AIVD: organisaties moeten zich nu voorbereiden op quantumveilige encryptie
Quantumcomputers zullen volgens experts tussen 2030 en 2040 waarschijnlijk over voldoende rekenkracht beschikken om veel van de meest gebruikte encryptie-algoritmes te kraken. Organisaties moeten daarom nu in actie komen en zich gaan voorbereiden om op tijd over te stappen op quantumveilige encryptie, zo stelt de AIVD. De inlichtingendienst heeft samen met het Nationaal Cyber Security Centrum (NCSC) advies gepubliceerd dat voor 'quantumveilige organisaties' moet zorgen.
De overheidsdiensten stellen dat het onwaarschijnlijk is dat erop dit moment al quantumcomputers bestaan die over voldoende rekenkracht beschikken om een serieuze bedreiging te vormen voor de huidige encryptie. "Het is niet met zekerheid te voorspellen op welk moment quantumcomputers ingezet kunnen worden om enkele van de meest gebruikte vormen van cryptografie te breken. Zo kan een doorbraak ervoor zorgen dat er sneller dan verwacht een krachtige quantumcomputer ontwikkeld wordt."
Store now, decrypt later
De meest urgente dreiging vooralsnog is het 'store now, decrypt later' scenario. Een aanvaller verzamelt nu versleutelde data om die later in de toekomst met behulp van een quantumcomputer te kraken. Volgens de AIVD en het NCSC gaat deze dreiging nu vooral uit van statelijke actoren, omdat deze over de intentie en vereiste middelen beschikken om dergelijke aanvallen uit te kunnen voeren.
Organisaties die over gevoelige data beschikken die ook na de komst van de quantumcomputer nog vertrouwelijk moet zijn, wordt dringend aangeraden om nu al aanvullende maatregelen te nemen om zich te beschermen tegen de dreiging van de quantumcomputer.
Kostbare migratie
De migratie naar quantumveilige encryptie zal organisaties veel tijd en middelen gaan kosten, zo laten de overheidsdiensten verder weten. Organisaties moeten als eerste de risico's in kaart brengen die ze lopen met betrekking tot de quantumdreiging, alsmede waar ze allemaal encryptie gebruiken. Vervolgens moeten deze risico's worden beoordeeld en een migratieplan worden opgesteld. Het risicoprofiel bepaalt hoe snel organisaties moeten overstappen.
"Sommige organisaties kunnen niet wachten op de standaarden voor post-quantumcryptografie, die naar verwachting vanaf 2024 beschikbaar komen, omdat hun data nu al quantumveilig moeten zijn. Voor andere organisaties is het minder dringend en kunnen nog wachten op het beschikbaar komen van de quantumveilige cryptografische standaarden." Voor alle organisaties geldt dat het belangrijk is om nu al een risicoanalyse voor de quantumdreiging uit te voeren en te beginnen met het voorbereiden op de migratie naar quantumveilige cryptografie, zo voegt de AIVD toe.
Alle brandkasten zijn uiteindelijk te kraken. Maar hoe beter ze zijn, hoe meer het kost. Extra vervelend dan als er niks in blijkt te liggen omdat je je spulletjes slimmer hebt verstopt.
Naast techniek is economie net zo belangrijk in security. Als het een miljoen kost om een portemonnee waar mogelijk een tientje in zou kunnen zitten te pikken, wie gaat dat dan nog doen?
Het zou me een leuke technologie lijken voor hedendaags gebruik:
Stuur een harde schijfje over met one-time-pads, en gebruik die pads voor symmetric encryption van data.
Alle brandkasten zijn uiteindelijk te kraken. Maar hoe beter ze zijn, hoe meer het kost. Extra vervelend dan als er niks in blijkt te liggen omdat je je spulletjes slimmer hebt verstopt.
Naast techniek is economie net zo belangrijk in security. Als het een miljoen kost om een portemonnee waar mogelijk een tientje in zou kunnen zitten te pikken, wie gaat dat dan nog doen?
Het is nog niet eens duidelijk of het ooit echt gaat kunnen.
Laat staan dat de kosten voorspelbaar zijn.
QC lijkt angstig veel op kernfusie - eeuwig tien jaar in de toekomst .(En kernfusie is al een stuk verder.)
Het zou me een leuke technologie lijken voor hedendaags gebruik:
Stuur een harde schijfje over met one-time-pads, en gebruik die pads voor symmetric encryption van data.
Je mag ervan uitgaan dat in de staatsgeheime wereld men ook op het idee gekomen is om (waar van toepassing) de pads elektronisch te maken ...
Overigens is je formulering een beetje vreemd : voor wie bezig met _echt_ _erg_ geheime communicatie - zodanig dat alleen een OTP goed genoeg is : dan is "stuur een schijfje" bepaald niet simpel .
AES is niet goed genoeg , maar DHL/Post NL wel ? Of een persoonlijke koerier - Achmed , schaal 7 met toeslag, brengt het OTP naar Kabul ?
Er is een reden dat OTPs vrijwel niet gebruikt worden - en dat is sleutel distributie . Dat is toch al moeilijk, en als het belang echt groot is - Heel Moeilijk - om zo veilig te doen als nodig is voor die informatie.
Een (rijst)papieren pad kan overigens wel een aantal voordelen hebben boven elektronica :
1 ) bruikbaar met slechts een potlood.
2 ) volledig te vernietigen met een plens water , of gewoon opeten .
Electronica snel en volledig vernietigen - en zonder verdachte sporen - is bepaald niet zo simpel .
Wat doe je, in Tehran , als de deur opengebeukt wordt, dan is thermiet echt geen optie.
Nadeel is natuurlijk dat de hoeveelheid informatie die je kunt encrypten erg laag is, als je werkt met papier en handmatige codering.
hoger dan 4096 ?
Ik kreeg 10 jaar terug rare vragen toen ik mijn 32K sleutels maakte....
hoger dan 4096 ?
Ik kreeg 10 jaar terug rare vragen toen ik mijn 32K sleutels maakte....
Die zou je nog steeds krijgen.
Je hebt er vast en zeker niks mee gecrypt , met belachelijk oversized keys.
De RSA keylengte knop opendraaien is geen oplossing voor een hypothetische quantum computer.
hoger dan 4096 ?
Ik kreeg 10 jaar terug rare vragen toen ik mijn 32K sleutels maakte....
In de jaren '90 was encryptie geen enkel probleem. Ze kwamen namens het ministerie enkel even kijken als die techniek aan bedenkelijke buitenlanden werd verkocht. Een sleutel van 4 bytes mocht wel. Dus werden de keys gewoon opgeknipt. Een sleuteltje die het volgende slotje gaf. En zo voort. Toen mocht het wel verkocht. Ook aan bedenkelijke buitenlanden.
Als ik kijk naar pokemon kaartjes, dan valt die mening niet te rijmen tegen de miljoenen die gegeven worden voor doosjes nog-niet-geopende pokemonkaartjes.
En wie weet wat je vindt? Treasure troving is en blijft iets waar mensen grof geld voor betalen...
Informatie over amerikaanse verkiezingsfraude? wat er werkelijk gebeurd is met kennedy? waar op de bonnetjes van ministers werkelijk stond?
Je weet niet wat je vindt als je aan het decrypten bent...
Ik deed het vroeger al met usenet, toen usenet nog niet zo 'dark' was als dat het nu gemaakt wordt....
Gewoon een paar gig downloaden en kraken totdat je wat tegenkomt...
Meestal was het muziek of pron, maar soms ook data... schijnbaar zijn er mensen die het 5000 dagen repliceren van usenet gebruiken als backup en gratis transport/opslag.
woensdag 20 september 2023, 09:51 door Redactie
https://www.security.nl/posting/810937/Signal+voegt+bescherming+toe+tegen+dreiging+van+quantum+computer
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
