- Met de opkomst van de quantumcomputer, wordt er ook meer duidelijk over de risico’s rond cyberveiligheid die deze machines met zich meebrengen.
- Quantum computing heeft namelijk op papier de kracht om binnen enkele uren veelgebruikte beveiligingsprocotollen te kraken.
- Hoewel de quantumtechnologie pas over enkele jaren echt nuttig inzetbaar zal zijn, moeten we ons volgens experts van IBM nu al beschermen tegen de gevaren.
- Lees ook: Quantumcomputers kunnen desastreus uitpakken voor crypto en alles wat te maken heeft met het gecodeerd versturen van data
Sinds Google eind vorig jaar de Willow-chip aankondigde, staat de wereld van de quantumcomputer in de schijnwerpers. Waarom? Omdat de chip een van de belangrijkste problemen van de technologie oplost en aantoont dat quantum computing binnen afzienbare tijd mogelijk voor meer toepassingen ingezet kan worden. Denk bijvoorbeeld aan het kraken van veel gangbare bekende beveiligingsprotocollen die onze data op het internet veilig houden.
Om maar gelijk met de deur in huis te vallen: dat gaat niet binnen de aankomende vijf jaar gebeuren en wellicht ook niet binnen de aankomende tien jaar. Tenminste, als er niet een onverwachte doorbraak plaatsvindt.
Op dit moment zijn quantumcomputers voornamelijk nog in gebruik voor wetenschappelijke doeleinden. Dit komt doordat de extreem dure en gevoelige machines enorme bakken informatie produceren die niet altijd even goed te vertrouwen is. De data die ze genereren zitten nog vol fouten, waardoor supercomputers nodig zijn om die data te verifiëren en daarmee bruikbaar te maken. Om een quantumcomputer nuttig te maken heb je dus ook nog een supercomputer nodig.
Daarnaast zijn quantumcomputers extreem lastig om draaiende te houden en vereisen ze speciale temperatuurgecontroleerde ruimtes die net boven het absolute nulpunt (ongeveer 0 graden Kelvin of -273 graden Celsius) gehouden worden.
De supercomputer die de data kan interpreteren en verwerken moet ook in de buurt staan en er moet gespecialiseerd personeel zijn om dit alles in goede banen te leiden, bij voorkeur in een lab. Kortom: de inzet van een quantumcomputer is complex en erg duur, waardoor gebruik voor minder legale doeleinden vooralsnog onwaarschijnlijk is.
Op weg naar kantelpunt: wanneer presteert quantumcomputer beter dan reguliere computer?
Toch komt daar in de toekomst verandering in. “Waar we naartoe werken is iets wat ‘quantum advantage’ genoemd wordt. Dat is het punt waarop een quantumcomputer op zichzelf beter kan presteren dan een reguliere computer. Dat punt is nog niet bereikt, door onder andere de hoge foutpercentages die vooralsnog aan quantum verbonden zijn,” zegt Quantum Ambassador Armand Stekelenburg van IBM in een gesprek met Business Insider Nederland. “Wanneer we quantum advantage precies behalen is nog onduidelijk.”
In theorie zou het behalen van dit kantelpunt mogelijk ook het moment zijn dat een quantumcomputer ingezet kan worden om binnen enkele uren veel gebruikte encryptieprotocollen te kraken. Hoewel we mogelijk nog jaren verwijderd zijn van dit punt, betekent dit niet we rustig kunnen afwachten.
“We zien nu al dat bepaalde kwaadwillenden data aan het afvangen zijn die op dit moment met conventionele middelen nog niet gekraakt kunnen worden”, stelt Stekelenburg. “Ze slaan deze data op in de hoop dat ze deze kunnen kraken, als ze beschikking krijgen over een quantumcomputer. En hierbij gaat het niet over jouw of mijn bankgegevens, maar bijvoorbeeld over staatsgeheimen en andere gevoelige data van overheden die voor langere tijd geheim dienen te blijven.”
Nu actie voor problemen die over 15 jaar ontstaan
Stekelenburg stelt dat het risico op het kraken van deze geheimen nog wel 15 jaar op zich kan laten wachten. Toch geeft dit opkomende probleem aan dat er nu al actie ondernomen moet worden.
Het is daarbij logisch dat je denkt dat dit met een encryptie gedaan moet worden die met dezelfde technologie gemaakt wordt als waarmee hij gekraakt kan worden. Maar dat is niet het geval.
“Het goede nieuws is dat de protocollen, de algoritmes die voor die versleuteling nodig zijn, er al zijn. Je hebt dus geen quantumcomputer nodig om de versleuteling veilig te maken tegen het kraken met een quantumcomputer”, zegt Stekelenburg. “Dat kan gewoon met klassieke computers. De standaarden zijn hiervoor al lang geleden ontwikkeld en daarvan zijn er drie uitgegeven door het Amerikaanse NIST (het bureau dat nationale standaarden bepaalt) om toe te passen.”
Helaas betekent het feit dat de beveiligingsopties tegen quantum er al zijn, niet dat het simpelweg een overstap is naar de nieuwe cryptografie en dat de kous daarmee af is. Het toepassen van dit soort beveiliging vraagt een aanzienlijke risico-inventarisatie. Dat wordt extra lastig gemaakt doordat instanties die zich tegen dit soort risico’s willen indekken (denk aan banken en overheden) doorgaans extreem complexe IT-infrastructuren hebben die in kaart gebracht moeten worden.
“Dan krijg je een zogenoemde ‘cryptographic bill of materials’. Die geeft een beeld van het risico en inzicht in waar de grootste risico’s zich bevinden die zo snel mogelijk afgedekt moeten worden”, legt Stekelenburg uit. "Er is hierbij wel serieuze urgentie.”
Risico van datahacken gaat verder dan criminele organisaties
Om het geheel nog even te verduidelijken, we hebben het hier over enorme risico’s op grote schaal en over kwaadwillende actoren die serieuze schade kunnen aanrichten met dergelijke informatie. Het is namelijk niet aannemelijk dat een criminele organisatie over een jaar of tien ineens een extreem dure quantumcomputer heeft staan, laat staan deze werkend kan hebben in een speciaal lab met een klimaatgecontroleerde ruimte.
Waar hebben we het dan wel over? Over landen die nu al bezig zijn met het ontwikkelen van hun eigen quantumcomputer zoals bijvoorbeeld China. “Het is natuurlijk heel moeilijk om zo’n apparaat te ontwikkelen. Maar we zien wel dat er door verschillende partijen aanzienlijk investeringen in gedaan worden”, legt Stekelenburg uit. “We weten natuurlijk wel ongeveer wat de zichtbare investering van China is in quantumtechnologie, maar wellicht zijn er ook nog onzichtbare investeringen en doen ze dingen waar we geen zicht op hebben.”
Hoewel de urgentie er is en de risico’s duidelijk zijn, is het, net als met veel vernieuwingen het geval is, nog niet zo makkelijk om bedrijven en andere instanties over de streep te krijgen om daadwerkelijk actie te ondernemen.
Zoals gezegd is het opstellen van de cryptographic bill of materials al een uitdaging op zich, maar speelt er ook altijd een geldkwestie mee. Met andere woorden: wie gaat het betalen en wie is er verantwoordelijk voor? Dat moeten bedrijven en instanties op dit moment voor zichzelf verantwoorden.
Een hulp- en drukmiddel zou wetgeving vanuit overheden zijn. “Je kan als overheid ook nieuwe regelgeving instellen die bepaalt dat je vanaf een bepaald moment, afhankelijk van de encryptie die je toepast, wel over moet zijn”, zegt Stekelenburg. “Als je dan als leverancier iets aan de overheid wilt aanbieden, dan moet je dus wel mee zijn.”
“Europa is hiermee helaas nog niet zover als de Amerikaanse overheid. Die stelt dat je in 2035 over moet zijn. Maar dat vertaalt zich indirect ook naar Europese partijen. Als je, zoals wij bij IBM, ook zaken wilt doen in de VS, dan moet je wel meegaan”, verklaart Stekelenburg.
“Wij zijn ons heel erg bewust van het risico. Onze missie is niet alleen bruikbare quantumtechnologie naar de wereld brengen, maar ook om de wereld quantumsafe te maken. Vandaar dat we al heel lang bezig zijn met investeren om die quantumveilige encryptie te ontwikkelen en de bijbehorende producten ook veilig te maken”, zegt Stekelenburg, “En we helpen natuurlijk ook klanten om quantumveilig te worden.”
