Naar de content

De quantumcomputer als bedreiging (en oplossing) voor onze privacy

Nederland krijgt dit jaar het eerste stukje ‘quantuminternet’

Een kleurrijk beeld van een graaf. Ook wel een netwerk genoemd.
Een kleurrijk beeld van een graaf. Ook wel een netwerk genoemd.
flickr.com, NetMapper via CC BY-NC 2.0

De opstomende quantumcomputer kraakt onze internetbeveiliging en binnen afzienbare tijd ligt online informatie op straat. Om dit doemscenario te voorkomen werken wetenschappers aan nieuwe manieren van versleuteling en aan veilige quantumnetwerken.

Een kind schrfijt met een pen op een stuk papier.
Flickr, dotmatchbox via CC BY-SA 2.0

Misschien had je ooit een geheimtaal. Een speciaal door jou ontwikkeld systeem waarmee je een geschreven of gesproken boodschap door elkaar husselde, zodat niemand anders het kon ontcijferen, behalve dan degene voor wie de boodschap bedoeld was.

Terwijl jij na de onofficiële opheffing van je geheime club waarschijnlijk allang bent vergeten hoe jouw sleutelsysteem werkte, drijft de wereld nog steeds op geheimtaal. Ieder berichtje dat je verstuurt, ieder mailtje, elke app die je opent en elke vergadering die je online bijwoont maakt gebruik van een systeem dat ervoor zorgt dat anderen niet zomaar meelezen of -luisteren. Vrijwel alle over het internet verstuurde informatie is versleuteld.

Verschillende protocollen om dat te doen (zoals het RSA-protocol) stammen al uit de jaren 70 en beschermen onze informatie nog altijd. Maar voor hoe lang nog? De kans is namelijk groot dat deze veelgebruikte versleutelingen binnen afzienbare tijd gekraakt worden. Boosdoeners zijn de quantumcomputers die onderzoeksafdelingen van universiteiten en grote technologiebedrijven ontwikkelen. Door slim gebruik te maken van de onnavolgbare wetten van de quantummechanica kan zo’n apparaat wiskundige problemen oplossen waar klassieke computers op vastlopen (zie ook kader De kracht van quantum). Handig voor de wetenschap en de ontwikkeling van medicijnen, maar het maakt onze data-beveiliging onhoudbaar. Die is namelijk gebaseerd op een nauwelijks op te lossen rekensom, die de quantumcomputer wél kan kraken.

Maar je kunt informatie ook anders versleutelen, met wiskunde waar ook de quantumcomputer zijn tanden op stukbijt. De eerste van dit soort beveiligingsprotocollen worden nu gebruikt. Tegelijkertijd bouwen wetenschappers met diezelfde quantumcomputers netwerken die in theorie niet afluisterbaar zijn, hoeveel (quantum)computers je er ook tegenaan gooit. NEMO Kennislink kijkt hoe we onze informatie future proof houden.

Het hart van de quantumcomputer: een circuit waarop verschillende zogenoemde qubits zitten.

UCSB/Michael Fang
De kracht van quantum

Een quantumcomputer maakt gebruik van de vreemde wetten van de quantummechanica, die het gedrag van de allerkleinste deeltjes (zoals elektronen) beschrijven. De wetten stellen bijvoorbeeld dat zo’n deeltje tegelijkertijd linksom en rechtsom kan draaien. Vreemd, maar nog vreemder wordt het wanneer je informatie koppelt aan de draairichting van zo’n zogenoemde qubit (een knipoog naar de bit, de informatie-eenheid van de klassieke computer). Linksom betekent dan bijvoorbeeld ‘0’, rechtsom ‘1’. Doordat de qubit zowel linksom als rechtsom draait bezit hij beide waarden.

Knap nutteloos dus? Opmerkelijk genoeg kunnen deze deeltjes juist helpen om veel berekeningen tegelijk te doen. Daar zijn overigens ingewikkelde apparaten voor nodig, waarin je de deeltjes omvormt tot controleerbare qubits. Ook is aparte software nodig. Werkt dat allemaal naar behoren, dan kun je met een quantumcomputer razendsnel specifieke wiskundeproblemen oplossen en nauwkeurig complexe interacties van bijvoorbeeld moleculen voorspellen.

Quantumresistente cryptografie

Eerst even over de nieuwe quantumbestendige geheimtaal. Om te snappen hoe dat werkt, ontkomen we niet aan een klein lesje versleuteling. Laten we daarvoor teruggaan naar de geheimtaal uit jouw jeugd. Je versleutelt een bericht voor een ontvanger die het bericht kan lezen doordat hij of zij weet hoe je het bericht ontsleutelt. Van tevoren spreek je daarvoor een systeem af. Nu blijkt juist dát een probleem op internet. De ontvanger van jouw bericht is vaak ver weg en niet zelden is er nog nooit contact geweest tussen beide partijen. Hoe spreek je dan een systeem af? Tijd om bij elkaar op de thee te gaan om een sleutel te bedenken is er niet. En het versturen van de sleutel geeft spionnen alsnog de kans om deze te onderscheppen en de boodschap te ontcijferen.

De oplossing die de onderzoekers Whitfield Diffie, Martin Hellman en Ralph Merkle midden jaren 70 bedachten heet asymmetrische versleuteling. Dat werkt niet met één, maar met twee sleutels. Zowel de verzender als de ontvanger heeft twee van die sleutels: een publieke sleutel die iedereen mag zien én een private sleutel die ze voor zichzelf houden. In totaal zijn er dus vier verschillende sleutels die je kan zien als een wachtwoord dat de boodschap op een bepaalde manier verhaspelt.

Het bijzondere van de twee sleutels die ieder bezit, is dat ze wiskundig aan elkaar zijn gekoppeld. Met de ene sleutel (de publieke) kun je boodschap ‘op slot’ doen, met de andere sleutel (de private) kun je hem weer openen. Cruciaal is dat de publieke sleutel niet gebruikt kan worden om de boodschap te openen. Hij werkt in zekere zin maar een kant op. Zie het als een hangslot dat je makkelijk kan dichtklikken, maar niet kan openen, tenzij je over de goede sleutel beschikt.

Zonder op de wiskundige details in te gaan, is dit te illusteren met het volgende voorbeeld. Als Alice een bericht naar Bob wil versturen, dan vraagt ze hem om zijn zogenoemde publieke sleutel (zijn hangslot), waarmee ze haar boodschap versleutelt en verstuurt. De boodschap is onleesbaar geworden, zelfs voor Alice zelf, want niemand (behalve Bob) beschikt over de sleutel die het bericht opent. Alleen Bob kan zijn eigen hangslot openen en zo de ontvangen boodschap lezen.

Eenrichtingswiskunde

Om een sleutel te maken die maar ‘een kant op werkt’ gebruikt het asymmetrische encryptie een wiskundig probleem dat in zekere zin ook maar een kant op werkt. Het is makkelijk uit te rekenen ‘in één richting’, maar andersom nauwelijks op te lossen. Neem de som 2 * 4 = ?. Je kunt de som ook omdraaien: 8 = ? * ?. Het is hierbij niet zo moeilijk om de kloppende oplossing te vinden, zelfs niet bij grote getallen. Maar dat wordt een ander verhaal als het om priemgetallen gaat, getallen die alleen door één en zichzelf deelbaar zijn. Neem 3 * 5 = ?. Een dergelijke som is makkelijk uit te rekenen, zelfs voor erg grote getallen. Maar de som 15 = ? * ? blijkt bij grote getallen voor computers vrijwel onmogelijk op te lossen. Zo’n ‘eenrichtingssom’ vormt het hart van veel versleutelingsprotocollen.

Quantumsleutels

De quantumcomputer kan bovenstaande som wél in beide richtingen oplossen. Het hangslot blijkt dan ineens een cijferslot te zijn met te weinig cijfers… Wiskundigen en informatici werken daarom aan cryptografiestandaarden die bestand zijn tegen quantummechanische aanvallen. Peter Schwabe is een van die onderzoekers. Hij werkt aan de Radboud Universiteit in Nijmegen en kent verschillende soorten wiskundige problemen die óók voor quantumcomputers vrijwel onmogelijk zijn om (snel) op te lossen. Bijvoorbeeld grote sets met (niet-lineaire) vergelijkingen of wiskundige roosters met veel dimensies.

Sommige digitale diensten maken al gebruik van cryptografie die bestand is tegen aanvallen van een quantumcomputer.

Pixabay, Gerd Altmann via CC0

De werkende quantumcomputers in de wereld zijn nog geen rekenwonders, maar dat kan de komende tien tot twintig jaar veranderen. We kunnen daarom beter vroeger dan later beginnen met het gebruiken van dit soort versleutelingen. Er is overigens nog geen garantie voor succes, zegt Schwabe. “Misschien blijkt het straks onmogelijk om een grote quantumcomputer te bouwen”, zegt hij. “Maar ik durf er wel een etentje om te verwedden dat grote onderzoeks- en overheidsinstanties over pakweg twintig jaar quantumcomputers in huis hebben. Uiteindelijk zullen zelfs criminelen er gebruik van kunnen maken. We moeten nu al bedenken hoe we ons daartegen weren.”

Is alle informatie veilig als we dat massaal quantumbestendig gaan versleutelen? Schwabe ziet nog wel problemen. “Je kunt (versleutelde) informatie nu opslaan en wachten totdat je ze in de toekomst kan ontcijferen. Eerder bleek al dat veiligheidsdiensten op grote schaal informatie bewaren”, zegt hij. Ook zijn de gebruikte sleutels doorgaans veel groter en voorziet hij uitdagingen bij chips die ‘verouderen’ en niet quantum proof zijn op het moment dat het erop aankomt. Bijvoorbeeld elektronica in auto’s die relatief lang meegaat en updates krijgt. “Fabrikanten hebben straks een probleem als ze geen veilige verbinding kunnen leggen met hun chips”, aldus Schwabe.

Een veilig quantumnetwerk

Naast nieuwe cryptografie levert de quantummechanica zelf ook handvatten voor veilige communicatie. Zo bouwen Ronald Hanson, hoogleraar quantumfysica van het QuTech-instituut van de Technische Universiteit Delft en collega’s samen met de bedrijven KPN en SURF het eerste stukje zogenoemde quantuminternet van Nederland.

Weliswaar gebruikt dit netwerk glasvezelverbindingen die ook het ‘klassieke’ internetverkeer afhandelen, maar het maakt gebruik van quantummechanische principes waarmee de eerder genoemde Alice en Bob een geheime sleutel afspreken zonder dat iemand anders die te weten komt. Hanson en collega’s doen dit door lichtsignalen van Alice en Bob in een tussenstation zodanig te meten dat ze quantummechanisch met elkaar verknoopt raken. Deze verstrengeling gebruiken Alice en Bob om een sleutel af te spreken, zonder dat iemand daarbij kan, zelfs niet iemand in het tussenstation. Berichten gaan op slot met deze sleutel.

De geplande testverbinding is een bestaande glasvezelverbinding tussen Delft en Den Haag (hemelsbreed ongeveer tien kilometer), met een tussenstation in Rijswijk. Dit jaar staan de eerste tests op de agenda.

Banken en wetenschappers

Maar voor wie bouwen we het quantuminternet? Het verbinden van verschillende quantumcomputers (wat via dit netwerk ook kan) voor wetenschappelijke berekeningen is aantrekkelijk. Hun rekenkracht groeit hiermee exponentieel: de gecombineerde snelheid is groter dan de som van delen. Daarnaast denkt Hanson aan partijen met behoefte aan veilige communicatie, zoals overheden en banken. QuTech werkt al samen met ABN-AMRO om deze technologie te ontwikkelen. Verder zou je informatie die je op een ‘quantumcloudserver’ opslaat beter kunnen afschermen voor de beheerder van die server.

Merkt de ‘gewone man of vrouw op straat’ iets van het quantumnetwerk dat wordt uitgerold? We appen, bellen en streamen er lustig op los. “Ik kan me voorstellen dat je er straks gebruikersinformatie en wachtwoorden mee verstuurt”, zegt Hanson. “Daar merk je niets van, alle quantumtechniek zit onder de motorkap. Vergelijk het met de huidige computers en het internet: je hoeft niet te snappen hoe een transistor werkt om daar gebruik van te maken.”

Het quantuminternet als verdediging tegen de quantumcomputer, het blijft een beetje ironisch. Toch komt de veiligheid ervan – net zoals bij alle andere vormen van cryptografie – aan op de uitvoering, denkt Schwabe. “Onderzoekers claimen vaak honderd procent veiligheid op basis fundamentele natuurkunde”, zegt hij. “Toch is zo’n bewering tricky. Op papier kun je iets bedenken dat fysisch inderdaad helemaal veilig is, maar door de uitvoering in de praktijk kunnen er alsnog achterdeurtjes opduiken. Er zijn al ‘quantumproducten’ geweest die honderd procent veiligheid claimden maar toch gevoelig voor aanvallen van hackers waren.”

Schwabe doelt op een vroeg product van de Zwitserse firma id Quantique dat naar verluidt werd gekraakt door onderzoekers. Dat wil overigens niet zeggen dat het quantumprotocol lek is, benadrukt Hanson. “Dit soort achterdeurtjes waren in principe van tevoren bekend. De fout zat meer in de claim dat die vroege producten al honderd procent veilig waren. Nieuwe generaties beveiliging dichten die achterdeurtjes”, zegt hij.

Begindagen van het (quantum)internet

Waar staat het quantuminternet als je het vergelijkt met het huidige internet? “In oktober 1969 lukte het onderzoekers voor het eerst om over een netwerk met vier computers een bericht uit te wisselen tussen twee computers”, zegt Hanson. Dit zogenoemde ARPANET was een van de eerste netwerken dat gebruikmaakte van zogenoemde IP-adressen, een soort postcode van een computer waar je de informatie aan richt. “Dit is vergelijkbaar met waar wij nu staan. We proberen uit te vinden hoe we het verkeer het best over ons netwerk kunnen sturen”, zegt Hanson.

Hanson denkt dat er in de komende tientallen jaren een hybride netwerk kan ontstaan waarbij klassieke én quantuminformatie door elkaar heen lopen. Misschien zelfs over dezelfde glasvezelkabel, maar dat is onderwerp van onderzoek. Naar de toepassingen wordt gezocht. “Voor de korte termijn – zeg de komende jaren – benaderen we bedrijven om te onderzoeken waar deze technologie voor hen interessant kan zijn. En misschien is dat soms niet zo. We moeten goed kijken naar waar dit voordeel biedt, je gaat geen dingen vervangen die nu al goed werken.”

Hoe snel is het quantuminternet?

De quantumverbinding die Ronald Hanson en collega’s optuigen is nog geen snelheidsmonster. De snelheid is afhankelijk van het tempo waarmee elektronen in de opstellingen in Den Haag en Delft verstrengeld worden. Dat gebeurt met lichtdeeltjes die door het netwerk reizen. Dit lijkt op de experimenten die Hanson en collega’s eerder op de universiteitscampus in Delft deden. In die eerste experimenten lukt het slechts een keer per uur een verstrengeling te maken. Je zou dan een bit (een 1 of een 0) per uur versturen. Door verbeteringen in de techniek komen de onderzoekers op deze (veel langere verbinding) inmiddels op ongeveer een verstrengeling per seconde uit.

Stel, je gebruikt 32 bits om een letter, getal of teken te coderen (zoals in de huidige standaard) dan duurt het via deze opstelling ruim een halve minuut om één letter te versturen. Dit is volgens Hanson overigens prima voor onderzoeksdoeleinden. “Het gaat er hier vooral om dat we dingen doen die nog niet eerder zijn gedaan”, zegt hij.

ReactiesReageer