TNO ontwikkelt proxy die bestaande systemen beschermt tegen 'quantumkraken'
by Olaf van MiltenburgWetenschappelijk instituut TNO heeft een systeem bedacht dat in een netwerkverbinding tussen een bestaand systeem en internet gehangen kan worden en dan de cryptografie kan upgraden. Daarmee kan de data bijvoorbeeld bestand worden tegen kraken door quantumcomputers.
De Advanced Security Proxy moet dienen als een soort crypto-inspecteur, beschrijft TNO. Het systeem analyseert de gebruikte cryptografie. Naast deze passieve functie is er actieve functionaliteit: de ASP kan bepalen dat de cryptografie onveilig is en geen datapakketten meer doorlaten en kan ook een cryptografische laag toevoegen om de beveiliging te verhogen.
"We hebben dit vooral bedacht vanwege de noodzaak voor quantum-safe crypto", vertelt drs. ir. Maran van Heesch aan Tweakers. Zij is bij TNO gespecialiseerd in quantumcryptografie. Met quantum-safe crypto bedoelt van Heesch cryptografie die bestand is tegen algoritmes die kunnen draaien op quantumcomputers. Die quantumalgoritmes kunnen zo het kraken van encryptie exponentieel versnellen. Zo'n computer is er nog niet, maar wetenschappers wereldwijd werken er aan. Encryptie die nu nog ruim voldoende is, kan mogelijk eenvoudig ongedaan gemaakt worden bij de komst van een quantumcomputer. Hoe sneller bescherming tegen quantumkraken grootschalig wordt ingevoerd, hoe beter, vanwege het risico op harvest now, decrypt later.
Cryptografen werken daarom aan algoritmes die bestand zijn tegen kraken door quantumcomputers; onder andere het NIST heeft een project lopen met veelbelovende kandidaten. Dergelijke algoritmen kunnen dan toegevoegd worden aan ASP, legt Van Heesch uit. Zodra het systeem detecteert dat er cryptografie gebruikt wordt die niet quantumresistant is, kan het deze upgraden om het netwerkverkeer te beschermen.
Van Heesch: "ASP werkt met een netwerkkaart die we onder andere met P4 hebben geprogrammeerd, zodat deze geoptimaliseerd is voor het analyseren van netwerkverkeer." P4 is een programmeertaal voor software-defined networking. De naam staat voor Programming Protocol-Independent Packet Processors en is gespecialiseerd in het beschrijven van forwarding planes in netwerkapparatuur. De netwerkkaart is een prototype dat gerealiseerd is met behulp van de Netronome LX SmartNIC, waarbij TNO onder meer gebruikgemaakt heeft van de hardwareoptimalisaties voor aes. "Door middel van deep-packetinspection kan het systeem in detail kijken naar de metadata van de gebruikte cryptografie", zegt Van Heesch. "Het systeem bekijkt de inhoud niet. De chip kan alle klassieke encryptie aan maar is ook voorbereid op quantumsafevarianten."
Het voordeel van het systeem is volgens haar dat organisaties de beveiliging van oudere systemen zo kunnen verbeteren zonder dat ze die systemen zelf hoeven te bewerken. Tegelijkertijd doet TNO onderzoek naar de impact van het quantumveilig maken van vpn op bijvoorbeeld de bandbreedte en benodigde rekenkracht. Hiervoor gebruikt TNO OpenVPN. Nu TNO het concept beschermd heeft met een patent is de bedoeling dat de organisatie ASP samen met andere partijen verder ontwikkelt, zodat de systemen commercieel in te zetten zijn.
Meer over post-quantum cryptografie lees je in het achtergrondartikel De dreiging van quantumcomputers en de noodzaak van resistente encryptie.