Ik hoor al een poosje over zaken als Quantum Resistant Encryption, of Post-Quantum Cryptography. Eerst in de context van blockchains, maar later ook door een wedstrijd van The U.S. Department of Commerce’s National Institute of Standards and Technology.

Blijkbaar kan je toepassingen er al een jaar of 6 tegen wapenen, en sinds afgelopen zomer is er een technische selectie geweest: https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms

Zelf ben ik dit nog niet tegengekomen in het wild. Blijkbaar leeft de ernst inderdaad nog niet, of wil men eerst wachten op de door NIST verkozen winnaar.

Oh, wij werken met digitale toegangsbeveiliging.
Dat spul blijft gemakkelijk 20 jaar of langer in gebruik.
Dan wil je niet hebben dat iemand dan de encryptie kan kraken en de deuren open kan doen...

Dus dan neem ik aan dat het hoog tijd wordt om PQC te implementeren voor onze producten.
Of zal dat wel meevallen?

Let wel de quantum dreiging betreft asymetriche encryptie. Dus bijvoorbeeld de encryptie waarmee TLS verbindingen worden opgebouwd en de encryptie die doorgaans wordt gebruikt bij end-2-end encryptie in chat, email e.d.

Data die langer zou moeten worden bewaatd (eigenlijk alle data die wordt opgeslagen) zou beveiligd moeten zijn met symetrische encryptie die (voorlopig) niet gevoelig is voor de quantum dreiging.

Dus als er bijvoorbeeld end-2-end encrypted data wordt afgevangen en bewaard dan zou dit ten prooi kunnen vallen aan ontcijfering dmv een quantum computer in de toekomst.

Overigens hebben de geselecteerde algoritmes die quantum proof zouden moeten zijn nog wat haken en ogen: ten eerste lijkt er niet 1 algoritme te zijn voor alle toepassingen (de ene is heel traag de andere vereist mega grote keys), staan deze algoritmes nog in de kinderschoenen en zijn nog niet echt beproefd etc.

https://thequantuminsider.com/2022/08/05/nist-approved-post-quantum-safe-algorithm-cracked-in-an-hour-on-a-pc/

En om het allemaal nog wat "zwaarder" te maken, is het verstandig om oude en nieuwe technologiën te combineren, zodanig dat je nog bescherming hebt van de ene technologie als de andere gekraakt wordt (dat risico is ook groot bij nieuwe, nog weinig diepgravend onderzochte, algoritmes). Natuurlijk niet als keten, maar als "uienschillen".

Het is toch al een enorme hype-train, dat quantum encryptie verhaal.

Ga er in elk geval maar vanuit dat het niet portable, snel en voor iedereen beschikbaar komt .

Zit er iets in je deurproducten waarbij je vandaag verkeer kan analyseren, en na een jaartje processen terugkomen en die (of alle deuren) open doen met het resultaat van je analyse ?
Zo niet - dan heb je toch al geen zorgen .

Het handboek is duidelijk en overzichtelijk. Dat is goed gedaan. Maar om dit binnen organizaties duidelijk in beeld te krijgen gaat nog een klus worden. Het is een aantal voorbereidingen die moeten worden gedaan voor iets dat misschien pas over 10 or 20 jaar gaat spelen.
Klassieke crypto is al onbegrijpelijk voor het meeste management. Quantum is nog een stapje complexer en dat dit nu al een probleem is, dat wordt lastig te verkopen. Nu gaan psuhed is het beste dat we kunnen gaan doen. Een ieder alsvast succes gewenst want de uitdaging ligt er zeker.

Er zijn reeds vele jaren informatie-theoretisch veilige systemen operationeel. Deze systemen zijn onkraakbaar voor elke computer nu en in de toekomst, zie bijvoorbeeld https://en.wikipedia.org/wiki/Information-theoretic_security

Je hebt de URL die je post zeker niet zo goed gesnapt, dat je het presenteert als "probleem is allang opgelost" ?

Wat momenteel ontbreekt/in ontwikkeling is zijn quantum-bestendige algorithmen die de eigenschap hebben van asymmetrische encryptie (public/private key) en ook nog praktisch bruikbaar (voldoende snel in gebruik , zonder excessief lange sleutels) .

Een One Time Pad is theoretisch secure - (en praktisch secure zolang aan de randvoorwaarden voldaan wordt) - en Ontzettend Onpraktisch in gebruik . En dus maar in heel speciale gevallen werkelijk gebruikt.

Als je digitale data 20 jaar, of zelfs langer, geheim wilt houden. Moet je de data misschien niet verzamelen. En als je die toch verzamelt, moet je het misschien niet digitaal opslaan maar op papier in een archief in een bunker onder de grond.

Bovendien moet je geen algoritmes gebruiken die nog maar enkele jaren oud zijn en dus minder getest zijn. Misschien weten we nog te weinig over de natuurkunde die nodig is en blijken Quantumcomputers helemaal niet te werken zoals de wiskunde nu lijkt te voorspellen.

Zover ik weet is er nog geen werkende (Quantum)computer die 3072 bit RSA binnen 20 jaar kan kraken.

Met grovers quantum algorithm kun je met een quantum computer ook symmetrische encryptie aanvallen, zie bijvoorbeeld http://cr.yp.to/codes/grovercode-20100303.pdf

het is niet ondenkbaar dat de communicatie over gevoelige onderwerpen nu wordt getapt en opgeslagen. En die zou dan met terugwerkende kracht ontsleuteld kunnen worden.
Als je communiceert over zaken die over 20 jaar nog interessant zijn moet je er dus zo snel mogelijk rekening mee houden.

Je zou dat kunnen toelichten zodat het geen complete FUD is. Immers, er worden ook aanvallen met MPL-50's gemeld, maar ook die zijn waarschijnlijk niet in alle gevallen succesvol (https://www.bbc.com/news/world-europe-64855760).

Een 3072 qubit Quantumcomputer bouwen is niet de snelste manier om aan deze informatie te komen.

Ik vraag mij af wat de AIVD twintig jaar later nog relevant vindt. Ze verzuipen nu al in alle data die ze verzamelen en dan komt die twintig jaar oude data hier ook nog eens bovenop.

Vanuit de wetenschap is het interessant, laat daar geen misverstand over bestaan. Maar ik ben benieuwd of het allemaal lukt zoals politici nu denken. Kan best een doodlopende weg zijn (en dat is ook wetenschappelijk interessant, waarom lukt het niet? Als we dat wisten..).

Bij bv TLS wordt alleen bij de handshake een asymetrische key gebruikt. Voor de encryptie zelf wordt een symetrische key uitgewisseld. Dan zou TLS niet gevoelig zijn. Klopt mijn redenatie?

Nee.

Als je die asymmetrische encryptie zou breken krijg je die symmetrische sleutel te zien . En dus toegang tot de alle data .

De handshake is nu juist _om_ een symmetrische sleutel uit te wisselen. Asymmetrische encryptie heeft maar één voordeel : het asymmetrische .
Dus meer doen dan een sleutel uitwisselen, of een hash ondertekenen doe je er niet mee.

Nee; bij moderne protocollen wordt voor het overeenkomen van de symmetrische sleutel het DH (Diffie-Hellman) algoritme gebruikt.

DH is een protocol dat je kunt vergelijken met dat beide partijen, bij voorkeur per verbinding, elk een nieuw en hopelijk uniek asymmetrisch sleutelpaar genereren en de publieke sleutels uitwisselen. Met wiskundige trucs wordt daar de symmetrische sessiesleutel uit afgeleid. Als geen van hen DH sleutels hergebruikt zullen aanvallers voor elke sessie de DH-agreement moeten kraken om de daarbij gebruikte symmetrische sessiesleutel te achterhalen.

Elk modern https servercertificaat bevat een public key uit een sleutelpaar dat uitsluitend bedoeld is voor signing (daarbij wordt een cryptografische hash versleuteld met de private key die bewaard wordt op de server). Zo'n certificaat wordt uitsluitend gebruikt voor authenticatie van de server, dat alleen boeit op het moment dat de verbinding wordt gemaakt (zodra een quantum computer de private key uit de public key kan herleiden, kunnen vanaf dat moment natuurlijk wel AitM-aanvallen worden uitgevoerd).

Anders is dat bijvoorbeeld bij e-mails die zijn versleuteld met PGP, waarbij geen gebruik gemaakt wordt van "forward secrecy" (bij PGP wordt steeds dezelfde public key van de e-mailontvanger gebruikt voor versleuteling).

Voordat DH bij SSL/TLS-verbindingen werd gebruikt, verzon de client de symmetrische sessiesleutel, versleutelde die sessiesleutel met de public key uit het https servercertificaat en stuurde het resultaat naar de server. Zodra de server dat resultaat had ontsleuteld met diens private key, kenden beide partijen de symmetrische sessiesleutel (dit was dus authenticatie en encryptie in één operatie). Als een quantumcomputer binnen afzienbare tijd de private key uit de public key van zo'n oud servercertificaat kan herleiden (met waarschijnlijk ook nog eens veel kortere asymmetrische sleutels, zoals 1024 bits of zelfs minder), dan kunnen in één keer mogelijk vele sessies worden ontsleuteld.

Maar ook ransomware-criminelen maken meestal gebruik van één sleutelpaar per slachtoffer.

Cryptografie experts verwachten dat de praktisch toepasbare quantumcomputer er binnen tien, twintig jaar zal zijn:


https://www.trouw.nl/wetenschap/zo-worden-onze-versleutelde-data-quantumproof~bea346ab/

We weten dat statelijke actoren zo’n computer offensief zullen inzetten, zei Simone Smit, van de AIVD, bij de uitreiking.