NCSC waarschuwt voor impact kwantumcomputer op encryptie
Het Nationaal Cyber Security Center (NCSC) van de overheid waarschuwt organisaties die met versleutelde gegevens werken voor de gevolgen als er straks kwantumcomputers zijn. Met een kwantumcomputer wordt het volgens de overheidsinstantie mogelijk om gegevens te ontsleutelen die beveiligd zijn met de meestgebruikte vormen van cryptografie.
"Gegevens die op dit moment nog voldoende beveiligd zijn, zijn dat na de komst van kwantumcomputers niet meer. De gevolgen zijn echter nog groter: er kunnen nu al versleutelde gegevens worden onderschept, zodat ze in de toekomst met een kwantumcomputer ontsleuteld kunnen worden", aldus de waarschuwing. Het NCSC adviseert organisaties daarom een actieplan op te stellen. Dit moet duidelijk maken binnen welke tijdlijn er maatregelen genomen moeten worden om gegevens tegen kwantumcomputers te beschermen.
Het gaat dan onder andere om het gebruik van cryptografie die tegen kwantumcomputers bestand is. Ook moet de lengte van de gebruikte encryptiesleutels worden vergroot. Op dit moment is AES-128 bijvoorbeeld sterk genoeg om te beschermen tegen een aanvaller met klassieke middelen, maar niet tegen een aanval door een kwantumcomputer. Het Europese onderzoeksproject PQCRYPTO-EU adviseert daarom voor AES het gebruik van 256-bit sleutels.
Het NCSC stelt in een factsheet over postkwantumcryptografie (pdf) dat de komst van kwantumcomputers nog ver weg lijkt, maar dat de gevolgen voor organisaties die met gevoelige gegevens werken nu al aanwezig zijn. "Hoewel het aanbod van alternatieve vormen van cryptografie op dit moment nog schaars is, is het essentieel om vandaag al na te denken over vormen van cryptografie die uw organisatie moet implementeren, en de tijd die daarvoor nodig is."
Voor de iCloud geeft Apple aan dat ze minimaal AES-128 gebruiken: https://support.apple.com/nl-nl/HT202303). Dat zal vast niet meer zijn, dus die info zal ooit uit een backup van Apple te ontcijferen zijn met die kwantumcomputer.
De analyse van dit overheidsorgaan ?
Afgezet tegen de aankomende realiteit
- De overheid vindt encryptie een probleem en wil dit opheffen voor organisaties die de noodzaak vinden te hebben om mee te kunnen lezen.
In dit geval is dat de overheid, bij medemonde van stoere prater en sinterklaasfeestverdediger Blok.
- De overheid wil zo spoedig mogelijk een tapwet erdoor heen hebben.
Dat betekent dat er binnen afzienbare tijd op een aantal punten in Nederland grootschalig getapt kan gaan worden met als excuus een of ander onderzoek.
- Er zijn geen limieten aan de reikwijdte en de duur van dat tappen en ook niet aan het aantal gelijktijdig lopende taps.
Zelfs de gestelde limiet om de getapte bulk aan gegevens voor drie jaar op te slaan is een farce want men gaat het desgewenst ongezien en ongeanalyseerd delen met het buitenland, dat zijn minstens 9 of 14 landen die weer andere wetgeving hebben en waar geen garantie is afgegeven dat diezelfde Hollandse gegevens 'maar' 3 jaar bewaard worden.
- De overheid is mede partner in het uitontwikkelen van kwantum computer technologie (in delft) en in de wereld schijnen we als land op dat vlak best goed mee te kunnen doen.
Gaan we naar goed overheidsgebruik even wat informatie koppelen
We hebben dus een overheid die flink met zijn poten staat in de medeontwikkeling van kwantumcomputing.
Die overheid gaat (op glijdende) termijn) grootschalig alle communicatie gegevens tappen die door dit landje stromen, tappen, opslaan en wereldwijd delen ter analyse.
En we hebben als 'back-up veiligheid een overheid die achterdeurtjes in encryptie wil hebben.
Wat we dan hebben is de snel aankomende situatie dat de overheid beschikt over kwantum computing en encryptie kan breken van alles wat ze al getapt en bewaard heeft.
En als dat niet lukt kan ze met de wet in de hand de verkregen achterdeurtjes in die encryptie toepassen om alles te decrypten.
Dan nog de klap op de vuurpijl waar niemand over spreekt
Helaas is in de discussie over de nog goed te keuren tapwet iets niet of onderbelicht.
De slimme PR focus is gelegd op het eruit halen van een decryptie verplichting omdat een verdachte niet mag mee werken aan de eigen veroordeling.
Positief toch?
Nee, dat valt vies tegen.
Want daarvoor in de plaats staat nog steeds een regeltje waar de FBI in de V.s. op zou 'af'komen van plezier.
Dat is namelijk dat anderen die kennis hebben van de encrypted bestanden (communicatie) verplicht zullen zijn mee te werken aan een eis de bestanden te decrypten.
Dat betekent dat die veiligheid van communicatie en encryptie net zo veilig is als de geldende handelingen en inzichten die er op dat moment binnen het instabiele politieke klimaat gelden.
Dat heeft dus niets met een stabiele waarborg van de rechtsstaat te maken maar alles met kortzichtig eigenbelang.
Niemand weet hoe dit gaat uitpakken maar het is natuurlijk heel voorstelbaar met een minder fraaie regerende overheid en minder fraaie bestuurders van politie en minder fraaie agenten aan het juridische controlerende roer, dat de veiligheid die encryptie zou moeten bieden en pseudo veiligheid is.
Binnenkort biedt encryptie pseudo-veiligheid waar maatregelen om het het versterken ervan helemaal niet gaat helpen.
De overheid (en all Friends) gaat zelf encryptie met kwantumtechnologie proberen te breken en zal daarnaast gewoon opeisen wanneer het haar uitkomt dat je de encryptie weer ongedaan maakt.
Die eisen kunnen dan ver gaan, let op! :
Waar de FBI in de v.s. niet tegen Apple op kon is er dadelijk in Nederland een wettelijke grond gecreëerd om van Apple (of Google of microsoft) te eisen aanvullende software te schrijven om encryptie op apparaten te kunnen opeisen!!
Want : Degene die kennis heeft van de mogelijkheden om de encryptie ongedaan te maken zal wettelijk verplicht worden om daaraan mee te werken!!!
Dus Apple zal binnen afzienbare tijd hier software moeten gaan leveren om iOS te breken.
En daarom, daarom is het m.i. onbehoorlijk onwijs achterlijk absurd dat we nu bestookt worden met dit soort adviezen.
We staan aan de vooravond van een grote afbraak van rechten in deze maatschappij en we laten ons verleiden in afleiding subdiscussietjes te voeren opdat die wet er snel doorkomt.
Daarna kunnen we iemand anders de handen schudden op staatsrechtelijk niveau.
Als ie wint tenminste.
Spannende tijden, voor encryptie en voor werkelijke vrijheid.
Denk er maar aan tijdens 4 mei, zij vielen ooit voor idealen wat we nu weer ruimschoots aan het verbrassen zijn!
Wat een mazzel dat we de doden niet recht in de ogen hoeven te kijken.
En alternatieven zijn er nog niet echt. De "Post Quantum" public key algorithmen waaraan nu gewerkt wordt zijn m.i. te traag om systemen met redelijke hoeveelheden transacties per seconde te kunnen draaien.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
