Kwantumcomputers zijn gevaarlijk voor onze privacy, maar niet hoe je denkt

Elke vijf jaar komen hackers, cybersecurityprofessionals en techneuten samen op Haxpo, een hackerconferentie in Amsterdam. Amateur- en professionele hackers bespreken er actuele problemen in de wereld van cybersecurity, en laten hun vaardigheden zien door verschillende uitdagingen aan te gaan, zoals RFID-beveiligingskaarten kopiëren, kwetsbaarheden in medische dossiersystemen blootleggen en auto’s hacken. Ik was bij de afgelopen editie, in de Beurs van Berlage in Amsterdam. Tussen alle dolende Facebook-recruiters en hackers die snel codes aan het typen waren, sprak ik met Philip Zimmermann, een belangrijke cryptograaf die gespecialiseerd is in post-kwantumcryptografie.

In 1991 ontwikkelde Zimmermann de encryptiesoftware PGP (Pretty Good Privacy), een baanbrekende methode om e-mails te versleutelen die tot op de dag van vandaag op grote schaal wordt gebruikt. Tegenwoordig werkt hij samen met andere cryptografen om toekomstig internetverkeer te beschermen tegen mogelijke aanvallen van kwantumcomputers. Al zouden we ons volgens Zimmermann minder zorgen moeten maken over de veiligheid van ons toekomstige internetverkeer, en juist meer over die van het verkeer uit het verleden. Maar daarover later meer.

Terwijl de huidige computers rekenen met bits (een eenheid van informatie die wordt aangeduid met 1 of 0), gebruikt een kwantumcomputer qubits, die vanwege de wetten van de kwantummechanica tegelijkertijd 1 en 0 kunnen zijn – dat wordt superpositie genoemd. Daardoor kunnen kwantumcomputers complexe wiskundige problemen oplossen waarvan een normale computer zich eindeloos achter de oren zou krabben. En dat is een probleem voor cryptografen.

Een van de meest voorkomende versleutelingssystemen is op dit moment asymmetrische cryptografie, ook wel bekend als publieke-sleutelcryptografie. Dit systeem maakt gebruik van eenrichtingsfuncties: wiskundige problemen die in wezen makkelijk te berekenen zijn, maar moeilijk om om te draaien, zoals ontbinden in priemfactoren. Als we simpele priemgetallen nemen (getallen die alleen door 1 of zichzelf kunnen worden gedeeld, zoals 13) en een normale computer vragen om die met elkaar te vermenigvuldigen, krijgen we onmiddellijk het resultaat. Maar als we een computer een extreem groot priemgetal geven en hem vragen om de originele priemfactoren die dit getal gecreëerd hebben te geven, dan zouden we langer moeten wachten. Waarschijnlijk langer dan het universum überhaupt bestaat.

Kwantumcomputers kunnen het ontbinden in priemfactoren echter binnen milliseconden oplossen, met behulp van een kwantumalgoritme dat het algoritme van Shor heet. Daarom proberen Zimmermann en andere cryptografen nieuwe post-kwantumversleutelingen te maken, die bestand zijn tegen het algoritme van Shor.

“Er zijn ook andere publieke-sleutelalgoritmes, die niet gebaseerd zijn op het discrete logaritme [een andere veelgebruikte cryptografiektechniek, red.] of het ontbinden van priemfactoren,” zegt Zimmermann. “Met andere woorden: er zijn nog steeds wiskundige problemen resistent tegen het algoritme van Shor.”

Welke dan zoal? Een van de alternatieve technieken die Zimmermann voorstelt is op roosters gebaseerde cryptografie. Een rooster is in wezen een raster van vectoren (coördinaten of punten), dat oneindig groot kan zijn. Deze roosters worden gemaakt met een basis, oftewel een reeks vectoren die alle andere vectoren in het raster genereren. Je kunt een basis zien als een zaadje dat zich ontwikkelt tot een boom, met verschillende bases die verschillende roosters creëren.

Vervolgens kun je een computer een rooster en een reeks vectoren geven die zich ver van het midden van het raster bevinden, en hem vragen om vectoren dicht bij het midden te vinden. Zelfs voor kwantumcomputers is het heel moeilijk om efficiënt de juiste combinatie van basisvectoren te vinden, zodat de weg van de rand naar het midden van het raster kan worden afgelegd.

Dat klinkt dus veelbelovend. Maar hoewel op roosters gebaseerde cryptografie een van de populairste technieken is in de post-kwantumcryptografie, zijn er ook nog genoeg cryptografen die voor andere methodes pleiten. Daarnaast moeten alle technieken drie keer gecheckt worden om hun veiligheid te garanderen. Daarom deed het Amerikaanse National Institute of Standards and Technology (NIST) een paar jaar geleden een oproep aan cryptografen om algoritmes uit te vinden die aanvallen van kwantumcomputers kunnen weerstaan. Bij de eerste ronde in 2017 werden 69 voorstellen ingediend, waarvan er afgelopen januari 26 zijn geselecteerd om te worden ontwikkeld. De tweede ronde is inmiddels ook ingegaan, en de derde zal waarschijnlijk binnen anderhalf jaar volgen.

Nu wetenschappers en cryptografen aan het racen zijn om erachter te komen wat de beste manier is om het toekomstige internetverkeer te versleutelen, bestaat er een kans dat het verkeer uit het verleden achterwege blijft en dus gemakkelijk te ontsleutelen wordt – vooral door inlichtingendiensten. Nadat Edward Snowden en andere klokkenluiders documenten aan de wereld onthulden, werd duidelijk dat zowel binnenlandse als buitenlandse inlichtingendiensten persoonlijk verkeer onderschepten. Hoewel sommige landen wetten hebben die deze informatie beperkt houdbaar maken (de AIVD moet bijvoorbeeld na drie jaar alle verzamelde gegevens vernietigen), hebben andere landen, zoals het Verenigd Koninkrijk en Frankrijk, niet zulke strenge regels. De DGSE in Frankrijk mag bijvoorbeeld versleutelde gegevens twaalf jaar bewaren, en in sommige gevallen nog langer.

Hoewel deze versleutelde gegevens nu nog wartaal zijn, kan dat met kwantumcomputers binnenkort anders zijn. Dat noemt Zimmermann het ‘archiveer vandaag, analyseer morgen’-probleem. In andere woorden: wat in het verleden beschermd was, is dat mogelijk niet in de toekomst.

Dit kan ertoe leiden dat inlichtingendiensten in de toekomst nog verder binnendringen in ons persoonlijke verkeer en onze persoonlijke communicatie. In die zin vormen kwantumcomputers een grote bedreiging voor onze privacy. Inlichtingendiensten krijgen mogelijk ongekende toegang tot gegevens die voorheen ontoegankelijk waren.

In de loop van mijn gesprek met Zimmermann werd duidelijk dat hij veel meer is dan alleen een cryptograaf – hij is ook een activist. In de jaren tachtig en negentig was Zimmermann ook op wereldwijde schaal betrokken bij de vredesbeweging. Zijn PGP werd overal ter wereld door mensenrechtenorganisaties gebruikt om toezicht van onderdrukkende regimes te ontlopen. Later werd er zelfs een strafrechtelijk onderzoek naar hem geopend, omdat hij de technologie verspreid had.

Het lijkt erop dat Zimmermann net zo bezorgd is over de ethiek van zijn vakgebied als de technologie an sich. En op deze conferentie, die altijd twee stappen vooruit lijkt te lopen op het publieke bewustzijn en de wetgeving, voelde deze reflectie verfrissend en noodzakelijk. Maar ik was nog wel benieuwd naar zijn eigen oplossing voor het ‘archiveer vandaag, analyseer morgen’-probleem.

“We moeten natuurlijk wetten aannemen die inlichtendiensten dwingen om de verzamelde gegevens te vernietigen,” zegt hij. “Maar het gaat om meer dan dat. Op een fundamenteel niveau zou het niet de taak van buitenlandse inlichtingendiensten moeten zijn om hun eigen burgers te bespioneren. We mogen wel wat meer verwachten.”