NIST-encryptiestandaarden moeten aanval quantumcomputer weerstaan
Het Amerikaanse National Institute of Standards and Technology (NIST), een organisatie die onder andere verantwoordelijk is voor het opstellen van cybersecurityrichtlijnen voor de Amerikaanse overheid, heeft drie encryptiestandaarden gepubliceerd die bestand moeten zijn tegen aanvallen door quantumcomputers. NIST roept systeembeheerders op om zo snel mogelijk naar de nieuwe standaarden te migreren.
De nieuwe standaarden zijn bedoeld voor het beveiligen van informatie die wordt uitgewisseld op netwerken en voor digitale handtekeningen. Ze volgen uit een wedstrijd die het NIST jaren geleden startte en tientallen inzendingen opleverde. Uit deze inzendingen zijn vier algoritmes gekozen: CRYSTALS-Kyber, CRYSTALS-Dilithium, Sphincs+ en FALCON. De eerste drie algoritmes zijn nu hernoemd naar respectievelijk Federal Information Processing Standard (FIPS) 203, FIPS 204 en FIPS 205. Wanneer de conceptstandaard voor FALCON verschijnt zal dit algoritme verdergaan als FIPS 206.
Daarnaast kijkt het NIST ook naar verschillende algoritmes die op een gegeven moment als back-upstandaarden kunnen dienen. Volgens het NIST gaan de ontwikkelingen op quantumgebied razendsnel en hebben sommige experts gewaarschuwd dat er binnen tien jaar een apparaat verschijnt dat de huidige encryptiemethodes kan kraken. Beheerders en organisaties worden opgeroepen om de nieuwe standaarden zo snel mogelijk binnen hun systemen te integreren, omdat volledige integratie de nodige tijd zal kosten.
FIPS204 is gebaseerd op CRYSTALS-Dilithium en FIPS205 op Sphincs+.
FIPS206 is gebaseerd op het FALCON algoritme.
Je schrijft het met een smiley, maar hier hoor je eigenlijk weinig over. Vooropgesteld: een quantum computer met voldoende rekencapaciteit zal niet alleen voor doorbraken zorgen op het gebied van crypto-analyse, maar ook op het gebied van molecuul simulaties en andere wiskundig lastige problemen.
Tegelijk worden quantum computer in cybersecurity vooral als dreiging gezien, vanwege de impact op vertrouwelijkheid, authenticiteit en integriteit. Eigenschappen die nu vooral door 'klassieke' cryptografie gewaarborgd worden. Dit zorgt ervoor dat er al tijd en energie gestoken wordt in 'quantum-veilige' alternatieven. Daardoor daalt echter ook de waarde van een quantum computer voor crypto-analyse. Welke investering kan een inlichtingendienst zich dan nog veroorloven, in de wetenschap dat de waarde hiervan gaat afnemen als steeds targets zijn met 'quantum-veilige' alternatieven? Die vraag blijft vaak onbenoemd in de hele discussie over de post-quantum crypto transitie.
Toen was een van de "sterkste" encryptie methodes heel goed in het weerstaan van aanvallen door quantum computers (statistisch), maar waren vergeten om ze ook te testen tegen conventionele aanvallen zonder quantum computers.
Een onderzoeker was in staat om de "encryptie" binnen 5 minuten te breken met een oude computer uit de jaren 80...Oeps?
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.