Aftellen naar Q-day, de dag dat de wereld in zijn hemd staat

Het is een klassieke nachtmerrie: je loopt op straat en ineens merk je dat je poedelnaakt bent. Dit gevoel van kwetsbaarheid – aldus dromenduiders – hangt de hele mensheid boven het hoofd. Dat is te danken aan de quantumcomputer, die korte metten maakt met gangbare encryptie.

Quantumcomputers zijn nu nog experimentele apparaten, wankel bovendien, maar over tien of vijftien jaar zou het zomaar ‘Q-Day’ kunnen zijn. Een horrorscenario: in één klap is elk beveiligd document, elke versleutelde conversatie publiek geheim.

Al in de jaren negentig waarschuwden wetenschappers voor deze digitale zondvloed. Het leek een theoretisch probleem, als een millenniumbug zonder deadline. Toch schoot afgelopen maand het gebruik van PQ – ‘post-quantum’ – versleuteling omhoog. Wat is er aan de hand?

De wereld hangt aan elkaar van encryptie, voor je telefoongesprekken, chatberichten, banktransacties of opslag van medische gegevens. Ook de communicatie via satellieten of de bediening van bruggen en sluizen is versleuteld.

Veel van de huidige cryptografie is gebaseerd op wiskundige problemen met gigantische priemgetallen waar zelfs een supercomputer geen raad mee weet. Een quantumcomputer heeft daar minder moeite mee, omdat die informatie opslaat in qubits. De waarde van zo’n qubit kan behalve 0 of 1 (zoals in de klassieke binaire computer) ook een onzekere factor zijn: 0 of 1, of een mix van beide. Door die extra opties kan een quantumcomputer sommige wiskundige berekeningen veel sneller uitvoeren – bijvoorbeeld ontbinden in priemfactoren.

Vergelijk het met de populaire kennisquiz 2 voor 12: de ‘ouderwetse’ computer is een kandidaat die het antwoord opzoekt door pagina voor pagina een boek te lezen. Dat duurt uren. De quantumcomputer lijkt op de kandidaat die eerst de index raadpleegt en dan meteen naar de oplossing bladert. Tingelingeling – stop de tijd.

Auto’s hacken

Gelukkig zijn er sommetjes waar ook qubits zich op stukbijten. Zoals de latticevergelijking, die zoekt naar verbindingen tussen punten in een wiskundig rooster van honderden dimensies. Om koppijn van te krijgen, ook voor een quantumbrein. Het Amerikaanse NIST-instituut startte in 2016 een competitie om de beste ingrediënten te verzamelen waarmee instanties en webbedrijven hun versleuteling kunnen upgraden. Er doen veel Europese wetenschappers mee aan de competitie – er is zelfs een bijdrage van de Chinese Tsinghua Universiteit.

Vorige maand riep NIST drie nieuwe encryptiealgoritmes uit tot standaard bouwstenen voor versleuteling en Nederland doet daarbij een belangrijke duit in het zakje. Andreas Hülsing en Tanja Lange van de faculteit Mathematics and Computer Science van de Technische Universiteit Eindhoven, ontwikkelden een methode om veilig documenten te ondertekenen en te controleren of de afzender en diens data te vertrouwen zijn. Zo kun je een verbinding opzetten die zelfs niet door een quantumcomputer te hacken is. Hülsing: „Je moet er niet aan denken dat een auto die op afstand software ontvangt, opeens gesaboteerd kan worden.”

Dat is een van de redenen waarom ook de Nederlandse chipfabrikant NXP meewerkt aan de NIST-competitie: de chips in zelfrijdende auto’s moeten quantumproof zijn.

Bij een auto kun je de hardware eventueel nog upgraden, bij satellieten die in de ruimte zweven niet. Die worden nu met duizenden tegelijk in een baan om de aarde gebracht, voor Starlink en andere communicatienetwerken. Volgens Hülsing is het mogelijk om de software quantumproof te maken, mits de processors in zo’n satelliet overweg kunnen met nieuwe ‘sleutels’ van enkele kilobytes, in plaats van tientallen bytes.

Kreukelzone

De nieuwe encryptiealgoritmes vergen niet zozeer meer rekenkracht, maar gebruiken wel grotere ‘datablokken’. Waarom? Tanja Lange vergelijkt het met de vederlichte auto’s uit de jaren zestig, die geen buffers of kreukelzones hadden. Een moderne auto moet aan strenge veiligheidseisen voldoen, en is daardoor groter en zwaarder dan een deux-chevauxtje.

De dag van digitale zondvloed nadert: de Amerikaanse geheime dienst wil daarom voor 2035 quantumproof zijn

Lange noemt zichzelf een ‘post-quantumhipster’ en zag de interesse voor het cryptografieprobleem groeien tijdens haar carrière: „Op de eerste post-quantumconferenties in 2006 kwamen veertig mensen af, nu zijn het er vaak vierhonderd.”

Door de snelle vorderingen op het gebied van quantumcomputers wordt het cryptografieprobleem reëel, want de rekenkracht groeit exponentieel met elke extra qubit. Googles quantumcomputer van zeventig qubits is in staat om in seconden een taak uit te voeren waar een gangbare supercomputer 47 jaar over zou doen.

De qubits produceren nog veel ruis – als een slecht afgestelde radio – en dat maakt zo’n systeem minder robuust. Om toch kaas te maken van de berekeningen, heb je veel extra qubits nodig, als foutcorrectie. Techbedrijf IBM rekent op een systeem, ‘BlueJay’, met tweeduizend qubits, in 2033.

Q-Day komt snel dichterbij, maar eigenlijk zijn we volgens Andreas Hülsing al te laat. Want alle versleutelde data die al gekopieerd of gestolen zijn – denk aan geheime diensten die massaal kabels aftappen – zijn nu nog onleesbaar, maar kunnen straks ontcijferd worden.

De quantumrace is daarom voer voor spionnen. De Amerikaanse veiligheidsdienst NSA wil voor 2035 quantum-proof zijn. Ook de EU eist dat landen een plan bedenken om staatsgeheimen en gegevens van burgers te beschermen. De Nederlandse overheid werkt eraan met TNO, net als de AIVD.

De browsers stappen over

Nieuwe encryptie invoeren is tijdrovend, maar het standaardiseren door NIST heeft al wel effect. Cloudflare, het bedrijf dat het dataverkeer afhandelt voor 20 procent van alle websites, zag het gebruik van quantumproof encryptie snel stijgen. „In het voorjaar was nog maar 2 procent van het webverkeer quantumproof, nu 17 procent”, zegt Bas Westerbaan, quantumexpert bij Cloudflare. Tegen het einde van dit jaar, denkt hij, is een kwart van het webverkeer ‘PQ-Ready’.

Chatapp Signal is al zover en ook browsers stappen over. Google heeft de desktopversie van Chrome inmiddels aangepast en daarmee zijn ook de van Chrome afgeleide browsers, zoals Edge, Brave en Opera, bij de les. De mobiele versie van Chrome volgt later; misschien zijn de softwareontwikkelaars nog huiverig voor het dataverbruik of de belasting van de processor.

De extra rekenkracht is te verwaarlozen, zegt Westerbaan. „Sommige quantumalgoritmes zijn zelfs efficiënter dan huidige cryptografie, maar ze worden nu nog als extraatje toegevoegd.” Het kost je dus misschien een paar minuten batterijduur, en een paar extra kilobytes op je onbeperkte data-abonnement. Maar dat is een kleine prijs om te voorkomen dat je straks, op Q-Day, in je hemd staat.