NIST standaardiseert kwantumveilige cryptografiemethoden

Van competitie naar standaardisatie: drie kwantumveilige cryptografiemethoden zijn nu gestandaardiseerd voor wereldwijd gebruik. Het Amerikaanse National Institute of Standards and Technology (NIST) kondigde dit op 13 augustus 2024 aan. Kwantumveilige cryptografie wordt ook wel post-quantum cryptografie (PQC) genoemd. Léo Ducas van CWI's Cryptologie-groep is mede-ontwerper van de twee belangrijkste PQC-methoden die voor deze standaardisatie zijn geselecteerd. De nieuwe standaarden zijn acht jaar na de aankondiging van de competitie afgerond, en er wordt verwacht dat ze snel wijdverbreid gebruikt gaan worden.

Waarom hebben we kwantumbestendige encryptiemethoden nodig?

De huidige voortuitgang in quantum computing bedreigt de veiligheid van onze digitale communicatie. Klassieke versleutelingsmethoden zijn ontworpen om veilig te zijn tegen aanvallen via bestaande (klassieke) computers. Hun veiligheid hangt af van moeilijke wiskundige taken zoals priemfactorisatie: het opsplitsen van een groot getal in zijn priemfactoren. Als dit door klassieke computers zou worden uitgevoerd, zou dit een immense hoeveelheid energie en tienduizenden jaren vergen. Toekomstige kwantumcomputers kunnen dit soort specifieke wiskundige taken echter zeer efficiënt oplossen, wat betekent dat ze klassieke versleutelingsmethoden in relatief korte tijd zouden kunnen breken. Dit houdt in dat gevoelige gegevens die nu versleuteld worden verzonden of opgeslagen, op een later tijdstip met behulp van een kwantumcomputer kunnen worden onderschept en ontcijferd.

Standaardisatieproces

Om deze risico's te beperken, publiceerde NIST in 2016 zijn Post-Quantum Cryptography Standardization-competitie. Wetenschappers van over de hele wereld dienden voorstellen in voor nieuwe encryptiemethoden en methoden voor digitale handtekeningen, ontworpen om bestand te zijn tegen kwantumaanvallen. De 82 ingediende voorstellen werden in verschillende rondes beoordeeld door de cryptografische onderzoeksgemeenschap. In 2022 werden één encryptiemethode en drie methoden voor digitale handtekeningen gekozen voor standaardisatie: CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+ en FALCON.

Standaarden helpen implementatie

NIST heeft nu de standaarden gepubliceerd met nieuwe officiële namen: CRYSTALS-Kyber (ML-KEM), CRYSTALS-Dilithium (ML-DSA) en SPHINCS+ (SLH-DSA). Een vierde standaard, Falcon (FN-DSA), zal naar verwachting later worden afgerond en de komende jaren zullen nog meer standaarden aan het portfolio worden toegevoegd. Deze standaarden zijn bedoeld om de nieuwe encryptiemethoden soepel te kunnen implementeren in online applicaties, zonder het risico te lopen dat de huidige beveiligingsmaatregelen worden verstoord.

Veel bedrijven hadden het belang van de implementatie van deze nieuwe veilige encryptiemethoden al erkend voordat de normen werden gepubliceerd. De implementatie van CRYSTALS-Kyber is begonnen in 2023 en is geïmplementeerd door 17,1% van de klanten die Cloudflare gebruiken (per 5 augustus 2024, volgens Cloudflare). Dit komt neer op meer dan een half biljoen verbindingen per dag die eindigen bij Cloudflare, beveiligd met PQC. De grootste early adopters zijn diensten zoals iMessage (Apple), Google Chrome, Signal, Zoom en Cloudflare.

Miljarden gebruikers

Samen met internationale collega's van verschillende instellingen (hieronder vermeld), heeft Léo Ducas meegewerkt aan het ontwerp van wat nu de twee belangrijkste standaarden zijn: CRYSTALS-Kyber (ML-KEM) en CRYSTALS-Dilithium (ML-DSA).

Over Léo Ducas

Léo Ducas is een vooraanstaand internationaal expert op het gebied van roostergebaseerde cryptografie. Hij behaalde zijn PhD aan de École Normale Superiéure van Parijs in 2013. Sinds 2015 is hij werkzaam bij de Cryptologiegroep van het Centrum Wiskunde & Informatica (CWI), waar hij in 2019 senior onderzoeker werd. Bij het CWI deed hij het werk aan de kwantumveilige protocollen voor NIST-standaardisatie.

In 2016 ontving Ducas een NWO Veni Grant en - samen met co-auteurs - de USENIX/Facebook Internet Defense Award, en in 2020 ontving hij een ERC-grant voor zijn onderzoek. Sinds 2021 is hij ook parttime hoogleraar Mathematische Cryptologie aan het Mathematisch Instituut van de Universiteit Leiden.

Ducas' werk aan theoretische en praktische aspecten van roostercryptanalyse had een grote invloed op de manier waarop zulke kwantumveilige schema's worden ontworpen en geparametriseerd.

De ontwerpers van CRYSTALS-Kyber en CRYSTALS-Dilithium

Leden van het CRYSTALS-Kyber team worden hieronder aangeduid met 'CK' en die van CRYSTALS-Dilithium met 'CD'.

• Roberto Avanzi, ARM Limited (DE) – CK
• Shi Bai, Florida Atlantic University (US) – CD
• Joppe Bos, NXP Semiconductors (BE) – CK
• Jintai Ding, Tsinghua University (CN) – CK
• Léo Ducas, CWI Amsterdam (NL) & Leiden University (NL) – CD & CK
• Eike Kiltz, Ruhr University Bochum (DE) – CD & CK
• Tancrède Lepoint, Amazon Web Services (US) – CD & CK
• Vadim Lyubashevsky, IBM Research Zurich (CH) – CD & CK
• John M. Schanck, Mozilla (US) – CK
• Peter Schwabe, MPI-SP (DE) & Radboud University (NL) – CD & CK
• Gregor Seiler, IBM Research Zurich (CH) – CD & CK
• Damien Stehle, CryptoLab Inc (FR) – CD & CK

Meer informatie

• CWI’s Cryptologiegroep
• Contactgegevens van prof. Léo Ducas bij het CWI
• PQC-nieuwsbericht van NIST (13 augustus 2024)
• Eerder (Engelstalig) CWI-nieuwsbericht over de NIST PQC-standaarden (2020)
• Centrale webpagina’s van de CRYSTALS-voorstellen
• Artikel uit Nature over de nieuwe PQC standaarden

Illustratie bovenaan deze pagina door Léo Ducas: een 2-dimensionaal rooster, om het geometrische principe te illustreren van op roosters gebaseerde post-kwantumcryptografie.

Met dank aan Maria-Bianca Leonte (Max Planck Institute for Security and Privacy) en Peter Schwabe voor hun input voor deze tekst.