U bent misschien bekend met het concept van klassieke cryptografie, het type codering dat we elke dag gebruiken. Je hebt misschien zelfs gehoord van kwantumcryptografie die gebruik maakt van kwantumcomputers en kwantummechanische effecten. Hoewel beide op zich al belangrijke technologieën zijn, ondersteunt klassieke cryptografie bijna de alle moderne communicatietechnologie, post-kwantumcryptografie is een echt cruciale stap die dat niet is algemeen bekend. Post-kwantumcryptografie zou niet het op een na grootste ding moeten zijn na kwantumversleuteling. In plaats daarvan is het de klasse van cryptografie die nog steeds relevant is in een wereld waar krachtige kwantumcomputers bestaan.
De kwantumversnelling
Klassieke cryptografie is eigenlijk allemaal gebaseerd op een klein aantal verschillende wiskundige problemen. Deze problemen zijn zorgvuldig gekozen omdat ze extreem moeilijk zijn, tenzij je specifieke informatie kent. Zelfs met computers zijn deze wiskundige problemen aantoonbaar moeilijk. In 2019 besteedde een onderzoek 900 CPU-kernjaren om een 795-bits RSA-sleutel te kraken. Een 1024-bits RSA-sleutel zou meer dan 500 keer meer verwerkingskracht nodig hebben om te kraken. Bovendien zijn 1024-bits RSA-sleutels verouderd ten gunste van 2048-bits RSA, die praktisch onmogelijk te kraken zou zijn.
Het probleem is dat kwantumcomputers op een heel andere manier werken dan normale computers. Dit betekent dat bepaalde dingen die normale computers moeilijk kunnen doen, veel gemakkelijker zijn voor kwantumcomputers. Helaas zijn veel van de wiskundige problemen die in cryptografie worden gebruikt hier perfecte voorbeelden van. Alle asymmetrische encryptie in modern gebruik is kwetsbaar voor deze kwantumversnelling, uitgaande van toegang tot een voldoende krachtige kwantumcomputer.
Als u de veiligheid van codering wilt verhogen, heeft u traditioneel alleen langere sleutels nodig. Dit veronderstelt wel dat er geen fundamentele problemen meer zijn met het algoritme en dat het kan worden opgeschaald om langere sleutels te gebruiken, maar het principe houdt stand. Voor elk extra stukje beveiliging verdubbelt de moeilijkheid, dit betekent dat de overgang van 1024-bits naar 2048-bits codering een enorme moeilijkheidsgraad is. Deze exponentiële groei van de moeilijkheidsgraad is echter niet van toepassing op deze problemen wanneer ze worden uitgevoerd op kwantumcomputers waar de moeilijkheidsgraad logaritmisch toeneemt en niet exponentieel. Dit betekent dat u niet zomaar de sleutellengte kunt verdubbelen en het volgende decennium aan rekenkracht kunt toenemen. Het hele spel is uit en er is een nieuw systeem nodig.
Een sprankje hoop
Interessant is dat alle moderne symmetrische versleutelingsalgoritmen ook worden beïnvloed, maar in veel mindere mate. De effectieve beveiliging van een asymmetrisch cijfer zoals RSA wordt verminderd met de vierkantswortel. Een 2048-bits RSA-sleutel biedt het equivalent van ongeveer 45 bits beveiliging tegen een kwantumcomputer. Voor symmetrische algoritmen zoals AES wordt de effectieve beveiliging ‘slechts’ gehalveerd. 128-bits AES wordt beschouwd als veilig tegen een normale computer, maar de effectieve beveiliging tegen een kwantumcomputer is slechts 64 bits. Dit is zwak genoeg om als onveilig te worden beschouwd. Het probleem kan echter worden opgelost door de sleutelgrootte te verdubbelen tot 256 bits. Een 256-bits AES-sleutel biedt 128-bits bescherming, zelfs tegen een voldoende krachtige kwantumcomputer. Dat is genoeg om als veilig te worden beschouwd. Sterker nog, 256-bits AES is al openbaar beschikbaar en in gebruik.
Tip: De stukjes beveiliging die worden geboden door symmetrische en asymmetrische versleutelingsalgoritmen zijn niet direct vergelijkbaar.
Het hele 'voldoende krachtige kwantumcomputer'-ding is een beetje moeilijk precies te definiëren. Het betekent dat een kwantumcomputer voldoende qubits moet kunnen opslaan om alle statussen te kunnen volgen die nodig zijn om de coderingssleutel te breken. Het belangrijkste feit is dat niemand nog de technologie heeft om dit te doen. Het probleem is dat we niet weten wanneer iemand die technologie zal ontwikkelen. Het kan vijf jaar, tien jaar of langer zijn.
Aangezien er ten minste één type wiskundig probleem is dat geschikt is voor cryptografie en niet bijzonder kwetsbaar is voor kwantumcomputers, is het veilig om aan te nemen dat er andere zijn. Er zijn eigenlijk veel voorgestelde coderingsschema's die veilig te gebruiken zijn, zelfs in aanwezigheid van kwantumcomputers. De uitdaging is om deze post-kwantumversleutelingsschema's te standaardiseren en hun veiligheid te bewijzen.
Conclusie
Post-kwantumcryptografie verwijst naar cryptografie die zelfs ondanks krachtige kwantumcomputers sterk blijft. Kwantumcomputers zijn in staat om sommige vormen van encryptie grondig te doorbreken. Ze kunnen dit veel sneller dan normale computers, dankzij het algoritme van Shor. De versnelling is zo groot dat er geen manier is om het praktisch tegen te gaan. Als zodanig wordt er gewerkt aan het identificeren van potentiële cryptografische schema's die niet kwetsbaar zijn voor deze exponentiële versnelling en dus bestand zijn tegen kwantumcomputers.
Als iemand met een toekomstige kwantumcomputer veel oude historische gegevens heeft die hij gemakkelijk kan kraken, kan hij nog steeds grote schade aanrichten. Met de hoge kosten en technische vaardigheden die nodig zijn om een kwantumcomputer te bouwen, te onderhouden en te gebruiken, is de kans klein dat ze door criminelen worden gebruikt. Overheden en ethisch dubbelzinnige megabedrijven hebben echter de middelen en mogen deze niet gebruiken voor het algemeen belang. Ook al bestaan deze krachtige kwantumcomputers misschien nog niet, het is belangrijk om over te stappen naar post-kwantumcryptografie zodra is aangetoond dat dit veilig is om wijdverbreide historische gegevens te voorkomen decodering.
Veel kandidaten voor post-kwantumcryptografie zijn in wezen klaar voor gebruik. Het probleem is dat bewijzen dat ze veilig zijn al hels moeilijk was als je geen rekening hoefde te houden met verbluffend gecompliceerde kwantumcomputers. Er is veel onderzoek gaande om de beste opties voor wijdverbreid gebruik te identificeren. Een belangrijk ding om te begrijpen is dat post-kwantumcryptografie op een normale computer draait. Dit onderscheidt het van kwantumcryptografie die op een kwantumcomputer moet worden uitgevoerd.