FE advarer: Virksomheder bør kigge på kvantekryptering

29. januar 2020 kl. 05:0116
FE advarer: Virksomheder bør kigge på kvantekryptering
Illustration: Andreus/CanStockPhotos Inc.
Rettidig omhu: Virksomheder bør allerede nu begynde at sikre deres data, så de også forbliver hemmelige om 10-15 år, hvor kvantecomputere måske vil være i stand til at bryde den nuværende kryptering.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Hvis du eller din virksomhed er mål for en national efterretningstjeneste, skal du vide, at vi har meget stor tålmodighed.«

Sådan lød det fra Mikkel Frimer-Rasmussen, der har titel af Chief Enterprise Architect hos Forsvarets Efterretningstjeneste (FE), da han var indleder på seminaret Quantum cybersecurity - Now! hos revisionsselskabet KPMG.

I meget generelle vendinger talte han om cybersikkerhed og -trusler og brug af kryptering med nøgler genereret på kvantemekanisk vis, såkaldt quantum key distribution eller QKD (se faktaboks).

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
16 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
10. februar 2020 kl. 16:33

Siden internettets fremkomst er vi mennesker blevet mere og mere dovne og efterhånden rigtig dårlige til at risikovurderer vores kommunikation. Pr. definition bør enhver langtidsfølsom kommunikation IKKE sendes digitalt. Forskningsresultater og IPR følsomme emner er som regel (hvis de patenteres) kun følsomme en begrænset periode - og skal derfor kun beskyttes kraftigt i denne periode. Emner som IKKE patenteres eller langtidsbeskyttes på anden vis, MÅ ALDRIG sendes digitalt - og dermed er langtidskryptering (som alligevel kan knækkes) spild af penge

15
4. februar 2020 kl. 20:54

Findes der krypteringsmekanismer og nøglelængder, som både er praktisk anvendelige og resistente overfor dekryptering med kvantecomputere?

Ja. Se:https://www.version2.dk/blog/kryptering-kvantecomputere-1089016

Jeg er enig med FE i, at man er nødt til at tage sine forholdsregler mod kvantecomputere, men QKD og kvantekryptering er efter min bedste overbevisning et fejlskud: Netop fordi man skal have line-of-sight eller en uforstyrret fiber, så bliver det ikke praktisk brugbart. Man vil ikke kunne lave QKD gennem en router, og dermed sætter det voldsomme begrænsninger.

Derimod er PQCrypto relevant at kikke på, og det kræver ikke voldsomme investeringer at opgradere til det.

14
4. februar 2020 kl. 20:25

Puha, jeg håber godt nok ikke at folk her arbejder med sikkerhed der kræver kryptografi.

"da kan man bare vælge AES256 og dele en nøgle" "Løsningen er at aftale en AES256 nøgle og at udveksle den" "Hvorfor skulle man ikke have [en pre-shared key]" "når blot vi på anden forsvarlig vis har delt en nøgle mellem de to endepunkter."

Key distribution er et af de allersværeste problemer at løse på forsvarlig vis. Hvis vi havde sikker og effektiv key distribution, kunne vi ekstrapolere det til unikke one-time-pads, og så var det Game Over for angribere, lige meget hvor vilde kvantecomputere de havde adgang til.

Good on you hvis du har mulighed for at aftale en sikker nøgle på forhånd. Men når den bliver brudt/lækket, kan alt din tidligere kommunikation dekrypteres. Hvis du ikke reelt set har behov for sikkerhed er det lige meget, ellers har du sandsynligvis behov for end-to-end kryptering med ephemeral keys.

13
29. januar 2020 kl. 23:15

Men det har man i praksis ikke.

Der er rigtigt mange steder hvor man starter med at udveksle (transport)nøgler mere eller mindre manuelt, normalt som komponenter.

12
29. januar 2020 kl. 23:04

Det gøres med certifikater

Og her er det næste problem. Et "self-signed" certifikat udsted af "A. And" der bekræfter at "A And" er "A And" er der ikke mange der burde stole på. For at kunne stole på et certifikat, bør det være underskrevet af en "Certifying Authority" også kaldet CA. Og kan du stole på dem?

11
29. januar 2020 kl. 17:06

<em>Men din løsning med en delt nøgle adresserer (så vidt jeg kan gennemskue) ikke det problem de søger at beskytte sig imod - at koder som det vil tage årevis at bryde i dag, vil være relativt nemme at bryde med kvantecomputere i fremtiden.
Findes der krypteringsmekanismer og nøglelængder, som både er praktisk anvendelige og resistente overfor dekryptering med kvantecomputere?</em></p>
<p>Det er generelt kun assymetrisk kryptering der kan brydes med kvantecomputere. Vi bruger kun assymetrisk kryptering til nøleudveksling og signering, ingen af delene skal bruges til en sikker linje når blot vi på anden forsvarlig vis har delt en nøgle mellem de to endepunkter.

Præcist. De mest brugte algoritmer til symmetrisk krypting er nogenlunde resistente overfor quantum-computing. Eksperterne siger at man bare skal doble nøglelængden. Hvis man i dag bruger AES-128 så skal man til AES-256. Og hvis det ikke er nok må man finde noget endnu vildere. Der er nogle stykker at tage af, problemet er bare at de ikke er så fint kryptoanalyseret som AES, men man kan evt. stakke en af dem ovenpå AES.

Asymmetrisk kryptering er derimod i fare. Der er endnu ikke nogen der har en rigtigt god public-key algo der er QC resistent.

10
29. januar 2020 kl. 16:37

Men din løsning med en delt nøgle adresserer (så vidt jeg kan gennemskue) ikke det problem de søger at beskytte sig imod - at koder som det vil tage årevis at bryde i dag, vil være relativt nemme at bryde med kvantecomputere i fremtiden.
Findes der krypteringsmekanismer og nøglelængder, som både er praktisk anvendelige og resistente overfor dekryptering med kvantecomputere?

Det er generelt kun assymetrisk kryptering der kan brydes med kvantecomputere. Vi bruger kun assymetrisk kryptering til nøleudveksling og signering, ingen af delene skal bruges til en sikker linje når blot vi på anden forsvarlig vis har delt en nøgle mellem de to endepunkter.

9
29. januar 2020 kl. 14:49

Man kunne genoptage en version af den praksis der skulle have fandtes under den kolde krig. Her rejste diplomater i pendulfart mellem Moskva og Washington med udskrevne tilfældige bits i sikrede kufferter. Disse var nøgler der blev brugt til one-time pad kryptering. En metode der er ubrydelig - der er bare en xor med tilfældige bits; men som selvfølgelig kræver lige så mange tilfældige nøglebits som der er bits i klarteksten. Helt urealistisk til kryptering af trafik, men muligvis brugbart til udveksling af keys.

PSK er givetvis nemmere og helt sikkert billigere. Men ikke nær så sjovt :)

8
29. januar 2020 kl. 14:27

Medmindre du har en pre-shared key. Men det har man i praksis ikke.

Hvorfor skulle man ikke have det? Husk på at vi snakker quantum-computing her - det er kun virksomheder der er med i spillet. Det handler ikke om VPN til at omgå Netflex geo-restrictions. Det her handler om at koble netværk sammen - det er den type løsninger som KPMG/ID Quantique forsøger at rulle ud.

Jeg synes faktisk at kunne huske at OpenVPN tillader PSK når det er network-to-network (ja ... jeg bruger certificater, selvom jeg lige så godt kunne have brugt PSK).

7
29. januar 2020 kl. 14:08

Nej, ligemeget hvilken protokol du gerne vil bruge, skal du første udveksle en nøgle. Det gøres med certifikater (deraf problemet). Medmindre du har en pre-shared key. Men det har man i praksis ikke.

6
29. januar 2020 kl. 14:00

En sikker forbindelse kræver ikke andet end at man én gang deler en nøgle mellem de to endepunkter. En betragteligt meget simplere foranstaltning end en dedikeret lysleder, og det virker faktisk

Den dedikerede lysleder giver nok også nogle problemer, hvis lokationerne er betydeligt adskilt. Risikoen for brud og vanskeligheder ved at opnå den ønskede kvantetilstand, stiger med ret stor sandsynlighed en del når afstanden er tocifrede kilometertal og opefter.

Det kunne fx være interessant at høre hvad Google, Amazon og FB tænker om den type kryptering mellem deres datacentre

Men din løsning med en delt nøgle adresserer (så vidt jeg kan gennemskue) ikke det problem de søger at beskytte sig imod - at koder som det vil tage årevis at bryde i dag, vil være relativt nemme at bryde med kvantecomputere i fremtiden. Findes der krypteringsmekanismer og nøglelængder, som både er praktisk anvendelige og resistente overfor dekryptering med kvantecomputere?

5
29. januar 2020 kl. 12:43

Er det ikke misvisende at benytte Mærsk ransomware angrebet, som et underforstået eksempel på hvad man kan undgå, ved at kvantekryptere sin netværkstrafik?

Argumentet for kvantekryptering (eller skift til klassiske algoritmer, som ikke pt. lader til at være udsat for svækkelse ved kommerciel skala adgang til kvantecomputing) er at krypteret data, som sendes over et netværk, kan opsnappes relativt let nu, lagres og dekrypteres på et senere tidspunkt når og hvis kommerciel skala kvantecomputing bliver tilgængeligt og til at betale.

I praksis betyder det at alle og enhver allerede idag med en mobiltelefon kan opsamle og lagre rå 3g,4g,5g og wifi trafik, for på et senere tidspunkt måske-måske at dekryptere og læse i klar tekst f.eks. hvad andre har talk privat om via Facebook, Instagram, på mails etc.

Det er selvklart at med så billig lagerplads som vi har idag, så må man forvente at i det mindste trafik fra og til højprofil lokationer allerede optages af en række interessenter, som satser på at kunne dekryptere senere.

4
29. januar 2020 kl. 12:39

Jeg kan ikke se at QKD reelt løser nogen problemer. Et man-in-the-middle agreb kræver blot at man skærer både internetkablet og kvantekablet over, sætter sit eget udstyr på de afskårne ender, og så ellers følger protokollens regler for nøgleudveksling og kopierer al anden data fra den ene forbindelse til den anden.

En sikker forbindelse kræver ikke andet end at man én gang deler en nøgle mellem de to endepunkter. En betragteligt meget simplere foranstaltning end en dedikeret lysleder, og det virker faktisk.

2
29. januar 2020 kl. 11:36

Ja, men du skal lige aftale AES256 nøglen først (og f.eks. med SSL gøres dette med public-key crypto) -> Deraf problemet

1
29. januar 2020 kl. 11:01

Quantum Computing rammer public-key cryptography hårdt, men secret key/symmetrisk kryptering betydeligt mindre.

I situationer hvor man grundlæggende ikke har brug for public-key systemet, da kan man bare vælge AES256 og dele en nøgle (fx. hvis man har en VPN forbindelse mellem to sites behøves ikke certificater for at gøre det sikkert; det samme gælder det meste kryptering af filer). Der behøver man ikke quantum-cryptograhpy.