Het Amerikaanse NIST heeft deze week drie quantumveilige encryptietools onthuld. In tegenstelling tot de versleutelingen van weleer moeten deze opties data voorgoed veilig houden, zelfs wanneer quantumcomputers ze trachten te kraken.
Het quantumtijdperk lijkt niet aanstaande, maar dat geeft geen reden tot treuzelen. Het NIST adviseert systeembeheerders om de transitie naar quantumveilige standaarden nu al te beginnen. Het voornaamste voordeel hiervan is dat gegevens die nu nog niet kraakbaar zijn, dat dan ook niet worden. Momenteel zorgen verschillende encrypties er al voor dat het praktisch onhaalbaar is ze te kraken met conventionele computers, maar zodra quantumcomputers arriveren is het kraken van de versleuteling een fluitje van een cent. Het NIST citeert experts die vermoeden dat dit moment al binnen een decennium kan plaatsvinden.
De sterspeler: FIPS 203
Hoewel het NIST drie encryptiestandaarden presenteert, voert één de boventoon: FIPS 203. Het is bedoeld als de vervanger van de Advanced Encryption Standard (AES), dat in verschillende vormen voorkomt in alles van wifi tot Google Cloud en van wachtwoordmanagers tot de Amerikaanse overheid. Grote schoenen om te vullen dus.
Daar lijkt FIPS 203 op voorbereid te zijn. Het is gebaseerd op het CRYSTALS-Kyber-algoritme, vanaf nu hernoemd naar ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism). Dat algoritme was al door het NIST verkozen als een quantum-resistente encryptiestandaard in 2022, na een competitie die vier jaar duurde. Saillant detail: één van de finalisten van deze competitie was al binnen 62 minuten gekraakt.
Tip: Eurofiber duidt AIVD-kritiek op Quantum Key Distribution
Het is via deze encryptie mogelijk om een gedeelde sleutel te delen via een publiek kanaal. Net als bij AES zijn er verschillende formaten, waarbij geldt: hoe groter, hoe veiliger, maar ook des te langzamer. Zo is ML-KEM-512 te verwachten bij het uitwisselen van data over wifi, terwijl ML-KEM-1024 uit de kast zal worden getrokken als het om staatsgeheimen gaat.
FIPS 204 en 205: digitale handtekeningen
FIPS 203, gebaseerd op ML-KEM, wordt vergezeld door twee andere opties vanuit het NIST. FIPS 204 wordt aangeraden als de nieuwe standaard voor digitale handtekeningen. Om die reden heet het onderliggende algoritme dan ook ML-DSA (Module-Lattice-Based Digital Signature Algorithm), een hernoeming van CRYSTALS-Dilithium. Wie er in een post-quantumtijdperk zeker van wil zijn dat een bestand authentiek en onaangepast is, zal dus veelal vertrouwen op FIPS 204 en ML-DSA.
FIPS 205 geldt als alternatief voor 204, gebruikmakend van het voormalige Sphincs+-algoritme. Deze heet nu SLH-DSA (Stateless Hash-Based Digital Signature Algorithm). Omdat dit algoritme gebruikmaakt van een andere wiskundige aanpak dan ML-DSA, geldt het als een potentiële plaatsvervanger als ML-KEM toch niet veilig blijkt te zijn.
Theoretisch maar nodig
Die slag om de arm vanuit NIST is veelzeggend. Immers kan niemand garanties bieden over post-quantum veiligheid zonder in het post-quantum tijdperk te leven. Shor’s algoritme is nooit getest, maar geldt als de ultieme boeman voor alle bekende, traditionele encryptiestandaarden als AES en RSA. Theoretische hardware-vereisten voor het kraken van RSA bleken overigens al eerder niet genoeg om dat daadwerkelijk te doen. Kortom: het is onzeker of we ons echt zoveel zorgen moeten maken over encrypties op relatief korte termijn.
Toch blijken oude encrypties meermaals niet opgewassen tegen moderne rekenkracht. Later ontdekte kwetsbaarheden, zoals in juli dit jaar bleek te gelden voor het veelgebruikte RADIUS-protocol, kunnen de nekslag zijn voor encryptiestandaarden. Er zal dus altijd de noodzaak zijn om alternatieven en modernisaties van versleuteltechnieken te bedenken. Daar draagt de cryptografiegemeenschap aan bij in coördinatie met het NIST.
Lees ook: Essentiële overwegingen voor netwerkbeveiliging in een Industrie 4.0-omgeving