Version en français

Kwantumcomputers worden steeds krachtiger. De kans bestaat dat ze op een dag in staat zullen zijn om de moderne publieke sleutelcryptografie te breken. Zonder tegenmaatregelen leidt dit zonder meer tot een ineenstorting van onze moderne samenleving. Daarom bouwt men aan alternatieven. Naast de standaardisatie van nieuwe, kwantumresistente cryptografische algoritmes, wordt Quantum Key Distribution (QKD) als een nog veiliger alternatief naar voor geschoven. Dit artikel gaat dieper in op deze technologie. Wat is het? Wanneer is het nuttig? Wat zijn de uitdagingen? Hoe verhoudt het zich tot kwantumresistente cryptografie?

De dreiging

Publieke sleutelcryptografie is – weliswaar quasi onzichtbaar – overal aanwezig in onze digitale samenleving. Het is onder meer noodzakelijk voor het ondertekenen van documenten of banktransacties en voor veilige authenticatie en communicatie met zowat elke internetdienst. Voor het opzetten van zo’n veilig communicatiekanaal spreken de twee partijen met behulp van publieke sleutelencryptie een symmetrische sleutel af. Die symmetrische sleutel laat twee entiteiten vervolgens toe om veilig te communiceren met behulp van symmetrische encryptie.

Terwijl symmetrische cryptografie er vrij goed bestand tegen is, kunnen krachtige kwantumcomputers op termijn – eigenlijk weet niemand echt wanneer – de moderne publieke sleutelcryptografie ondermijnen. Hoewel dit scenario vandaag nog veraf lijkt, waarschuwen onder meer de BSI (Duitse cybersecurityagentschap) de NSA (Amerikaanse inlichtingendienst), het CISA (Amerikaans cybersecurity agentschap) en het NIST (Amerikaanse organisatie voor standaardisatie) voor de harvest now, decrypt later aanval: aanvallers kunnen vandaag vercijferde berichten op massale schaal verzamelen. Wanneer ze over een aantal jaar de beschikking hebben over een voldoende krachtige kwantumcomputer, kunnen ze deze berichten – die dan nog steeds erg gevoelig kunnen zijn – ontcijferen. Denk bijvoorbeeld aan medische gegevens, militaire geheimen en intellectuele eigendommen die meerdere decennia gevoelig blijven. De urgentie wordt doorgaans onderbouwd met behulp van het Theorema van Mosca.

Antwoord 1: Kwantumresistente cryptografische algoritmes

Om die dreiging te counteren startte het NIST reeds in 2016 een procedure om te komen tot nieuwe gestandaardiseerde kwantumresistente algoritmes voor enerzijds digitale handtekeningen en anderzijds publieke sleutelvercijfering en het afspreken van sleutels (public-key encryption & key establishment). Deze algoritmes kunnen, net zoals de huidige generatie publieke sleutelcryptografie, door klassieke computers uitgevoerd worden. 

Moderne publieke sleutelcryptografie is gebouwd op aannames. RSA, dat dateert uit de jaren 70, is bijvoorbeeld gebaseerd op de aanname dat een computer niet in staat is om een natuurlijk getal dat het product is van twee voldoende grote priemgetallen – vb. 2048 bits elk – te ontbinden in zijn priemfactoren. Na ruim 50 jaar houdt deze aanname nog steeds stand, toch voor klassieke computers. Krachtige kwantumcomputers zouden dit wel efficiënt kunnen, m.b.v. het Algoritme van Shor.

Ook kwantumresistente cryptografie steunt op wiskundige aannames. We veronderstellen hier dus dat zowel klassieke computers als kwantumcomputers niet in staat zijn om bepaalde problemen efficiënt op te lossen. We kunnen dit niet bewijzen – het blijft een aanname – en zijn dus nooit 100% zeker. Hoewel mettertijd het vertrouwen in dergelijke cryptografische aannames groeit, blijven sommigen misschien toch enigszins met een oncomfortabel gevoel zitten.

Antwoord 2: Quantum key distribution

Een tweede antwoord op de dreiging die uitgaat van kwantumcomputers focust enkel op het afspreken van sleutels (key establishment) en luistert naar de naam quantum key distribution (QKD). Het mooie van QKD is dat twee partijen een symmetrische sleutel met elkaar af kunnen spreken zonder beroep te doen op dergelijke wiskundige aannames; theoretisch steunt QKD enkel op principes uit de kwantummechanica, met name superpositie of verstrengeling.  Meerdere protocollen werden voorgesteld (zoals BB84 en E91)

Bij QKD worden deeltjes in een kwantumtoestand – doorgaans fotonen –  uitgewisseld over het kwantumkanaal. Dit is ofwel een aan deze partijen exclusief toegewezen glasvezelverbinding, ofwel een satellietverbinding. De observatie van een deeltje in een kwantumtoestand haalt het deeltje sowieso uit zijn kwantumtoestand. Indien een partij het protocol afluistert, zal dit bijgevolg snel gedetecteerd worden. Enkel de sleutel wordt over het kwantumkanaal afgesproken, terwijl de eigenlijke uitwisseling van vercijferde data over een klassiek kanaal plaatsvindt.

De Europese commissie zet in op deze technologie via het EuroQCI (European Quantum Communication Infrastructure) initiatief. Zowel de 27 lidstaten als het Europese ruimteagentschap (ESA) zijn hierin betrokken. Er is een grondcomponent die focust op communicatie over glasvezel en een ruimtecomponent die focust op satellietcommunicatie. Die tweede component zal deel uitmaken van het IRIS² programma van de Europese Commissie voor een veilig, satellietgebaseerd communicatiesysteem. De afgelopen 4 jaar investeerde Europa reeds zo’n 180 miljoen euro in EuroQCI. Dat de ambities ver rijken, blijkt onder meer uit volgende citaat:  “The EuroQCI will be a secure quantum communication infrastructure spanning the whole EU, including its overseas territories.” De Belgische tak van van EuroQCI is BeQCI.

Ook andere landen, in de eerste plaats China, investeren stevig in QKD. China is de QKD leider wereldwijd, wat nog maar eens bevestigd werd toen ze in 2023 er als eersten in slaagden een QKD protocol succesvol uit te voeren over een (opgerolde) kabel van meer dan 1000km.

Uitdagingen

Toch stoot de QKD technologie op een aantal uitdagingen. Deze werden in Januari 2024 toegankelijk opgelijst in een gezamenlijke position paper van het BSI, ANSSI, AIVD en de Zweedse Strijdkrachten. De eerste drie zijn de Duitse en Franse cybersecurityagentschappen, gevolgd door de Nederlandse inlichtingendienst.  Samengevat is het momenteel nog te vroeg om QKD in de praktijk in te zetten. De redenen geven we hieronder.

Kost & snelheid

In tegenstelling tot kwantumresistente algoritmes, vereist QKD gespecialiseerde, voorlopig dure, hardware en zijn niet-gedeelde, exclusieve glasvezelconnecties vereist. Het onderhoud van het hele QKD systeem is eveneens duur.

Het verlies aan signaalsterkte stijgt exponentieel in functie van de afstand. Commerciële oplossingen gaan niet veel verder dan een 100km, experimentele oplossingen een paar honderd kilometer. Over een afstand van 10km zijn de hoogst gerapporteerde snelheden in labo-omstandigheden 15 megabyte per seconde, voor 100km daalt dit tot 240 bits per seconde. Een opstelling waarbij effectief 30km geografische afstand – dus niet enkel een opgerolde glasvezelkabel in een labo – overbrugd werd, haalde 6000 bits per seconde. De eerder vermeldde testopstelling in China over een lengte van 1002km optische vezel had een snelheid van 0.0034 bits per seconde. Het zou in dat laatste geval dus 21 uur duren om een sleutel van 256 bit af te spreken. Bemerk wel dat doorgaans geen extreem hoge debieten vereist zijn, gezien – zoals eerder vermeld – enkel de sleutel via dit kanaal afgesproken wordt, terwijl de eigenlijke uitwisseling van vercijferde data over een klassiek kanaal plaatsvindt.

Om langere afstanden te overbruggen zijn vandaag vertrouwde knooppunten (trusted nodes) nodig. Ook satellieten zijn vandaag trusted nodes. Trusted nodes hebben in principe toegang tot de afgesproken sleutels en vormen daardoor een ernstig veiligheidsrisico. Op termijn zouden quantum repeaters een uitweg kunnen bieden, maar deze bevinden zich in de fase van fundamenteel onderzoek en er is nog geen sprake van een praktische toepasbaarheid.

Denial-of-service

Afluisteren, of om het even welke interferentie, van het kwantumkanaal resulteert de facto in de onmogelijkheid om sleutels af te spreken. Zowel bij (exclusief toegekende) glasvezelverbinding als satellietverbinding kan niet zomaar een andere route gekozen worden om de interferentie te omzeilen. Wanneer het QKD protocol over een exclusieve glasvezelverbinding uitgevoerd wordt, hebben we, in tegenstelling tot hedendaagse communicatie, bij kabelbreuk geen alternatieve wegen.

Authenticatie

QKD detecteert enkel passieve (afluisterende) aanvallers (al moeten we ook daarvoor opletten). Een man in the middle (actieve aanvaller) is nog steeds mogelijk: Als Alice en Bob met elkaar een QKD protocol willen uitvoeren is het mogelijk dat ze het QKD protocol onbewust niet met elkaar, maar elk met Charlie (Man in the Middle) uitvoeren. Zo komt Charlie de sleutels te weten waarmee Bob en Alice hun berichten vercijferen. Indien Charlie zich ook als man in the middle kan positioneren bij de eigenlijke datacommunicatie, kan hij alle vercijferde communicatie onderscheppen en ontcijferen. Dit wordt geïllustreerd in onderstaande figuur. Hoewel dit een onwaarschijnlijk scenario lijkt, is het onaanvaardbaar vanuit cryptografisch perspectief. Entity authenticatie is bijgevolg onontbeerlijk.

Een eerste manier om dit te realiseren is door middel van Message Authentication Codes (MACs). Elk verstuurd bericht zou een tag (code) bevatten die enkel gecreëerd en geverifieerd kan worden m.b.v. een op voorhand gedeelde sleutel. Dan is de vraag uiteraard hoe we ervoor zorgen dat beide partijen een niet al te oude sleutel met elkaar kunnen delen. Als we toch al een geheime sleutel op voorhand delen, wordt het voordeel van QKD – wat net tot doel heeft een sleutel af te spreken – minder helder.

Een tweede wijze om tot een geauthentiseerd kanaal te komen is door de uitgewisselde berichten digitaal te ondertekenen m.b.v. een kwantumresistent schema voor digitale handtekeningen. Een dergelijk schema steunt dan toch weer op wiskundige aannames waar QKD vanaf wou raken.

Samengevat is QKD geen oplossing op zich, maar heeft het nood aan ondersteuning door technologieën voor authenticatie. Bestaande technologieën daarvoor zijn digitale handtekeningen en MAC’s, maar misschien vindt men op termijn wel andere, meer geschikte benaderingen.

Maturiteit

De recentelijk gepubliceerde position paper geeft verder aan dat QKD technologie vandaag onvoldoende volwassen is voor praktische use cases. Daarbij wordt verwezen naar het gebrek aan standaarden en nog steeds onvoldoende ontwikkelde veiligheidsbewijzen. Om te vermijden dat er allerlei kwetsbaarheden sluipen in de QKD toestellen is er nog werk aan de winkel om te komen tot rigoureuze evaluatieprocedures en certificering.

Conclusies

QKD is een boeiende technologie, maar om het ook in de praktijk inzetbaar te maken zullen de huidige tekortkomingen aangepakt moeten worden. In welke mate dit zal slagen is voorlopig koffiedik kijken. In elk geval zal daarvoor nog heel wat onderzoek nodig zijn.  

Los van een aantal niche use cases is het wijs om vandaag en in de nabije toekomst een beroep te doen op publieke sleutelcryptografie om sleutels af te spreken. Daarvoor hebben we geen speciale hardware, satellieten of exclusieve glasvezelconnecties nodig. Ook kwantumresistente publieke sleutelcryptografie, dat i.t.t. QKD voor meer ingezet kan worden dan enkel het afspreken van sleutels, wordt immers uitgevoerd op klassieke computers.

De position paper besluit dan ook als volgt:

In light of the urgent need to stop relying only on quantum-vulnerable public-key cryptography for key establishment, the clear priority should therefore be the migration to post-quantum cryptography in hybrid solutions with traditional symmetric keying or classically secure public-key cryptography.

Ook de Amerikaanse inlichtingendienst, de NSA, schreef in 2021:

NSA does not consider QKD a practical security solution for protecting national security information

Samengevat is QKD een technologie die verder onderzocht moet worden, maar waarvan de praktische bruikbaarheid te ver in de toekomst ligt om vandaag relevant te zijn voor Smals en haar leden.

---

Dit is een ingezonden bijdrage van Kristof Verslype, cryptograaf bij Smals Research. Het werd geschreven in eigen naam en neemt geen standpunt in namens Smals.