Een beleidsdocument van de NSA over toekomstige vormen van cryptografie heeft behoorlijk wat stof doen opwaaien over de huidige methodes. Sommige onderzoekers menen dat het agentschap iets weet over de protocollen die de hoeksteen vormen van veilige communicatie. Maar wat precies, is onderwerp van speculatie.
‘A riddle wrapped in an enigma’, onder die titel publiceerden de Amerikaanse cryptografen Neal Koblitz en Alfred Menezes halverwege oktober op internet een paper over een nieuwe puzzel binnen de cryptografiegemeenschap. Dit keer was het eens geen diepgravend wiskundig vraagstuk, maar een heel ander onderwerp: wat is de werkelijke betekenis achter een raadselachtige mededeling van de NSA, het Amerikaanse agentschap van codemakers en -brekers.
Het betreft een NSA-advies over het gebruik van postkwantumcryptografie (pkc), cryptografie die bestand is tegen een kwantumcomputer. Het agentschap vindt dat het zoetjesaan tijd wordt om hier serieus naar te kijken, maar eigenlijk is dat nauwelijks nieuws; in cryptografische kringen wordt dit sentiment allang verkondigd. Waar de cryptografiegemeenschap zich echter het hoofd over breekt, is het standpunt over de huidige cryptografievormen. Kort door de bocht, komt dat op het volgende neer: ‘Ben je nog niet overgestapt op de beste standaarden voor beveiligde communicatie, laat dat dan maar zitten en wacht totdat er een pkc-oplossing is.’
Sommige cryptografen zien in dit zinnetje een aanwijzing dat de NSA iets weet over een fundamentele doorbraak bij het ontsleutelen van bepaalde cryptografievormen. Dit zou verstrekkende gevolgen hebben voor privacy, betalingsverkeer, software-updates, vliegverkeer, noem maar op. Cryptografen refereren hier soms – met enig gevoel voor drama – aan als de ‘cryptopocalyps’.
Constante spagaat
Om de ophef te begrijpen, hebben we eerst wat achtergrond nodig. Cryptografie is er grofweg in twee ‘smaken’: symmetrische en asymmetrische. De eerste is conceptueel het eenvoudigst: we hebben een geheime sleutel waarmee we data kunnen coderen, en met dezelfde sleutel kunnen we deze ook weer decoderen. Handig voor als we bijvoorbeeld gevoelige gegevens willen opslaan op een USB-stick, of wanneer we binnen een bedrijf gegevens naar een andere vestiging moeten versturen.
Test less, verify Moore
At the Bits&Chips Event 2023 on 12 October 2023, Phillipa Hopcroft from Crocotec and Ivo ter Horst from ASML will kick off with a keynote speech on transforming how lithography machine software is built. Make sure to keep an eye on the website for program updates and save the date!
Maar symmetrische cryptografie is niet geschikt voor situaties waarin de sleutel onbekend is bij de tegenpartij. Een beveiligde website benaderen is bijvoorbeeld onmogelijk met symmetrische cryptografie, want we kunnen nooit op een veilige manier een sleutel afspreken. Bovendien kunnen we nooit weten of we niet tegen een vervalste website aan het praten zijn.
Voor dit scenario (en nog een paar andere) is asymmetrische of publieke-sleutelcryptografie (public key cryptography) ontwikkeld. Bij deze vorm is er niet één sleutel, maar zijn er twee gerelateerde sleutels: de ene kan een boodschap alleen coderen, de andere is vereist om deze weer te decoderen. Een partij die beveiligde boodschappen wil ontvangen kan de codeersleutel publiek bekendmaken. Zolang hij de decodeersleutel voor zichzelf houdt, is hij de enige die de gecodeerde boodschappen kan lezen.
Een praktische methode hiervoor werd in de jaren zeventig voor het eerst uitgewerkt aan het MIT door Ron Rivest, Ami Shamir en Leonard Adleman: het RSA-algoritme (de voorletters van de drie heren). Ten grondslag aan de hun methode ligt het idee dat het veel eenvoudiger is om twee grote priemgetallen met elkaar te vermenigvuldigen dan om het resultaat te herleiden tot deze priemgetallen.
RSA is de eerste speler in ons drama. Tot de dag van vandaag wordt het protocol intensief gebruikt in onder meer digitale browsercertificaten en SSL/TLS-verbindingen, de hoekstenen van beveiliging op internet. Maar het is niet de enige methode.
Begin jaren negentig begonnen de topcryptografen van de NSA zich publiekelijk met protocollen te bemoeien. Zij zetten zich af tegen RSA en kwamen met het alternatief DSA en enkele jaren later met ECDSA, een versie gebaseerd op een destijds nieuwe trend binnen de cryptografie: elliptische-curvecryptografie (ECC), onze tweede speler.
De NSA ligt echter moeilijk bij de meer academische cryptografen. Het agentschap heeft namelijk een tweezijdige missie, waardoor het in een constante spagaat opereert. Aan de ene kant is het belast met het beschermen van Amerikaanse staatsgeheimen tegen buitenlandse vijanden. Daarvoor moet het agentschap voor zo sterk mogelijke cryptografische standaarden zorgen die zijn eigen overheid kan gebruiken, en iedereen die daarvoor wil werken. NSA-bemoeienis met openbare standaarden heeft er dan ook verschillende keren voor gezorgd dat de voorstellen beter werden.
Tegelijkertijd moet het agentschap ook de geheimen van buitenlandse vijanden achterhalen. En daarvoor is het meer gebaat bij cryptografische algoritmes die te breken zijn. Daarom hangt er altijd een aura van onzekerheid rond NSA-voorstellen. Wie garandeert dat de organisatie niet stiekem een slimme methode heeft waarmee zij het voorgestelde algoritme wél kan kraken?
De cryptografiegemeenschap heeft zich dan ook altijd het hoofd gebroken over het motief van het agentschap om zo hard alternatieven voor RSA te pushen. Sommigen meenden dat het gewoon te maken had met het forse licentiebedrag voor het RSA-patent. Maar anderen meenden dat de NSA wel degelijk een probleem had ontdekt met RSA en met elliptische curven een veiliger alternatief bood. Weer anderen dachten precies het tegenovergestelde: de NSA zou juist in de exotische wiskunde van elliptische curven een achterdeurtje hebben gevonden, en wilde dáarom wilde dat iedereen overstapte op ECDSA.
Deze situatie is de afgelopen jaren nauwelijks veranderd: de wereld bleef, uit argwaan en inertie, grotendeels RSA gebruiken, terwijl de NSA iedereen aanmoedigde om over te stappen op haar ‘betere’ ECC-methodes.
Twee decennia
Maar nu lijkt het agentschap dus ineens een draai van honderdtachtig graden te maken: het raadt het gebruik van elliptische curven weliswaar niet expliciet af, maar zegt wel dat het niet langer wordt gezien als de langetermijnoplossing. Werknemers van het Nist, dat de standaarden rond cryptografie verzorgt, zeggen ook dat de NSA ineens niet meer deelneemt aan publieke discussie over nieuwe implementaties.
De paper van Koblitz en Menezes zet de theorieën over de koerswijziging op een rijtje. De titel zegt alvast iets over het vertrouwen in de NSA; het is een verwijzing naar een uitspraak van Winston Churchill over de Sovjet-Unie aan het begin van de Tweede Wereldoorlog (‘It is a riddle wrapped in a mystery inside an enigma; but perhaps there is a key’).
Over het algemeen wordt aangenomen dat het nog zeker wel twee decennia zal duren voordat er een werkende kwantumcomputer is, als die er al ooit komt. Maar het breken van asymmetrische cryptografie is precies een van de toepassingen waar de kwantumcomputers zich voor lenen, of het nu gaat om RSA of om elliptische curven. En er zijn geheimen die langer bewaard moeten worden dan die periode. Het is dus zaak om nu al de juiste protocollen te gaan gebruiken. Het beleidsdocument van de NSA is bedoeld als aankondiging dat het agentschap binnenkort wil starten met een open proces om tot standaarden te komen voor postkwantumcryptografie – speler nummer drie.
Maar het is geen verklaring waarom de NSA zijn koers rond ECC heeft bijgesteld. Sommigen interpreteren het beleidsdocument daarom heel anders: het agentschap zou aan de vooravond staan van een doorbraak in kwantumcomputers, óf gelooft dat een andere natie zo ver is. Waarom zou er anders zo veel haast zijn om snel over te stappen?
Dit scenario is echter bijzonder onwaarschijnlijk. Het is bekend dat het agentschap een kleine tachtig miljoen dollar beschikbaar heeft voor de ontwikkeling van een kwantumrekenaar, maar het zou decennia moeten voorlopen op de academische wereld. Koblitz en Menezes wijzen er ook op dat dat budget in verhouding maar wisselgeld is. Als er een praktische kwantumcomputer in het verschiet zou liggen – bij de Amerikanen of hun vijanden – zou er veel meer vrijgemaakt zijn.
Wat zit er dan achter de koerswijziging? Sommige theorieën gaan uit van de offensieve missie van de NSA, andere juist van de beschermingsmissie. Vanuit het eerste perspectief zou er bijvoorbeeld toch uiteindelijk een probleem ontdekt kunnen zijn in RSA, en zou het agentschap de overstap naar ECC willen ontmoedigen omdat het dan lekker kan spioneren. Koblitz en Menezes merken op dat er de afgelopen dertig jaar grote stappen zijn gemaakt richting een theoretische aanval op RSA, terwijl dat niet geldt voor de elliptische-curveaanpak. Een alternatieve verklaring is dat het agentschap (nog betere) achterdeurtjes heeft geplaatst in een toekomstig voorstel voor postkwantumcryptografie, en er daarom voor wil zorgen dat iedereen zo snel mogelijk hiernaartoe overstapt.
De kans is echter niet zo groot dat de NSA het stuk met een offensieve hoed op heeft geschreven. Het agentschap raadt bijvoorbeeld eveneens aan extra beschermingslagen aan te leggen met kwantumcomputerbestendige symmetrische cryptografie, terwijl het daar zelf last van heeft in een offensief scenario. Er zijn dan ook cryptografen die uitgaan van een defensief scenario. Het agentschap zou bijvoorbeeld toch een probleem hebben gevonden in de ECC-aanpak, waardoor RSA voorlopig een beter alternatief is. Of misschien is RSA nog een paar jaar langer bestand tegen kwantumcomputers dan ECC met de momenteel gebruikte sleutellengtes. Het zou ook gewoon kunnen dat de NSA vindt dat instanties hun budget niet meer moeten opmaken aan de overstap naar elliptische curven, nu er een pkc-alternatief in zicht is.
Of misschien heeft het te maken met beeldvorming. De argwaan van de cryptografische gemeenschap jegens de NSA bleek in 2013 niet onterecht, toen de Edward Snowden-documenten iets bevestigden dat allang werd vermoed: het agentschap had inderdaad een subtiel achterdeurtje naar binnen weten te smokkelen in een willekeurige-getallengenerator gebaseerd op elliptische curven. Koblitz en Menezes merken op dat het een vrij uitzonderlijke achterdeur was, want alleen degene die over een specifieke waarde beschikte, kon hem uitbuiten. De NSA voldeed hier dus toch grotendeels aan zijn beide missies.
De kritiek vanuit de cryptografiegemeenschap was echter niet van de lucht, en het Nist schrapte de methode snel uit de standaarden. Misschien, zo opperen sommige specialisten, wil de NSA nu schoon schip maken. Elliptische-curvecryptografie zou het kind van de rekening zijn; de opstelling van de NSA heeft het imago van de aanpak voorgoed besmet.