Jaya Baloo, topvrouw voor security bij KPN, trekt aan de bel: “We hebben ‘post-quantum’ encryptie al tegen 2020 nodig.” Versleutelingstechnologie moet dan bestand zijn tegen de mogelijkheden die quantum computers gaan brengen.
“We leven in ideale tijden voor overheidssurveillance,” zo begon Jaya Baloo haar openingstoespraak op overheidsconferentie NCSC One. Ze haalt uitlatingen van politici en directeuren van inlichtingendiensten aan die pleiten voor een eigen ingang in beveiligde communicatie en versleutelde gegevens. Daarbij is de roep formeel niet om een stiekeme backdoor in encryptie, maar om een officiële voordeur voor de overheid.
Niet werkbaar en dus kraakbaar
De CISO (chief information security officer) van de Nederlandse telecomaanbieder – met wie ICT/Magazine voor de maart-editie een uitvoerig interview had – hekelt de hoogmoed van functionarissen die denken dat zo’n zogeheten gouden sleutel alleen voorbehouden zou zijn aan officiële instanties met opsporingsbevoegdheden. Het risico is reëel dat kwaadwillenden op eigen houtje uitvogelen hoe zo’n ingang in beveiligde communicatie en versleutelde data valt te benutten voor hun doeleinden. Bovendien is de daarbij voorgestelde oplossing van een ‘split key’ volgens haar in de praktijk niet werkbaar. “Er komt veel technologie bij kijken en er is een foutloze uitvoering voor nodig.” Baloo waarschuwt dat we afstevenen op nieuwe Crypto Wars, vergeleken waarmee de eerste encryptie-oorlog uit de jaren negentig nog meeviel. Toen verbood de overheid van de Verenigde Staten de uitvoer van al te krachtige encryptie, zodat versleutelde verbindingen en gecodeerde data kraakbaar waren voor de VS.
Lange termijngevolgen
De nadelige securitygevolgen van dat antieke exportverbod zijn nu nog voelbaar. In maart dit jaar is de FREAK-kwetsbaarheid onthuld die websites, browsers en client-besturingssystemen heeft geraakt. Een aanvaller kan dankzij die bug beveiligde verbindingen laten ‘terugschakelen’ naar de oudere en tegenwoordig makkelijk kraakbare export-crypto.
De uitvoering van modernere en krachtigere encryptie blijkt dus niet bepaald foutloos te zijn gedaan. Baloo verwacht dat er tegen 2020 de eerste quantum computers zullen bestaan die huidige encryptie kunnen kraken. “Partijen die zich zo’n machine kunnen veroorloven, zijn de NSA, Google en China.” Hieruit volgt dat de wereld over vijf jaar al quantum encryptie nodig heeft, als we ook tegen die tijd niet kraakbaar willen zijn.
‘Versleutel alles’
Baloo weerspreekt de overtuiging van inlichtingendiensten en sommige overheidsfunctionarissen dat goede encryptie lijnrecht tegenover veiligheid staat. Er zijn namelijk ook andere opsporingsmethodes en echte ‘bad guys’ gebruiken al bewust andere communicatiemiddelen. “Crypto is juist nodig om ons veilig en beveiligd te houden. Dat geldt voor democratie en voor economie,” aldus Baloo. Haar oproep luidt dan ook: “Leef lang, lach veel en versleutel alles!”