image

EP-leden willen snel uitrol quantumproof encryptie: overstap SHA-2 duurde jaren

maandag 18 maart 2024, 09:39 door Redactie, 14 reacties

Meerdere Europarlementariërs willen dat er snel wordt begonnen met de uitrol van quantumproof encryptie, aangezien de overstap naar andere algoritmes vele jaren duurde. Dat schrijven de EP-leden, waaronder de Nederlanders Bart Groothuis, Caroline Nagtegaal en Kim van Sparrentak, in een brief aan de Europese Commissie waarover Computable bericht (pdf). Ze waarschuwen dat er een kans bestaat dat quantumcomputers in de komende jaren verschijnen, waarbij dit al binnen vijf jaar zou kunnen zijn.

Daardoor bestaat het risico dat nu versleuteld materiaal wordt gekraakt en op dit moment gebruikte encryptiealgoritmes niet meer veilig zijn. "Een volledige overstap naar een ander encryptiealgoritme in het verleden duurde meer dan een decennium." Zo wordt als voorbeeld het SHA-2-hashingalgoritme genoemd dat in 2002 gestandaardiseerd werd. In 2016 bleek dat nog altijd 35 procent van de websites een ander, ouder algoritme gebruikte. Ook de overstap naar AES-encryptie duurde jaren.

"Deze migraties waren relatief eenvoudig en beperkt tot een relatief klein domein. Het vervangen van de huidige public key encryptie raakt een groot aantal domeinen, van servers tot bankpassen en internet of things-apparaten", aldus de Europarlementariërs. Ze merken op dat er inmiddels quantumproof encryptie is. De Europese Commissie, het Europees Agentschap voor cyberbeveiliging (ENISA), de Europese privacytoezichthouder EDPS en de Europese privacytoezichthouders verenigd in de EDPB zouden volgens de EP-leden een rol moeten spelen in de migratie naar quantumproof encryptie.

Daarbij zouden deze organisaties advies moeten geven hoe bedrijven, organisaties en instellingen zich op de migratie kunnen voorbereiden. Het gaat dan om het in kaart brengen van gebruikte algoritmes, onderzoeken in hoeverre huidige cryptografische libraries zijn te vervangen, ervoor zorgen dat hybride encryptie waar mogelijk wordt gebruikt en starten met een gefaseerde uitrol zodra relevante standaarden zijn aangenomen.

Reacties (14)
18-03-2024, 10:31 door Anoniem
Zolang ze maar geen achterdeurtje inbouwen vind ik dit een prima streven.
18-03-2024, 10:49 door Anoniem
"We zien een enorme datahonger bij landen als China", laat de AIVD weten in een schriftelijke reactie. Die landen onderscheppen nu data, in de hoop dat ze die op een gegeven moment kunnen kraken. "De AIVD benadrukt het belang van voldoende middelen en urgentie bij de leveranciers om zo snel mogelijk quantumveilige producten op te leveren."

https://nos.nl/artikel/2513219-quantumcomputer-gaat-computerbeveiliging-kraken-zorgen-nemen-toe
18-03-2024, 11:04 door Anoniem
Hoe kleiner het echte probleem, des te meer druk leggen ze erop.

Zo kennen we ze weer.
18-03-2024, 12:14 door Anoniem
Een wet schrijven die post-quantum encryptie verplicht voor de overheid en bedrijven, die maakt nog niet dat het gekozen algoritme ook veilig is op het moment dat die ingevoerd gaat worden.

Bruce Schneier schreef: “Attacks always get better; they never get worse”.

Wacht nog een paar jaar tot de wiskunde achter post-quantum encryptie beter begrepen wordt. Dit is allemaal nog erg nieuw.

Er is ook een kans dat quantum computers helemaal niet blijken te werken. Tot nu is het allemaal theorie immers.
18-03-2024, 16:55 door Anoniem
Door Anoniem: Een wet schrijven die post-quantum encryptie verplicht voor de overheid en bedrijven, die maakt nog niet dat het gekozen algoritme ook veilig is op het moment dat die ingevoerd gaat worden.

Bruce Schneier schreef: “Attacks always get better; they never get worse”.

Wacht nog een paar jaar tot de wiskunde achter post-quantum encryptie beter begrepen wordt. Dit is allemaal nog erg nieuw.

Er is ook een kans dat quantum computers helemaal niet blijken te werken. Tot nu is het allemaal theorie immers.
Kwantumcomputers zijn niet "allemaal theorie", en het belangrijke: dat kwantumcomputers efficient (ook grote) getallen kunnen ontbinden in hun priemfactoren is ook niet alleen theorie.

Het enige dat het in de praktijk toepassen van kwantumcomputers om moderne encryptie (encryptie waarvan de veiligheid gebasseerd is op het feit dat we een product van twee grote priemgetallen niet efficient kunnen factoriseren) te breken in de weg staat, is het feit dat we nog geen betrouwbare methode hebben om qubits op grote schaal te produceren. Niet dat de toepassingen zelf puur theoretisch zijn.
18-03-2024, 19:09 door Anoniem
Door Anoniem:
Door Anoniem: Een wet schrijven die post-quantum encryptie verplicht voor de overheid en bedrijven, die maakt nog niet dat het gekozen algoritme ook veilig is op het moment dat die ingevoerd gaat worden.

Bruce Schneier schreef: “Attacks always get better; they never get worse”.

Wacht nog een paar jaar tot de wiskunde achter post-quantum encryptie beter begrepen wordt. Dit is allemaal nog erg nieuw.

Er is ook een kans dat quantum computers helemaal niet blijken te werken. Tot nu is het allemaal theorie immers.
Kwantumcomputers zijn niet "allemaal theorie", en het belangrijke: dat kwantumcomputers efficient (ook grote) getallen kunnen ontbinden in hun priemfactoren is ook niet alleen theorie.

Het enige wat ze op dat gebied in de praktijk gehaald hebben is 15=3*5 . Serieus.

Of ze reeel op te schalen zijn naar relevante getal-lengtes is heel veel speculatie - en de laatste decennia heel weinig vooruitgang.


[..[Niet dat de toepassingen zelf puur theoretisch zijn.

Ik denk niet dat bedoeld werd dat de toepassingen theorie zijn.
Punt is dat QC zelf veel theorie is - en omzettend naar 'werkende doos waar serieuze factorisaties uitkomen' nogal ontbreekt.

Ik kom ook geen toepassing tekort voor echt werkende (netto opbrengst gedurende langere tijd, betrouwbaar, bouwbaar etc) kernfusie.
18-03-2024, 21:19 door Anoniem
Niet om het een of ander, maar die data hebben ze al. Rustig wachtend op de mogelijkheid om het te kraken. Kwestie van tijd.

Hetgeen overigens wederzijds geldt. Stel je voor wat er naar buiten zou kunnen komen als, tot nu toe, versleutelde data opeens massaal publiekelijk beschikbaar komt. Dat wordt een MeToo++. WikiLeaks wordt daar een wassen neus bij.

Daarbij, als encryptie zo belangrijk is voor dit of dat uit xyz belang, waarom moeten burgers dat dan allemaal opgeven onder CSS, CSAM, noem maar op, regelgeving? Onze eigen Vadertje Staat (feitelijk soevereiniteit stelend EU hedendaags) is roomser dan de Paus (praat eens met wat klokkenluiders voor wat tegengeluid), maar de rest, die zijn pas erg?

Willen we niet dat, noem eens wat, China met hun toekomstige quantum computers in luttele seconden alle KP netwerken oprollen? We doen dit toch voor de kinderen? Alles moet daarvoor wijken, toch?

Of moet je je eigen burgers onder een maximaal vergrootglas kunnen houden, terwijl je andere naties verfoeid als ze jou onder een vergrootglas kunnen leggen? Wat voor gruwelijks heb je te verbergen dan?

Ooit gehoord van de Five Eyes? Dat zijn de Engels sprekende landen (men zegt dat heden ten dage Japan daar ook onderdeel van is, maar niemand zegt in hoeverre en hoeveel precies), die de rest van de wereld als uitbuitbaar bezien. Hun eigenbelang heeft absolute voorrang op de belangen van welk ander land dan ook, inclusief hun eigen bondgenoten.

Hoe eerder, in volle openbaarheid, naar buiten treedt wat er zich werkelijk afspeelt achter de gordijnen der (westerse) beschaving, hoe eerder de zogenaamde westerse democratie in werkelijke hoedanigheid rekenschap dient af te leggen in haar werkelijke doen en laten, en derhalve hoe beter.
18-03-2024, 22:39 door Anoniem
Geduld is een schoone zaak.
18-03-2024, 22:42 door Anoniem
Haastige spoed is zelden goed, het is belangrijk om ervoor te zorgen dat de versleuteling goed is gepentest voordat deze een standaard wordt aangezien het achteraf moeilijk is om al die systemen opnieuw te moeten aanpassen en mensen over te halen hun systemen nogmaals te updaten.
18-03-2024, 23:14 door Anoniem
Ik weet het niet zo. Zodra politici, zeker die in de EU, zaken gaan pushen dan is dat meestal omdat er ergens voor hen een voordeel aan zit. In de EU willen ze al langer van de encryptie af om al die lastige en ongehoorzame burgers beter in de gaten te kunnen houden en het is dan toch vreemd dat dezelfde EU ineens qyuantum encryptie aan het pushen is. Er moet iets zijn waardoor ze erop vertrouwen dat er via quantum encryptie data voor hun spionage diensten inzichtelijk zal kunnen worden. Als er iets is wat we hebben moeten leren over de politiek dat ze niets zomaar doen maar dat er altijd wel een verborgen agenda achter zit die nooit in het voordeel van burgers is.
19-03-2024, 10:32 door musiman
Door Anoniem: Ik weet het niet zo. Zodra politici, zeker die in de EU, zaken gaan pushen dan is dat meestal omdat er ergens voor hen een voordeel aan zit. In de EU willen ze al langer van de encryptie af om al die lastige en ongehoorzame burgers beter in de gaten te kunnen houden en het is dan toch vreemd dat dezelfde EU ineens qyuantum encryptie aan het pushen is. Er moet iets zijn waardoor ze erop vertrouwen dat er via quantum encryptie data voor hun spionage diensten inzichtelijk zal kunnen worden. Als er iets is wat we hebben moeten leren over de politiek dat ze niets zomaar doen maar dat er altijd wel een verborgen agenda achter zit die nooit in het voordeel van burgers is.

De huidige winnaars van de post quantum encryptie contest zijn openbaar, je mag ze van mij testen. Drie van de vier zijn op basis van latice-based cryptografie, wat op dit moment geen achterdeurtje lijkt te hebben.
In het verleden bleek dat NSA een "backdoor" had gecreëerd in een EC versie, maar wanneer je kijkt naar de eerste vier winnaars, bijvoorbeeld naar Kyber, dan zie je geen NSA.
De Nederlander Peter Schwaber is één van de voortrekkers hierin. https://www.ru.nl/personen/schwabe-p

Oftewel, jouw opmerking is imho weer zo'n complot-theorie-voorstel.
19-03-2024, 11:02 door Anoniem
Door musiman:
Door Anoniem: Ik weet het niet zo. Zodra politici, zeker die in de EU, zaken gaan pushen dan is dat meestal omdat er ergens voor hen een voordeel aan zit. In de EU willen ze al langer van de encryptie af om al die lastige en ongehoorzame burgers beter in de gaten te kunnen houden en het is dan toch vreemd dat dezelfde EU ineens qyuantum encryptie aan het pushen is. Er moet iets zijn waardoor ze erop vertrouwen dat er via quantum encryptie data voor hun spionage diensten inzichtelijk zal kunnen worden. Als er iets is wat we hebben moeten leren over de politiek dat ze niets zomaar doen maar dat er altijd wel een verborgen agenda achter zit die nooit in het voordeel van burgers is.

De huidige winnaars van de post quantum encryptie contest zijn openbaar, je mag ze van mij testen. Drie van de vier zijn op basis van latice-based cryptografie, wat op dit moment geen achterdeurtje lijkt te hebben.
In het verleden bleek dat NSA een "backdoor" had gecreëerd in een EC versie, maar wanneer je kijkt naar de eerste vier winnaars, bijvoorbeeld naar Kyber, dan zie je geen NSA.
De Nederlander Peter Schwaber is één van de voortrekkers hierin. https://www.ru.nl/personen/schwabe-p

Oftewel, jouw opmerking is imho weer zo'n complot-theorie-voorstel.

De winnaars misschien wel, maar het baart me zorgen dat SIKE zover is gekomen in de contest en dat die zo makkelijk gekraakt kon worden: https://cacm.acm.org/news/nist-post-quantum-cryptography-candidate-cracked/. De huidige cryptografische algoritmen hebben decennia aan cryptoanalyse achter zich staan. PQC een paar jaar. Dat baart me zeer grote zorgen, want een paar jaar analyse op nieuwe PQC algoritmen zegt helemaal niets over de veiligheid van die algoritmen. Ik zou PQC pas gaan installeren wanneer de huidige algoritmen echt niet meer gebruikt kunnen worden. En dat duurt nog wel de nodige jaren. Er is op dit punt geen enkele reden om een early adopter te willen zijn. Integendeel.
19-03-2024, 11:04 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Een wet schrijven die post-quantum encryptie verplicht voor de overheid en bedrijven, die maakt nog niet dat het gekozen algoritme ook veilig is op het moment dat die ingevoerd gaat worden.

Bruce Schneier schreef: “Attacks always get better; they never get worse”.

Wacht nog een paar jaar tot de wiskunde achter post-quantum encryptie beter begrepen wordt. Dit is allemaal nog erg nieuw.

Er is ook een kans dat quantum computers helemaal niet blijken te werken. Tot nu is het allemaal theorie immers.
Kwantumcomputers zijn niet "allemaal theorie", en het belangrijke: dat kwantumcomputers efficient (ook grote) getallen kunnen ontbinden in hun priemfactoren is ook niet alleen theorie.

Het enige wat ze op dat gebied in de praktijk gehaald hebben is 15=3*5 . Serieus.
48 bit biprimes zijn met een 10 qubit computer in de praktijk gefactoriseerd. Serieus. Die 15 is al een aantal jaar geleden, ze hebben niet stil gezeten in die tijd.
19-03-2024, 12:59 door Anoniem
Door musiman:
Door Anoniem: Ik weet het niet zo. Zodra politici, zeker die in de EU, zaken gaan pushen dan is dat meestal omdat er ergens voor hen een voordeel aan zit. In de EU willen ze al langer van de encryptie af om al die lastige en ongehoorzame burgers beter in de gaten te kunnen houden en het is dan toch vreemd dat dezelfde EU ineens qyuantum encryptie aan het pushen is. Er moet iets zijn waardoor ze erop vertrouwen dat er via quantum encryptie data voor hun spionage diensten inzichtelijk zal kunnen worden. Als er iets is wat we hebben moeten leren over de politiek dat ze niets zomaar doen maar dat er altijd wel een verborgen agenda achter zit die nooit in het voordeel van burgers is.

De huidige winnaars van de post quantum encryptie contest zijn openbaar, je mag ze van mij testen. Drie van de vier zijn op basis van latice-based cryptografie, wat op dit moment geen achterdeurtje lijkt te hebben.
In het verleden bleek dat NSA een "backdoor" had gecreëerd in een EC versie, maar wanneer je kijkt naar de eerste vier winnaars, bijvoorbeeld naar Kyber, dan zie je geen NSA.
De Nederlander Peter Schwaber is één van de voortrekkers hierin. https://www.ru.nl/personen/schwabe-p

Oftewel, jouw opmerking is imho weer zo'n complot-theorie-voorstel.
Wel een leuk complottheorie voorstel. Waarom ben je daar op tegen? Waarom de pejoratieve term complot? Dacht je dat er geen complotten en mystificaties bestaan? EU is al langer in hosanna stemming over hun quantum technology flagship, dus waarom geen vragen mogen stellen over de schijnbare contrabeweging met het willen afschaffen van encryptie?
"As is now happening around the world, developing Europe's capabilities in quantum technologies will create a new knowledge-based industrial ecosystem, leading to long-term economic, scientific and societal benefits.' Lees dit eens GPDR-encrypted in je achterhoofd, want ik heb nog veel meer leuke encrypted links.
Citaat komt uit het Europees Quantum Manifesto
https://ec.europa.eu/futurium/en/content/quantum-manifesto-quantum-technologies.html
(andere Anoniem dan 23:14)
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.