van quantumtechnologie zijn al enkele doorbraken geweest, en je kunt er maar beter rekening mee houden
dat die trend zich nog voortzet. Als vele mensen zich buigen over één probleem, dan is men, linksom of rechtom, tot alles in staat. In principe is niets van wat wij denken te doen voor ons onuitvoerbaar, tenzij in de natuur een onvermijdelijke belemmering is ingebouwd. (wat tot nu toe eigenlijk altijd het geval is, maar met ontwikkeling en optimaliseren kom je toch nog heel ver!). Als iemand in de vijftiger jaren had gezegd dat we een raket gaan afschieten met een ruimteschip dat radiocontact met de aarde houdt, om op meer dan 6 miljard kilometer afstand van de aarde een komeet te ontmoeten
en waarmee dat ruimteschip dan een flink eind zal meereizen en er een sonde zal laten afdalen die allerlei fantastische metingen zal verrichten en doorseinen, dan zou menigeen zo iemand voor gek verklaren.
Maar ondertussen is men al heel ver gekomen!
Dit gezegd hebbende, is het waarschijnlijk niet verkeerd om ons bij de ontwikkeling van quantumtechnologie
tegelijk qua versleutelingstechnieken nu ook al voor te bereiden op de potentie van die quantumtechnologie.
rrng bestaat namelijk niet. Dat is slechts een hersenspinsel. Denk aan salt's en encryptie, dat zal dus anders moeten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
