Computerfabrikanten zijn verwikkeld in een heftige race naar wie als eerste een quantumcomputer kan maken en gebruiken. Ook wel ‘quantum supremacy’ genoemd. Dit type computer moet de prestaties van de huidige supercomputers doen verbleken, maar brengt ook bedreigingen voor burgers en bedrijven met zich mee. Waar gaan we heen als de nieuwe quantumcomputer zijn intrede doet? En wat zijn dan de kansen en bedreigingen?
In januari 2019 werd de eerste commerciële quantumcomputer gebouwd door IBM. Deze computer is gebaseerd op de wetenschap van quantum physics, waardoor de manier waarop computers communiceren totaal verandert vergeleken met de huidige situatie. De computers worden niet alleen veel sneller, ook is de techniek verbeterd waardoor nieuwe mogelijkheden ontstaan die hiervoor onmogelijk waren. Op basis van deze nieuwe techniek heeft Google een doorbraak bewerkstelligd.
Vergeleken met eerste vliegtuigvlucht van de Wright-broers
“De bevindingen zijn gepubliceerd in het gerenommeerde wetenschappelijke tijdschrift Nature. De berekening is als het ware een demonstratie van wat de speciale computer genaamd Sycamore kan. De prestatie wordt door wetenschappers vergeleken met de eerste vliegtuigvlucht van de Wright-broers. Sycamore berekende een complexe combinatie van sommen in 3 minuten en 20 seconden. Deze rekensom zou met een standaard computer minstens 10.000 jaar duren”, claimt Google.
Van 0’en en 1’tjes naar non-binaire technologie
De huidige computers werken op basis van bits en bytes, dus 0’en en 1’tjes, ook wel de binaire methode genoemd. In de communicatie kan dus alleen een combinatie gemaakt worden van deze binaire uitkomstmogelijkheden. Bij quantum computing verandert dit in een non-binaire technologie. Op deze manier komen ook de mogelijkheden tussen 0 en 1 als mogelijke uitkomsten naar voren. Opeens is het niet alleen zwart en wit maar ook grijs. Iets kan dan voor 70 procent een 0 zijn en voor 30 procent een 1, of in een willekeurige andere verhouding. Deze technologische verandering heeft een enorme impact op de wereld zoals we die nu kennen en op onze huidige manier van werken. Dat roept vragen op als:
- Waar communiceren we digitaal in ons proces en hoe zou dit verder geoptimaliseerd kunnen worden?
- Waar is encryptie een onderdeel van en wat verandert er door quantum computing?
- Hoe zit het met onze digitale identiteit in de huidige en toekomstige software?
> LEES OOK: Risico’s en kansen van quantumcomputers: nachtmerrie of droomscenario?
Versleuteling van data
Naast de vele mogelijkheden dankzij de extra rekenkracht, waardoor bijvoorbeeld complexere analyses in de medische wereld kunnen worden gefaciliteerd, is er ook reden tot bezorgdheid. Zo zou de huidige cryptografie in onze dagelijkse communicatie gekraakt kunnen worden door een aanval dankzij de extra rekenkracht. Maar hoe kan dit dan precies? Versleuteling is het nemen van een origineel stukje om het vervolgens om te zetten in een onverklaarbare code. Door een complexe wiskundige formule worden gegevens omgezet in veilig gecodeerde berichten die moeten worden opgeslagen of verzonden. Het vercijferen en ontcijferen gebeurt vervolgens met een digitale sleutel.
> LEES OOK: Drie trends in cybersecurity: wendbaarheid is de nieuwe weerbaarheid
Er zijn twee hoofdcategorieën als het gaat om encrypten en decrypten (versleutelen) van informatie: symmetrisch en asymmetrisch. Bij symmetrisch wordt dezelfde sleutel gebruikt voor versleutelen en ontsleutelen. Bij asymmetrische methoden heb je zowel een privésleutel als een publieke sleutel. De publieke sleutel wordt gedeeld zodat andere personen berichten voor de eigenaar van het sleutelpaar kunnen laten versleutelen, terwijl de privésleutel enkel en alleen opgeslagen staat bij de daadwerkelijke eigenaar en ontvanger. Op deze manier kan alleen de ontvanger het bericht ontsleutelen.
Symmetrisch en asymmetrisch
Maar waarom kies je de ene keer voor symmetrisch en de andere keer voor asymmetrisch? Symmetrische cryptografie is aanzienlijk sneller dan de assymmetrische variant. Om deze reden wordt het vooral gebruikt in de alledaagse communicatie om opgeslagen gegevens te versleutelen.
Assymmetrische cryptografie wordt vooral gebruikt voor het veilig uitwisselen van symmetrische sleutels en voor het digitaal verifiëren of ondertekenen van berichten, documenten en certificaten die openbare sleutels koppelen aan de identiteit van hun eigenaren. Daarnaast wordt het ook gebruikt voor authenticatie en voor versleuteling. Met als grote voordeel dat ik iets versleutel wat alleen jij kunt lezen (alleen jij hebt de privésleutel). Dit laatste is in de markt vooral te zien wanneer de identiteit en de communicatie aan elkaar gekoppeld moeten worden vanwege securitydoeleinden. Bijvoorbeeld beveiligde communicatie tussen overheden of tussen burger en overheid.
Het is cruciaal om je voor te bereiden op de quantum-computer
Hoe zit een potentiële aanval eruit?
Op het gebied van symmetrische versleuteling is de meest eenvoudige manier om een code te kraken door alle mogelijke sleutels uit te proberen totdat er een werkt. Conventionele computers kunnen dit, maar het is erg moeilijk en tijdrovend. Quantum computing versnelt dit proces. Maar dit is relatief eenvoudig op te lossen door grotere sleutellengtes toe te passen. Maar hoe zit het met oude opgeslagen versleutelde data? En wat als versleutelde data al gelekt is?
Cryptografie met openbare sleutels vormt een nog veel groter probleem, vanwege de manier waarop dit wiskundig is ingeregeld. Momenteel worden de algoritmen RSA, Diffie-Hellman en de elliptische curve veel gebruikt. Met quantum computing is het mogelijk om bij de openbare sleutel te beginnen en de privésleutel wiskundig te berekenen zonder alle mogelijkheden uit te proberen. Voor RSA kan de privésleutel bijvoorbeeld worden berekend door een getal te ontbinden dat het product is van twee priemgetallen, zoals 3 en 5 voor 15.
Tot nu toe was codering met openbare sleutels niet te kraken door zeer lange sleutelparen te gebruiken. Maar voldoende geavanceerde quantumcomputers zouden zelfs 4096-bits sleutelparen in slechts een paar uur kunnen kraken.
Hoe kan ik mijn organisatie hierop voorbereiden?
Gelukkig hebben onderzoekers gewerkt aan de ontwikkeling van algoritmen met openbare sleutels die de pogingen van quantumcomputers om codes te breken konden weerstaan, waarbij het vertrouwen in certificaatautoriteiten, digitale handtekeningen en gecodeerde berichten wordt behouden. Met name het Amerikaanse National Institute of Standards and Technology (NIST) evalueerde al 69 potentiële nieuwe methoden voor wat het instituut post-quantumcryptografie noemt. Recentelijk zijn er zeven finalisten uitgekozen.
NIST verwacht in 2024 een conceptstandaard te hebben (zo niet eerder), die dan wordt geïmplementeerd voor digitale certificaten en houders (zoals smartcards) en toegevoegd aan webbrowsers, apps en systemen.
Een alternatief voor cryptografie met openbare sleutels voor sleuteluitwisseling is de distributie van quantumsleutels. Hier worden quantummethoden door de zender en ontvanger gebruikt om een symmetrische sleutel tot stand te brengen. Maar deze methoden vereisen speciale hardware.
Sterke cryptografie is van vitaal belang voor cyberbeveiliging
Waarom is het nu het juiste moment om te investeren?
Sterke cryptografie is van vitaal belang voor cyberbeveiliging op zowel individueel als maatschappelijk niveau. Het vormt de basis voor veilige verzending van gegevens en gegevensopslag, en voor het verifiëren van betrouwbare verbindingen tussen mensen en systemen. Helemaal nu iedereen thuiswerkt, zich bewust is van zijn eigen digitale identiteit en informatie deelt en communiceert via online meetings.
Quantumcomputers worden op dit moment alleen nog op experimentele basis door grote techbedrijven gebruikt en het is economisch en technisch niet mogelijk om deze op grotere schaal te gebruiken. Hedendaagse asymmetrische algoritmen, zoals RSA, zijn nog steeds de standaard voor het versleutelen van data, sterke authenticatie en ondertekenen van berichten en software, en blijven zorgen voor de cruciale beveiliging van communicatie en transacties. Quantumcomputers komen naar verwachting pas over meerdere jaren beschikbaar, maar het is al wel aan te bevelen om je voor te bereiden op hun komst.
In een digitale securitystrategie zou duidelijk beschreven moeten worden hoe de huidige organisatie op dit moment werkt en waar quantum computing een rol kan spelen. Zo dient er duidelijk in kaart te worden gebracht welke vorm van cryptografie er door organisaties gebruikt wordt en op welke manier er gemigreerd kan worden naar nieuwe quantum-proof algoritmen. Het is derhalve van cruciaal belang om de organisatie voor te bereiden door middel van een securitystrategie met daarin een gedegen risicoanalyse.
> LEES OOK: Bijna helft grote bedrijven gebruikt Artificial Intelligence
Risicoanalyse
In deze risicoanalyse moet inzichtelijk gemaakt worden waar beveiligde communicatie, digitale identiteiten en versleuteling in het huidige proces een rol spelen. Vervolgens moeten voorbereidingen worden getroffen om zowel organisatorische, technische als individuele maatregelen te nemen die quantum-proof zijn. Hier valt te denken aan een managementsysteem waarin certificaten, identiteiten en bijbehorende sleutels worden geregistreerd, gevalideerd, gemanaged en ingetrokken volgens de op dat moment geldige standaard. Cruciale vragen hierbij zijn: hoe speelt quantum computing in jouw organisatie een rol? En hebben de securitymaatregelen voldoende quantum agility?
Jordan van den Akker is Business Security Consultant bij AET Europe. Voor meer informatie: jordan.vandenakker@aeteurope.com.
Volg Security Management op LinkedIn