Standaardisatie is cruciaal voor interoperabiliteit en veiligheid. Om verschillende apparaten van verschillende fabrikanten, die door verschillende mensen worden gebruikt, veilig met elkaar te laten communiceren, moeten er afspraken worden gemaakt over de communicatiemiddelen. Zonder standaardisatie zou er chaos ontstaan; stel je voor dat elke persoon in een stad zijn eigen verkeersregels hanteert.
Introductie
De fundamentele elementen die de beveiligingsfuncties ondersteunen die standaardisatie noodzakelijk maken, bestaan voornamelijk uit cryptografische primitieven, waaronder veelgebruikte algoritmen zoals de Advanced Encryption Standard (AES), Secure Hash Algorithm (SHA), RSA (PKCS #1) en het Elliptic-Curve Digital Signature Algorithm (ECDSA). De opkomst van quantumcomputers heeft er echter toe geleid dat deze gevestigde standaarden niet langer het vereiste beveiligingsniveau bieden.
Belangrijke standaardisatie-instellingen zoals het National Institute of Standards and Technology (NIST) in de VS of het Duitse Bundesamt für Informationsschutz (BSI) spelen in deze context een cruciale rol. Deze instanties houden rekening met verschillende factoren, zoals use cases, te beschermen activa, ontwikkelingen in wiskundig onderzoek naar cryptografische kwetsbaarheden en verwachte verbeteringen in rekencapaciteit. Vervolgens bevelen ze algoritmen aan die zijn afgestemd op specifieke doeleinden voor de komende 10, 15 en 20 jaar. De uitdaging ligt in het bepalen van de juiste sleutellengtes, aangezien grotere cryptografische sleutels de rekenbeveiliging verbeteren, maar de prestaties en bandbreedte kunnen beïnvloeden. Kleinere sleutels daarentegen zijn sneller, maar kunnen de beveiliging in gevaar brengen.
Hoe is PQC-standaardisatie begonnen?
De oorsprong van de reis is terug te voeren op de versnelde vooruitgang in kwantumonderzoek, die zowel de academische als de industriële gemeenschap ertoe aanzette zich te verdiepen in de potentiële computationele voordelen van kwantumcomputers. Tegelijkertijd groeide het bewustzijn van de potentiële bedreigingen die kwantumcomputers vormden voor moderne cryptografie met openbare sleutels. Als reactie hierop richtte de academische gemeenschap een speciaal platform op voor onderzoek naar post-kwantumcryptografie, Met PQCrypto 2006 in Leuven, België, als eerste evenement. De toenemende academische aandacht voor dit onderwerp en de snelle ontwikkelingen in quantum computing leidden tot een collectieve erkenning van de noodzaak om cryptografische algoritmen te standaardiseren die bestand zijn tegen quantumdreigingen.
Dustin Moody van NIST gaf een cruciale presentatie getiteld "Post-Quantum Cryptography: NIST's Plan for the Future" en onthulde in februari 2016 tijdens de post-quantum cryptografieconferentie een uitgebreid plan voor een standaardisatieproces. Het beoogde resultaat was de identificatie van 'winnende' algoritmen die zouden worden opgenomen in een gestandaardiseerd raamwerk. Deze visie werd werkelijkheid in december 2016 met een formele oproep tot het indienen van voorstellen. Ongeveer een jaar later was de respons groot, met 69 inzendingen die als 'volledig en correct' werden beschouwd voor cryptografische functionaliteiten, waaronder encryptie met openbare sleutels, sleutelinkapselingsmechanismen (KEM's) en digitale handtekeningen.
Bekendmaking van de winnaars in juli 2022
Na een uitgebreid proces dat bijna zes jaar duurde, sloot NIST in juli 2022 zijn standaardisatiewedstrijd voor post-kwantumcryptografie af en maakte de eerste winnaars bekend. De selectie werd bepaald door uitstekende prestaties, beheersbare sleutelgroottes en het vertrouwen van NIST in zijn duurzame beveiligingscapaciteiten.
Wat betreft digitale handtekeningen, is CRYSTALS-Dilithium de belangrijkste winnaar. Dit is een ander op roosters gebaseerd schema dat door NIST wordt aanbevolen voor algemeen gebruik. Het eenvoudige ontwerp maakt een veilige (ingebedde) implementatie mogelijk. NIST erkende ook twee andere schema's: Falcon, erkend vanwege de minimale grootte van de handtekening en de publieke sleutel, ideaal voor toepassingen in internetprotocollen, en de conservatieve optie, SPHINCS+, bekend om zijn goed begrepen beveiliging, ondanks dat het qua prestaties en grootte achterblijft bij CRYSTALS-Dilithium en Falcon. CRYSTALS-Dilithium heeft met name voorrang bij standaardisatie en is door NXP al geprezen als een veelbelovende kandidaat, wat blijkt uit een proof-of-concept voor veilige boot op de automotive S32G-processor in samenwerking met Blackberry.
De nieuwe PQC-algoritmen van NIST
Naarmate quantumcomputers zich verder ontwikkelen, vormen ze een ernstig risico voor traditionele encryptiemethoden. Om dit tegen te gaan, heeft NIST een aantal nieuwe technologieën ontwikkeld. Post-kwantumcryptografie (PQC) normen sinds 2016. In augustus 2023 publiceerde NIST Initial Public Drafts (IPD's) van drie PQC-algoritmen en nodigde de industrie uit om feedback te geven om deze verder te verfijnen. Na voltooiing van de vierde standaardisatieronde werden de definitieve versies officieel vrijgegeven op 13 augustus 2024, met bijgewerkte algoritmenamen.
FIPS203, nu ML-KEM (Module Lattice Key Encapsulation Mechanism) genoemd, is afgeleid van CRYSTALS-Kyber en is ontworpen om gegevens te beveiligen tegen opkomende risico's. Het beschikt over drie parametersets: ML-KEM-512, ML-KEM-768 en ML-KEM-1024, die elk verschillende niveaus van beveiliging en prestaties bieden. ML-KEM-512 biedt een basisbeveiligingsniveau, terwijl ML-KEM-768 verbeterde bescherming biedt voor gevoelige applicaties. ML-KEM-1024, de veiligste variant, is ideaal voor hoge beveiligings- en langetermijnversleutelingsbehoeften. Deze parametersets variëren in sleutel- en cijfertekstgroottes, waardoor organisaties een optimale balans tussen beveiliging en efficiëntie kunnen kiezen. ML-KEM zal een sleutelrol spelen in TLS-protocollen, VPN's en versleutelde berichten, en zorgt voor veilige communicatie tegen kwantumbedreigingen.
FIPS204, omgedoopt tot ML-DSA (Module Lattice Digital Signature Algorithm), is gebaseerd op CRYSTALS-Dilithium en wordt gebruikt voor digitale handtekeningen. Dit algoritme versterkt identiteitsverificatie en data-integriteit, waardoor het een betrouwbare opvolger is van RSA en ECDSA. Door FIPS 204 te volgen, kunnen organisaties digitale handtekeningen betrouwbaar genereren en valideren, waardoor ongeautoriseerde wijzigingen worden voorkomen. Bovendien bevordert de standaard de interoperabiliteit, waardoor naadloze integratie tussen diverse platformen en systemen mogelijk is. Dit maakt het met name geschikt voor digitale certificaten, softwareondertekening, beveiligde e-mailcommunicatie en authenticatiesystemen.
FIPS205, nu SLH-DSA (Stateless Hash-Based Digital Signature Algorithm) genoemd, is gebaseerd op SPHINCS+ en introduceert een stateless benadering van digitale handtekeningen. Dit elimineert beveiligingsrisico's die gepaard gaan met statusbeheer en vermindert de kwetsbaarheid voor aanvallen. Het maakt gebruik van hashfuncties voor data-integriteit en pseudo-willekeurige functies (PRF's) om onvoorspelbaarheid bij het genereren van sleutels te garanderen. FIPS 205 versterkt de beveiliging door nieuwe adrestypen te introduceren voor verbeterde sleutelverwerking en door SHA-256 te vervangen door SHA-512 in cryptografische sleutelfuncties om eerdere zwakke punten aan te pakken.
Bovendien bevat het mitigatiestrategieën tegen aanvallen op meerdere doelwitten, waardoor het veerkrachtiger is. De standaard selecteert zorgvuldig 12 van de 36 parametersets om de beveiliging en efficiëntie te optimaliseren. SLH-DSA is met name geschikt voor firmware-updates, blockchaintoepassingen en de beveiliging van kritieke infrastructuur, waar langdurige bescherming essentieel is.
Deze definitieve PQC-normen vormen een belangrijke stap in de richting van het beveiligen van digitale communicatie tegen kwantumdreigingen. Organisaties in de financiële wereld, gezondheidszorg, defensie en cloudcomputing moeten overstappen op kwantumbestendige encryptie om gevoelige gegevens voor de toekomst te beschermen. Met de snelle vooruitgang van kwantumcomputing is aanpassing aan deze nieuwe cryptografische technieken nu eerder een noodzaak dan een optie.
Afkeuring van algoritmen
In 2024 publiceerde NIST een eerste openbare versie (IPD) van NIST-IR 8547, die een gestructureerd stappenplan schetst voor de overgang naar post-kwantumcryptografie (PQC)-standaarden. De richtlijnen bieden een gefaseerde aanpak om federale instanties, industrieën en standaardisatieorganisaties te helpen hun cryptografische infrastructuur tijdig en efficiënt over te zetten.
Een cruciaal aspect van het rapport is de lijst met verouderde cryptografische algoritmen die binnenkort zullen worden verouderd en uiteindelijk niet meer worden toegestaan. Organisaties die afhankelijk zijn van deze algoritmen, moeten hun cryptografische afhankelijkheden beoordelen en upgrades plannen naar door NIST goedgekeurde PQC-standaarden zoals ML-KEM (FIPS 203), ML-DSA (FIPS 204) en SLH-DSA (FIPS 205). Het transitieplan legt de nadruk op interoperabiliteit, beveiligingsvalidatie en compliance-eisen, om een gecoördineerde overgang naar een kwantumveilige cryptografische toekomst tegen 2035 te garanderen.
Hieronder worden enkele hoogtepunten uit het rapport genoemd:
| Familie van digitale handtekeningalgoritmen | Kenmerken | Overgang |
|---|---|---|
| ECDSA [FIPS186] | 112 bits beveiligingssterkte | Verouderd na 2030, niet meer toegestaan na 2035 |
| ≥ 128 bits beveiligingssterkte | Niet meer toegestaan na 2035 | |
| EdDSA [FIPS186] | ≥ 128 bits beveiligingssterkte | Niet meer toegestaan na 2035 |
| RSA [FIPS186] | 112 bits beveiligingssterkte | Verouderd na 2030, niet meer toegestaan na 2035 |
| ≥ 128 bits beveiligingssterkte | Niet meer toegestaan na 2035 |
| Cijfer blokkeren | Parametersets | Veiligheidssterkte | Beveiligingscategorie |
|---|---|---|---|
| AES [FIPS197] | AES-128 | 128 beetjes | 1 |
| AES-192 | 192 beetjes | 3 | |
| AES-256 | 256 beetjes | 5 |
| Sleutelvestigingsregeling | Kenmerken | Overgang |
|---|---|---|
| Eindige veld DH en MQV [SP80056A] | 112 bits beveiligingssterkte | Verouderd na 2030, niet meer toegestaan na 2035 |
| ≥ 128 bits beveiligingssterkte | Niet meer toegestaan na 2035 | |
| Elliptische curve DH en MQC [SP80056A] | 112 bits beveiligingssterkte | Verouderd na 2030, niet meer toegestaan na 2035 |
| ≥ 128 bits beveiligingssterkte | Niet meer toegestaan na 2035 | |
| RSA [SP80056B] | 112 bits beveiligingssterkte | Verouderd na 2030, niet meer toegestaan na 2035 |
| ≥ 128 bits beveiligingssterkte | Niet meer toegestaan na 2035 |
NIST moedigt de vroege implementatie van PQC-algoritmen in een hybride modus met klassieke cryptografie aan om een soepele en veilige overgang te garanderen. Organisaties zouden nu al moeten beginnen met het beoordelen van systeemcompatibiliteit, cryptografische afhankelijkheden en implementatie-uitdagingen om beveiligingsrisico's te voorkomen naarmate quantumcomputing zich verder ontwikkelt.
Conclusie
Tot slot, de reis naar post-kwantumcryptografie onderstreept het cruciale belang van standaardisatie om interoperabiliteit en veiligheid te waarborgen. Omdat quantumcomputers een bedreiging vormen voor gevestigde cryptografische standaarden, worden de inspanningen van instellingen zoals NIST en de Duitse BSI cruciaal om deze veranderende wereld te navigeren. Het zorgvuldige selectieproces, dat jaren in beslag neemt en culmineert in de bekendmaking van de winnaars, weerspiegelt de toewijding aan het identificeren van veerkrachtige algoritmen tegen quantumbedreigingen.
De competitie, die is uitgebreid met een vierde ronde, introduceert alternatieve voorstellen en toont de voortdurende aanpassingsvermogen die nodig is in het licht van de vooruitgang in kwantumtechnologie. Terwijl de cryptografische gemeenschap samenwerkt om de toekomst van veilige communicatie te definiëren, blijft de balans tussen veiligheid, prestaties en aanpassingsvermogen voorop staan in de overwegingen voor het post-kwantumtijdperk.
Encryptie Consulting's Adviesdiensten voor post-kwantumcryptografie overbrug de kloof tussen geavanceerde technologie en praktische implementatie. Wij helpen u de kracht van kwantumresistente cryptografie te benutten zonder de risico's.