Europol wijst banken op risico van 'store now, decrypt later' aanvallen
Banken en andere financieel dienstverleners moeten snel met een plan komen voor de overstap naar quantumveilige encryptie en daarbij rekening houden met het risico van 'store now, decrypt later' aanvallen, zo stelt Europol. Bij dergelijke aanvallen verzamelen aanvallers nu allerlei versleutelde informatie met het idee die op een later moment in de toekomst door middel van quantum computing te kunnen kraken.
"Een voldoende geavanceerde quantumcomputer heeft de mogelijkheid om veelgebruikte encryptiealgoritmes te kraken, wat de vertrouwelijkheid van financiële transacties, authenticatieprocessen en digitale contracten in gevaar brengt", aldus Europol. "Hoewel schattingen suggereren dat quantumcomputers die hiertoe in staat zijn binnen de komende tien tot vijftien jaar kunnen verschijnen, is de tijd die nodig is om van kwetsbare encryptiemethodes over te stappen aanzienlijk."
Volgens Europol vereist een succesvolle overstap naar quantumveilige encryptie samenwerking tussen financiële instellingen, technologieaanbieders, beleidsmakers en toezichthouders. Een risico dat nu al speelt zijn 'store now, decrypt later' aanvallen, ook wel 'harvest now, decrypt later' genoemd. Aanvallers verzamelen nu versleutelde data met de bedoeling die in de toekomst te kraken. "Gevoelige financiële informatie, waaronder langetermijninvesteringsstrategieën en vertrouwelijke overeenkomst, kunnen worden gecompromitteerd als belangrijke beveiligingsmaatregelen niet worden genomen", aldus Europol. Dit kan leiden tot financiële verliezen en reputatieschade.
Voor de overstap naar quantumveilige encryptie doet de Europese opsporingsdienst verschillende aanbevelingen. Zo moeten financiële instellingen en beleidsmakers de overstap naar quantumveilige encryptie een prioriteit maken. Aanvullende wetgeving is volgens Europol niet nodig. "Een vrijwillig framework opgesteld tussen toezichthouders en de private sector zou voldoende moeten zijn." De Amerikaanse overheid kwam vorig jaar ook al met een waarschuwing dat kwaadwillenden nu al bezig zijn met 'store now, decrypt later'.
Hoe interessant is het om de bankafschriften van 15 jaar geleden te kunnen lezen. Het gaat toch om hoeveel geld er op dit moment op eenieders rekening staat? PSD2 is een veel groter risico voor de banken (en hun klanten). Het vergroot immers het aanvalsoppervlak tot alle Europese banken en payment providers in plaats van alleen je eigen bank.
Hoe interessant is het om de bankafschriften van 15 jaar geleden te kunnen lezen. Het gaat toch om hoeveel geld er op dit moment op eenieders rekening staat? PSD2 is een veel groter risico voor de banken (en hun klanten). Het vergroot immers het aanvalsoppervlak tot alle Europese banken en payment providers in plaats van alleen je eigen bank.
Ik snap niet wat je wilt zeggen. Ik bedoel dat begin jaren negentig asymmetrische encryptie populair werd door Phil Zimmermann en een paar jaar later met SSL door Netscape (met een domestic versie van 128 bits en een export versie van 40 bits).
Voor de begin jaren negentig is het nooit een probleem geweest dat er geen asymmetrische encryptie was en hadden de banken een heel veilige reputatie. De banken hebben geen asymmetrische encryptie nodig omdat ze geldkoeriers in dienst hebben. Die kunnen symmetrische sleutels mee nemen in hun waardetranspoort voertuigen die automatisch zichzelf vernietigen bij het rotzooien daaraan.
Dus waarom moeten we overstappen op Quantum Proof bij banken? Wat is er anders als tijdens de periode tussen het eind van de tweede wereld oorlog en begin jaren negentig dat we opeens asymmetrische encryptie moeten gaan gebruiken?
Dat je in je browser TLS moet gebruiken bij internetbankieren is logisch. Dat betwist ik niet. Hoewel ING vroeger werkte met een vel TAN codes die je moest invoeren bij elke transactie in je browser. Dat zou ook met symmetrische encryptie kunnen werken lijkt mij. Zoals ook wachtwoorden voor websites worden opgeslagen. Vroege unix versies werkten bijvoorbeeld met DES voor het one-way encrypten van een wachtwoord.
Anoniem 15:40
Hoe interessant is het om de bankafschriften van 15 jaar geleden te kunnen lezen. Het gaat toch om hoeveel geld er op dit moment op eenieders rekening staat? PSD2 is een veel groter risico voor de banken (en hun klanten). Het vergroot immers het aanvalsoppervlak tot alle Europese banken en payment providers in plaats van alleen je eigen bank.
Kun je eens uitleggen waarom je verzinsel kan ?
Mag met veel detail - wat doe je precies als ik je 10.000 sessies geef om er daarna eentje met andere parameters te doen die geaccepeerd wordt ?
Begint erop te lijken dat "Smeris" de tv serie ove Europol wel aadig gelijk had. Maarja de gemiddelde kijker vat het niet.
Hoe interessant is het om de bankafschriften van 15 jaar geleden te kunnen lezen. Het gaat toch om hoeveel geld er op dit moment op eenieders rekening staat? PSD2 is een veel groter risico voor de banken (en hun klanten). Het vergroot immers het aanvalsoppervlak tot alle Europese banken en payment providers in plaats van alleen je eigen bank.
Veel van wat je zegt lijkt mij niet correct. Source?
Naast snellere methodes voor het ontbinden in priemfactoren, zoals gebruikt in aanvallen op assymetrische encryptie, kan een quantum computer ook gebruik worden om symmetrische encryptie (zoals AES) sneller te kraken dan mogelijk met klassieke computers.
Beide zijn slechts mogelijkheden en nog niet in praktijk gebracht op de huidige gangbare key lengtes. Dit is echter een kwestie van tijd, vandaar dat er nu al op dit risico gewezen wordt.
Een voorbeeld van quantum computing aanvallen op symmetrische encryptie is de volgende paper: https://link.springer.com/article/10.1007/s11432-022-3511-5
Als banken TLS 1.3 gebruiken om alle transacties te beschermen, van wie is dan het root certificaat waarmee je bewijst dat je naar de juiste bank je geld overschrijft? Is TLS 1.3 al beschermd tegen quantum computers?
Banken en Defensie kunnen prima symmetrische encryptie gebruiken vanwege de reden die ik eerder al noemde. Misschien is dit zelfs veiliger dan RSA of EC. Dit is decennia lang goed gegaan voor de introductie van RSA en EC.
Anoniem 15:40
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Bescherm data, waarborg privacy!
Als Information Security & Privacy Officer bij Kader Group zorg jij voor digitale veiligheid en privacybescherming. Jij houdt bedrijven compliant en weerbaar.
- Salaris tot €6.000
- Leaseauto & hybride werken
- Groei als security-expert
Word onderdeel van ons team.
Solliciteer nu!
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben je de inhoudelijke en technische motor van ons team. Je werkt actief mee met de security analisten en bent hun sparringspartner en coach. Samen met het team zorg je ervoor dat detectie, analyse en response op hoog niveau worden uit-gevoerd en verder worden ontwikkeld.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
