Bent u al klaar voor quantum computing?

quantum 1

Onderzoekers van Qutech, een samenwerking tussen de TU Delft en TNO, hebben de basis gelegd voor het Internet-protocol voor quantum computing. Tegelijkertijd is op de Technische Universiteit van München en door Google aangetoond dat quantum computers vele malen sneller problemen kunnen oplossen dan de huidige supercomputers. Daardoor kunnen ze ook de momenteel meest veilige encryptiestandaarden en versleutelde communicatie kraken.

IBM, Google en grote bedrijven als Boeing investeren al fors in quantum computing. Behalve voor het sneller oplossen van complexe vraagstukken, zijn quantum computers natuurlijk ook te misbruiken voor cyberaanvallen en -spionage. De technische wedloop en wie er met welke toepassingen gebruik van gaat maken kunt u niet beïnvloeden, wel uw security erop voorbereiden. Analisten van onder andere Gartner verwachten dat veel bedrijven de komende jaren in quantum computing gaan investeren.

Waarom moet u zich zorgen maken?

De huidige computers en netwerk­apparatuur gebruiken opslaggeheugens die 0-en en 1-en genereren. Quantum computers werken met qubits, die zowel werken met 0-en en 1-en als meerdere waarden op hetzelfde moment. Die eigenschap stelt ze in staat om gelijktijdig meerdere complexe vraagstukken op te lossen. Ze bevrijden ons van de binaire beperkingen van klassieke computers en gaan daarmee het gezicht van de informatica volledig veranderen.

De meeste zorgen over quantum computers zijn het gevolg van het simpele feit dat ze moderne encryptie kunnen kraken. Onder andere bij het U.S. National Institute of Standards and Technology (NIST) denken experts dat quantum computing de meeste momenteel bijzonder veilige encryptie­protocollen kan kraken, zoals RSA en de Elliptic Curve public key cryptografie. Daarop is het huidige Internet gebaseerd. 128-bits encryptie, waarmee veel overheden, bedrijven en consumenten momenteel werken, zal snel bezwijken onder de brute kracht van quantum computing.

Natuurlijk proberen grote landen deze technologie als eerste ter beschikking te krijgen en te gebruiken met enorme consequenties. Het Amerikaanse congreslid Will Hurd, tevens voorzitter van de Information Technology Subcommittee van de Committee on Oversight and Government Reform, waarschuwde eind 2017 in Wired voor de schokgolf die quantum computing kan veroorzaken voor de internationale relaties.

Net als atoomwapens de machts­verhoudingen tijdens de Koude Oorlog hebben beïnvloed, gaat de kracht van quantum computing de hegemonie in de digitaal verbonden wereldeconomie beïnvloeden.

Quantum computing kan al binnen tien jaar commercieel beschikbaar komen. Als hackers die technologie in hun bezit krijgen, zijn de risico’s enorm. Mede omdat het installeren van beveiligingsupdates, voor onder andere Heartbleed, nu zo lang duurt. Organisaties doen er verstandig aan zich al te gaan voorbereiden op de nieuwe cyberrisico’s en het securitylandschap dat quantum computing met zich meebrengt. Dertien Europese landen nemen alvast het voortouw met de ontwikkeling van OPENQKD, wat gaat u doen?

Quantum-resistente securityoplossingen

De gevolgen van quantum computing zijn voor iedereen groot - overheden, bedrijven en consumenten. Een aantal van hen, zoals de NSA, zijn bezig quantum-resistente algoritmen en public key cryptografie te ontwikkelen voor de toekomstige bedreiging. Ook het NIST werkt al aan een cryptografische standaard voor het quantumtijdperk. De transformatie naar zo’n nieuwe standaard verloopt in de praktijk echter vaak langzaam. Het ontwikkelen en adopteren van Elliptic Curve heeft bijvoorbeeld enkele decennia geduurd.

Hoe effectief de tegenmaatregelen ook zijn, organisaties doen er verstandig aan daar niet reactief op te wachten. De eerste stap richting quantum-resistentie is te onderzoeken in hoeverre de nu gebruikte encryptie-oplossingen tegen de toekomstige cyberbedreiging bestand zijn. Quantum computers zullen bijvoorbeeld makkelijker in staat zijn om 128-bit encryptiesleutels te ontcijferen dan langere versies. AES 256 of SHA 512 zijn daarom voor de komende jaren een betere keuze.

Hash-gebaseerde digitale handtekeningen zijn waarschijnlijk ook beter bestand tegen quantum-aanvallen, ook al worden ze maar voor bepaalde toepassingen gebruikt. NIST verwacht deze hash-gebaseerde digitale handtekeningen binnenkort te standaardiseren. Daarom is het mogelijk een interessante keuze. Bedrijven en consumenten verwachten natuurlijk ook dat hun service providers zich voorbereiden op de komst van quantum computing en veilige ‘Public Key Infrastructure’ meenemen in hun ontwikkelingen.

quantum 2

Marktpartijen werken volop aan het ontwikkelen van quantum-resistente security-oplossingen, waarvan de eerste al beschikbaar zijn. Zoals de oplossing die Blackberry eind vorig jaar aankondigde, gebaseerd op een code signing server die software resistent maakt tegen quantum-aanvallen. Verder werkt Digicert samen met Gemalto en ISARA aan een oplossing voor de PKI-markt. Door de algoritmen van ISARA te combineren met Gemalto’s security hardware, kan Digicert quantum-resistente certificaten gaan leveren.

Start benodigde voorbereidingen

Elke technische ontwikkeling brengt zorgen met zich mee. Het IoT maakt bijvoorbeeld toepassingen mogelijk die in de zorg helpen mensenlevens te redden. De eerste ervaringen daarmee hebben echter ook geleid tot misbruik, onder andere via de ontwikkeling en inzet van grote destructieve DDoS-botnets. Technologie is een amoreel en neutraal hulpmiddel dat afhankelijk van de gebruiksintenties waarde toevoegt, of schadelijk kan zijn. Als de ‘good guys’ er interesse in hebben, dan komen de ‘bad guys’ ook.

Momenteel hebben hackers nog geen toegang tot quantum computers, maar zij volgen de ontwikkelingen natuurlijk ook nauwgezet. Nu is er nog tijd om te starten met de benodigde voorbereidingen, voordat de dag aanbreekt dat de IT-wereld op zijn kop wordt gezet door quantum computing.

Roman Brunner, Managing Director Emerging Markets - Europe voor Digicert QuoVadis