image

'Overstap kwantumbestendige encryptie in veel gevallen alleen een update'

vrijdag 3 november 2023, 13:06 door Redactie, 19 reacties

De overstap naar kwantumbestendige encryptie zal in veel gevallen niets meer zijn dan het installeren van een software-update, hoewel dat niet overal het geval is, zo stelt het Britse National Cyber Security Centre (NCSC). "Het upgraden van de meeste internetdiensten (en de apps die deze diensten gebruiken) zal waarschijnlijk een van de 'eenvoudigere' onderdelen van de overstap zijn", aldus de Britse overheidsdienst.

In het geval van legacy of sector-specifieke protocollen zal er meer werk zijn vereist, maar zijn academici en de industrie daar al enige tijd mee bezig. In het geval deze systemen niet naar kwantumbestendige crypto kunnen overstappen zullen die uiteindelijk tijdens geplande levenscyclus worden vervangen. Het NCSC zal de komende jaren specifieke adviezen voor vitale organisaties gaan geven om bij de overstap te helpen.

Toch zal de overstap in de meeste gevallen niets meer zijn dan het installeren van een update. "Veel van de gevallen betreft internetdiensten of apps die door grote serviceproviders worden ontwikkeld en beheerd. In zulke gevallen zal de overstap door middel van een update van de betreffende provider plaatsvinden. Personen en organisaties die voor hun encryptie van grote aanbieders afhankelijk zijn, moeten het advies van het NCSC volgen over het up-to-date houden van software en apparaten, en dan zal de overstap grotendeels achter de schermen plaatsvinden."

Reacties (19)
03-11-2023, 13:29 door Anoniem
in veel gevallen
Nou, bij embedded devices zal het waarschijnlijk niet mogelijk zijn.
Die dingen zijn veelal zo underpowered dat zelfs huidige encryptie zwaar valt.

Maar zelfs als het apparaat het aankan, als je PQC wilt, dan moeten er wel algoritmes voor bestaan.
Algoritmes waarvan we met grote mate van zekerheid kunnen zeggen dat het veilig is, met bevestiging van de juiste instanties.
En dan moet er ook voor die algoritmes code beschikbaar zijn in de vorm van source of libraries.

Zover ik weet zijn we nog niet zó ver.
03-11-2023, 14:18 door Anoniem
Door Anoniem:
in veel gevallen
Nou, bij embedded devices zal het waarschijnlijk niet mogelijk zijn.
Die dingen zijn veelal zo underpowered dat zelfs huidige encryptie zwaar valt.

Maar zelfs als het apparaat het aankan, als je PQC wilt, dan moeten er wel algoritmes voor bestaan.
Algoritmes waarvan we met grote mate van zekerheid kunnen zeggen dat het veilig is, met bevestiging van de juiste instanties.
En dan moet er ook voor die algoritmes code beschikbaar zijn in de vorm van source of libraries.

Zover ik weet zijn we nog niet zó ver.

Precies, maar ze zijn er gelukkig aan bezig, in 2024 zou het het al gestandariseerd moeten zijn:
https://www.nist.gov/news-events/news/2023/08/nist-standardize-encryption-algorithms-can-resist-attack-quantum-computers
03-11-2023, 15:18 door Anoniem
Door Anoniem:
in veel gevallen
Nou, bij embedded devices zal het waarschijnlijk niet mogelijk zijn.
Die dingen zijn veelal zo underpowered dat zelfs huidige encryptie zwaar valt.

Lekker boeien. Dat type devices zijn toch ongeschikt om 'hun eigen broek op te houden' qua security.

Het statement 'de meeste gevallen' is natuurlijk helemaal correct .

Nu is het hele QC toch al zwaar overhyped , maar je praat over een threat-model waarin een verkeer gevangen (en bewaard) wordt door een tegenstander die dan (eventueel ooit) beschikt over een mega speciale stervensdure quantum computer.

En dan is het verhaal ook nog dat je misschien nu wat moet doen voor verkeer dat over decennia nog waarde heeft .
En dat type verkeer of aanval zou dan termineren op z'n embedded ding dat de huidige encryptie al amper aankan ?

Volkomen onzin.

Je vreest alleen dat de hele audit industrie met hun afvink-spreadsheet er de ballen van snapt - en de enige dingen die nu makkelijk af te vinken zijn is precies algo XYZ met keylengte veel, net als 'password lengte minimaal veel' .
De rest van security risico's is een veel groter risico maar heel veel lastiger te quantificeren .

Otoh, als breekijzer voor een lekkere hardware refresh om een hoop oude meuk er eindelijk eens uit te gooien, elk nadeel heb ze voordeel ;-)



Maar zelfs als het apparaat het aankan, als je PQC wilt, dan moeten er wel algoritmes voor bestaan.
Algoritmes waarvan we met grote mate van zekerheid kunnen zeggen dat het veilig is, met bevestiging van de juiste instanties.
En dan moet er ook voor die algoritmes code beschikbaar zijn in de vorm van source of libraries.

Zover ik weet zijn we nog niet zó ver.

Inderdaad. Maar goed, de werkelijk gebouwde QCs zijn ook helemaal niet ver, en ik hoor de researchers nooit iets zeggen hoe zeker het is dat de speelgoed formaat echt opgeschaald kan worden naar de capaciteit die interessant is voor reeel gebruikte encryptie .

Het produceert een hele berg research papers en PhDs, en vult de tijd op security congressen (en bij de koffie automaat voor technerds) , maar om nou te zeggen dat je een werkelijk risico hebt, ik zie het niet.
03-11-2023, 18:54 door Anoniem
Volgens mij hoef je helemaal niets te doen. Zodra CSS er doorgedrukt is, maakt geen enkele encryptie meer wat uit. Waarom dan nog updaten?
03-11-2023, 19:11 door Anoniem
en ik hoor de researchers nooit iets zeggen hoe zeker het is dat de speelgoed formaat echt opgeschaald kan worden naar de capaciteit die interessant is voor reeel gebruikte encryptie .
De meeste researchers gaan er vanuit dat het binnen 10 a 15 jaar zover is.
Maar het kan ook binnen 5 jaar zover zijn, of nog 30 jaar duren.

Gelukkig word er al best veel gedaan aan nieuwe encryptie methoden die wel veilig zijn.
En symmetrische encryptie is nu al veilig. Het is de asymetrische encryptie die door Quantum computers om zeep word geholpen. En daar zijn ook al vervangende methodes voor bedacht. Die moeten nog een vervangende standaard worden, maar daar hebben we dus nog wel een aantal jaren voor.


Als je nu data encrypt die de komende 15 jaar veilig moet blijven, dan is het wel de moeite waard om er nu al aandacht aan te schenken. Daar gebruik je typisch symmetrische encryptie voor, dus daar zijn wel mogelijkheden.
03-11-2023, 19:11 door Anoniem
Gaat heel duur zijn. Als het al gaat bestaan. Dat QC. En dan heb je nog niet meteen een desktopmodel, want er komt iets meer bij kijken dan waterkoeling. Alleen wellicht iets voor data die heel lang geheim moet blijven, zoals staatsgeheimen die pas over honderd jaar van het slotje mogen.

Na honderd jaar hoop ik dan wel dat het decryptiesleuteltje nog ergens ligt!

Want anders krijg je je eigen archief niet meer van het slotje. Tenzij je het niet QC ge-encrypt had, en je de QC slotenmaker zou kunnen bellen. Over honderd jaar. Je kunt natuurlijk niet in de toekomst kijken. Maar gooi je iets tè goed op slot en je raakt de sleutel kwijt, dan had je net zo goed honderd jaar geleden op dieliet kunnen klikken. Was goedkoper geweest ook. Het vraagt dus allemaal wat verstandige afweging of het allemaal wel handig bedacht is, zulke adviezen.
03-11-2023, 19:13 door Anoniem
Door Anoniem:
in veel gevallen
Nou, bij embedded devices zal het waarschijnlijk niet mogelijk zijn.
Die dingen zijn veelal zo underpowered dat zelfs huidige encryptie zwaar valt.
Vergen de post-kwantum-algoritmes dan meer rekenkracht op traditionele hardware?

Kwantumcomputers snijd je niet de pas af door te zorgen dat er meer rekenkracht nodig is op traditionele hardware, maar door te zorgen dat een computer die op fundamenteel andere natuurkundige principes werkt geen algoritme beschikbaar heeft dat het kraken op een spectaculaire manier kan kortsluiten. Het gaat niet om zwaardere algoritmes, het gaat om een ander type algoritmes.

Nou weet ik niet hoe het in de praktijk uitpakt, dus wie weet zijn de postkwantumalgoritmes die men heeft bedacht inderdaad wel zwaarder voor traditionele hardware dan de nu gebruikte algoritmes, maar dat volgt in mijn ogen niet vanzelfsprekend uit het feit dat men computers die volgens een totaal ander natuurkundig principe werken de pas wil afsnijden. Voor hetzelfde geld stuit men op iets dat juist met met minder rekenkracht net zo sterk is.

Dus: ging je uit van een algemeen patroon dat je kent van wanneer men op traditionele hardware rekening houdt met aanvallen met traditionele hardware die krachtiger wordt, bijvoorbeeld door met langere sleutels te werken; of weet je dat het bij kwantumbestendige cryptografie ook zo uitpakt?
03-11-2023, 23:26 door Anoniem
Door Anoniem:
en ik hoor de researchers nooit iets zeggen hoe zeker het is dat de speelgoed formaat echt opgeschaald kan worden naar de capaciteit die interessant is voor reeel gebruikte encryptie .
De meeste researchers gaan er vanuit dat het binnen 10 a 15 jaar zover is.
Maar het kan ook binnen 5 jaar zover zijn, of nog 30 jaar duren.

Ze hebben die voorspelling gemeen met kernfusie-onderzoekers, die ook al veertig jaar 'binnen 10 jaar' klaar voor praktijkgebruik denken te zijn. Met , feitelijk , zelfs wat meer theoretische redenen waarom het 'in principe' kan.

De voortgang in gerealiseerde QC is toch echt ontzettend beperkt over de laatste 15 jaar .
Een reden waarom je qua voortgang misschien 'opeens' een extreme sprong zou moeten/kunnen verwachten heb ik nooit gehoord .

[knip verder eens]
04-11-2023, 11:42 door Anoniem
Anticiperende organisaties hebben hun end-to-end encryptie met eigen hard- en software ingericht, zie https://photos.app.goo.gl/XRcRX84H48EvhX9i9 voor een voorbeeld.
De Quantum Hardware is te zien op https://photos.app.goo.gl/Q8QLdXpRmDYUK76r5
04-11-2023, 12:23 door Anoniem
De adviezen van AIVD, TNO en CWI:
https://www.aivd.nl/onderwerpen/informatiebeveiliging/nieuws/2023/09/18/handreiking-maak-je-organisatie-quantumveilig-gepubliceerd

Volgens de BIO mag informatie boven een bepaalde rubricering toch al niet via het internet worden getransporteerd. Volgens mij zullen vooral de kroonjuwelen van bedrijven kwetsbaar zijn.
04-11-2023, 13:25 door Anoniem
Door Anoniem:
Door Anoniem:
in veel gevallen
Nou, bij embedded devices zal het waarschijnlijk niet mogelijk zijn.
Die dingen zijn veelal zo underpowered dat zelfs huidige encryptie zwaar valt.
Vergen de post-kwantum-algoritmes dan meer rekenkracht op traditionele hardware?

Kwantumcomputers snijd je niet de pas af door te zorgen dat er meer rekenkracht nodig is op traditionele hardware, maar door te zorgen dat een computer die op fundamenteel andere natuurkundige principes werkt geen algoritme beschikbaar heeft dat het kraken op een spectaculaire manier kan kortsluiten. Het gaat niet om zwaardere algoritmes, het gaat om een ander type algoritmes.

Dat klopt.
Je zoekt encryptie algorithmen die NIET efficient met Shor's algorithm (dat is wat quantum computers kunnen) opgelost kunnen worden.
Degenen gebaseerd op factorisatie (RSA) of discrete logarithmen (D-H, ElGamal) zijn kwetsbaar .

Er zijn een hoop kandidaten voorgesteld - die voor een deel al weer (zelfs 'gewoon') oplosbaar bleken.

De voorgestelde kandidaten hebben allemaal fors langere sleutels, en vergen ook meer processing tijd.
En afgezien van veiligheid is 'snel genoeg' ook een requirement - Als een TLS sessie setup 5 seconden full cpu kost is dat niet bruikbaar.


Nou weet ik niet hoe het in de praktijk uitpakt, dus wie weet zijn de postkwantumalgoritmes die men heeft bedacht inderdaad wel zwaarder voor traditionele hardware dan de nu gebruikte algoritmes, maar dat volgt in mijn ogen niet vanzelfsprekend uit het feit dat men computers die volgens een totaal ander natuurkundig principe werken de pas wil afsnijden. Voor hetzelfde geld stuit men op iets dat juist met met minder rekenkracht net zo sterk is.

Ook zonder QC zou een (nog) sneller public-key algorithme erg welkom zijn . RSA en D-H zijn ook al erg zwaar.
Je kunt in elk geval zeggen dat bij 'nog zwaardere processing dan RSA' inderdaad de onderkant van de devices - zoals embedded - onbruikbaar wordt.

Het klopt dat je niet vanzelf kunt zeggen 'PQC _moet_ zwaardere processing vergen' , het is alleen dat er kandidaat gevonden is (nog ?) die in dezelfde of betere orde grootte zit als RSA en D-H .

(Voor de symmetrische algorithmen is 'slechts' een verdubbeling van keylengte voldoende - ook een verzwaring, maar valt relatief mee) .


Dus: ging je uit van een algemeen patroon dat je kent van wanneer men op traditionele hardware rekening houdt met aanvallen met traditionele hardware die krachtiger wordt, bijvoorbeeld door met langere sleutels te werken; of weet je dat het bij kwantumbestendige cryptografie ook zo uitpakt?

Ik ben een andere anoniem, maar het is voorlopig een feit dat kandidaat-PQC met meer kosten (keysize en processing) komen dan de huidige public key algorithmen.

Voor (niet heel licht verteerbaar) details

https://blog.cloudflare.com/the-tls-post-quantum-experiment/
https://cwssp.uccs.edu/sites/g/files/kjihxj2466/files/2021-09/1_Security%20Comparisons%20and%20Performance%20Analyses%20of%20Post-Quantum%20Signature%20Algorithms.pdf
https://csrc.nist.gov/CSRC/media/Presentations/measuring-tls-key-exchange-with-post-quantum-kem/images-media/sullivan-session-1-paper-pqc2019.pdf
05-11-2023, 13:39 door johanw
Door Anoniem: Gaat heel duur zijn. Als het al gaat bestaan. Dat QC.

Welnee, quantum computer bestendige algorithmes bestaan al en worden al toegepast, zoals in Signal messenge. En die werken op gewone bestaande computers. En omdat ze nog niet zo goed getest zijn als de bestaande gebruikt Signal de klassieke ECC en een quantum bestendig algorithme achter elkaar zodat je met het breken van slechts 1 van de 2 het bericht nog niet kunt ontcijferen.
05-11-2023, 13:42 door johanw - Bijgewerkt: 05-11-2023, 13:43
Door Anoniem:

De meeste researchers gaan er vanuit dat het binnen 10 a 15 jaar zover is.
Maar het kan ook binnen 5 jaar zover zijn, of nog 30 jaar duren.

Ze hebben die voorspelling gemeen met kernfusie-onderzoekers, die ook al veertig jaar 'binnen 10 jaar' klaar voor praktijkgebruik denken te zijn. Met , feitelijk , zelfs wat meer theoretische redenen waarom het 'in principe' kan.

Kernfusie onderzoekers hebben het steeds over 50 jaar.

Het klinkt meer als de zelfrijdende auto propagandisten van een paar jaar geleden die voorspelden dat volledig zelf rijden binnen 5 jaar werkelijkheid zou zijn.
05-11-2023, 20:58 door Anoniem
Door johanw:
Door Anoniem:

De meeste researchers gaan er vanuit dat het binnen 10 a 15 jaar zover is.
Maar het kan ook binnen 5 jaar zover zijn, of nog 30 jaar duren.

Ze hebben die voorspelling gemeen met kernfusie-onderzoekers, die ook al veertig jaar 'binnen 10 jaar' klaar voor praktijkgebruik denken te zijn. Met , feitelijk , zelfs wat meer theoretische redenen waarom het 'in principe' kan.

Kernfusie onderzoekers hebben het steeds over 50 jaar.

Mw, hoe dan ook een verschuivende horizon, en volgens zijn er toch telkens wel beloften (of 'doorbraak verwacht' ) die prettig vallen in onderzoeksfinancieringsprogramma's van 5 tot 10 jaar .

Ik ben nogal wat skeptischer geworden op wetenschappelijke voorspellingen de laatste jaren , dan wel de werkelijke impact van groots aangekondigde 'doorbraken' .

Het is echt _heel_ teleurstellend om te kijken welk formaat problemen er tussen 1994 (publicatie Shor's algorithm) en nu opgelost zijn.

https://crypto.stackexchange.com/questions/59795/largest-integer-factored-by-shors-algorithm
geeft een aantal URLs.

zie ook
https://quantumcomputing.stackexchange.com/questions/2111/what-integers-have-been-factored-with-shors-algorithm


Wat ik daar ook las (was nieuw voor me) dat eigenlijk alle voorbeelden van 'iets' grotere getallen feitelijk ontbonden zijn met een methode die vereist dat je het antwoord weet !


Het klinkt meer als de zelfrijdende auto propagandisten van een paar jaar geleden die voorspelden dat volledig zelf rijden binnen 5 jaar werkelijkheid zou zijn.

Dat is een te grote belofte, maar je kunt wel heel duidelijk zien (tesla) dat zelfrijdende auto heel veel meer zichtbare voortgang heeft dan 'quantum computer'
06-11-2023, 11:34 door Anoniem
Door Anoniem:
Door Anoniem:
in veel gevallen
Nou, bij embedded devices zal het waarschijnlijk niet mogelijk zijn.
Die dingen zijn veelal zo underpowered dat zelfs huidige encryptie zwaar valt.

Lekker boeien. Dat type devices zijn toch ongeschikt om 'hun eigen broek op te houden' qua security.

Het statement 'de meeste gevallen' is natuurlijk helemaal correct .

Nu is het hele QC toch al zwaar overhyped , maar je praat over een threat-model waarin een verkeer gevangen (en bewaard) wordt door een tegenstander die dan (eventueel ooit) beschikt over een mega speciale stervensdure quantum computer.

En dan is het verhaal ook nog dat je misschien nu wat moet doen voor verkeer dat over decennia nog waarde heeft .
En dat type verkeer of aanval zou dan termineren op z'n embedded ding dat de huidige encryptie al amper aankan ?

Volkomen onzin.
.

Het gaat dus bv over pgp keys, user certificates... Kortom met identificatie middelen beveiligde geheimen.
Idd ook evt session keys voor ssl/tls .
06-11-2023, 11:39 door Anoniem
Door Anoniem: Volgens mij hoef je helemaal niets te doen. Zodra CSS er doorgedrukt is, maakt geen enkele encryptie meer wat uit. Waarom dan nog updaten?
CSS is zeker geen gelopen race...
Of misschien toch wel heb je de spell checker etc van je mobiele toetsen bord al gesloopt? Zo niet dan dan is er al CSS van Google/Apple/Samsung/Huawei.....
06-11-2023, 11:55 door Anoniem
Door johanw:
Door Anoniem:

De meeste researchers gaan er vanuit dat het binnen 10 a 15 jaar zover is.
Maar het kan ook binnen 5 jaar zover zijn, of nog 30 jaar duren.

Ze hebben die voorspelling gemeen met kernfusie-onderzoekers, die ook al veertig jaar 'binnen 10 jaar' klaar voor praktijkgebruik denken te zijn. Met , feitelijk , zelfs wat meer theoretische redenen waarom het 'in principe' kan.

Kernfusie onderzoekers hebben het steeds over 50 jaar.

Het klinkt meer als de zelfrijdende auto propagandisten van een paar jaar geleden die voorspelden dat volledig zelf rijden binnen 5 jaar werkelijkheid zou zijn.
De 10 jaar komt van de bouw van een proef centrale waarbij het bouwen van dat apparaat een jaar of 8 duurt en ingebruikstelling ook wat tijd nodig heeft.
Met de metingen van die proef centrale kunnen de parameters voor productie omgevingen bepaald worden.
Dan is 10 a 20 jaar later iets mogelijk voor continue productie.
De proefcentrale is ontworpen op basis van een schaalmodel en zit redelijk op de grenzen met wat nu mogelijk is met de kennis van nu. Het is een instapmodel waarbij continue productie van energie mogelijk is.
06-11-2023, 16:03 door Anoniem
"Kwantumbestendige encrytie"... is dat niet iets dat,
m.b.t. de vermeende bestendigheid en gezien het tempo van ontwikkelingen i.c.m. AI,
hooguit tijdelijk is?
07-11-2023, 11:18 door Anoniem
Door Anoniem: "Kwantumbestendige encrytie"... is dat niet iets dat,
m.b.t. de vermeende bestendigheid en gezien het tempo van ontwikkelingen i.c.m. AI,
hooguit tijdelijk is?

AI voegt op dit vlak echt helemaal niks toe .

Het tempo van quantum computing is feitelijk helemaal niet hoog - en het hangt allemaal op één algorithme (Shor's) voor de public-key decryptie . Dus alle 'post quantum' encryptie algorithmen moeten 'niet kwetsbaar zijn voor Shor's algorithm' .

Je kunt niks verwachten of voorspellen omtrent het bestaan/ontdekt worden voor _andere_ algorithmen dan Shor's waar de PQC kandidaten kwetsbaar voor zijn.

Maar dat is nogal vergelijkbaar met 'gewone' factorisatie - daar zijn tussen ~1975 en 20xx ook een aantal slimmere algorithmen bedacht/gevonden waarmee in elk geval de keylengte omhoog moet.
Het is , vzviw niet uitgesloten dat er ooit een super efficient factorisatie algorithme gevonden wordt waarmee ook een niet-quantum computer RSA kan oplossen .

Er is geen wiskundig bewijs dat de diverse public key algorithmen 'altijd moeilijk' zijn .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.