.



Wat is de status van kwantumveilige digitale handtekeningen?

BasWesterbaan

Eind oktober kondigde het Amerikaanse National Institute of Standards and Technology (NIST) aan dat er veertien post-kwantum algoritmen voor digitale handtekeningen zijn doorgedrongen tot de tweede ronde van de 'signatures on ramp' competitie.

Deze algoritmen zijn ontworpen om de beveiliging van onze digitale communicatie te waarborgen in het toekomstige tijdperk van de kwantumcomputers. Eerder zijn al vier kwantumveilige algoritmes gestandaardiseerd: ML-DSA, SLH-DSA, XMSS en LHS, terwijl men aan Falcon als vijfde werkt. Deze blog geeft inzicht in het belang en de status van kwantumveilige digitale handtekeningen.

 

De rol van digitale handtekeningen in TLS

Wanneer iemand een website bezoekt, wordt er een TLS-verbinding (Transport Layer Security) opgezet tussen de browser en de server.

Bij deze digitale handreiking ondertekent de server de uitgewisselde communicatie en presenteert het een TLS-leafcertificaat om te laten zien dat het bevoegd is de website te bedienen.

Dit certificaat is ondertekend door een certificeringsautoriteit (CA). Vaak is dit niet direct door de root-CA, maar via een CA-certificaat van derden.  

 

TLS-400

Bovendien moet een TLS-leafcertificaat minimaal twee Signed Certificate Timestamps (SCT's) bevatten, die aantonen dat het certificaat publiekelijk is geregistreerd in Certificate Transparency (CT) logs.

Dit kan de komende jaren toenemen tot drie of meer SCT's. Tot slot kan de server een OCSP-staple meesturen om aan te tonen dat het certificaat niet is ingetrokken.

Dus worden er minimaal vijf handtekeningen en twee publieke sleutels over het netwerk verzonden om een nieuwe TLS-verbinding op te zetten. 

 

Verschillende soorten digitale handtekeningen

Binnen TLS worden zowel online als offline digitale handtekeningen gebruikt. De handtekening om informatie te verzenden wordt online gegenereerd bij elke inkomende TLS-verbinding, zodat snelle ondertekening essentieel is. De overige handtekeningen worden offline gegenereerd, vaak weken, maanden of jaren van tevoren, waardoor de snelheid van ondertekening minder kritisch is. Bij offline handtekeningen is snelle verificatie belangrijker dan snelle ondertekening. 

Evaluatie van kwantumveilige handtekeningen

De veertien algoritmen die de tweede ronde van NIST's competitie hebben bereikt, variëren in prestaties en grootte. Een belangrijke uitdaging is dat veel van deze algoritmen veel grotere handtekeningen en publieke sleutels hebben in vergelijking met de klassieke algoritmen zoals RSA of ECDSA. Dit leidt tot een toename van de hoeveelheid data die over het netwerk wordt verzonden tijdens de TLS-handshake, wat natuurlijk de prestaties kan beïnvloeden. 

Het lattice-gebaseerde ML-DSA (voorheen Dilithium) heeft relatief grote handtekeningen en publieke sleutels, maar is eenvoudig in implementatie en vereist weinig rekenkracht. SLH-DSA (eerder SPHINCS+) is gebaseerd op hashfuncties en geniet daarmee van veel vertrouwen in de veiligheid, maar heeft grote handtekeningen en vereist meer rekenkracht voor de ondertekening en verificatie. Falcon biedt kleinere handtekeningen en snelle verificatie, maar vereist complexe en subtiele implementatie voor veilige ondertekening, waardoor het minder geschikt is voor online digitale handtekeningen. 

Impact op de TLS-handshake

Het toevoegen van grotere kwantumveilige handtekeningen voor de TLS-handshake, kan zoals vermeld de hoeveelheid data die tijdens de handshake wordt verzonden flink verhogen. Uit experimenten blijkt dat bijna de helft van de data die wordt verzonden over meer dan de helft van de huidige QUIC-verbindingen al bestaat uit certificaten. Het toevoegen van nog grotere digitale handtekeningen zal deze overhead verder vergroten, wat de prestaties van de verbindingen ongunstig kan beïnvloeden. 

Toekomstige uitdagingen

Hoewel de migratie naar kwantumveilige cryptografie voor digitale handtekeningen minder urgent is dan die naar kwantumveilige sleuteluitwisseling, wordt het in de praktijk een grotere uitdaging. Dit komt door de complexiteit van het bijbehorende certificaatbeheer, de groottes van de handtekeningen, en de betrokkenheid van meerdere partijen, zoals verschillende certificeringsautoriteiten, browsers en servers.  

Goede prestaties zijn essentieel voor het succes van kwantumveilige cryptografie voor TLS. Dit leidt ertoe dat fundamentele veranderingen aan TLS nu ter sprake komen om het aantal digitale handtekeningen te verminderen. De komende jaren worden cruciaal voor het evalueren en standaardiseren van deze algoritmen en veranderingen aan TLS om te kunnen waarborgen dat al onze internetcommunicatie veilig blijft in de toekomst met kwantumcomputers. Aanvullende informatie is te lezen in de uitgebreidere Engelstalige blog.

 

Bas Westerbaan, research engineer bij Cloudflare

Lees ook
DigiCert onderzoek naar voorbereiden op veilige post-kwantumcryptografie

DigiCert onderzoek naar voorbereiden op veilige post-kwantumcryptografie

DigiCert heeft de resultaten bekendgemaakt van een wereldwijd onderzoek onder 1.426 IT- en securityprofessionals naar hoe organisaties zich voorbereiden op veilige post-kwantumcryptografie (PQC). Terwijl de ondervraagde IT- en securityprofessionals de noodklok luiden dat het nodig is om nu al te investeren in een kwantumveilige transitieplanning,1

NIST selecteert eerste kwantumbestendige cryptografische algoritmen

NIST selecteert eerste kwantumbestendige cryptografische algoritmen

Kwantumcomputers kunnen het internet breken. Niet letterlijk natuurlijk, maar ze kunnen straks wel de cryptografische algoritmen breken die worden gebruikt om het internet te beveiligen. Als oplossing daarvoor heeft NIST enkele potentiële cryptografische algoritmen beoordeeld die bestand zijn tegen zowel traditionele als kwantumcomputers.

Security-teams moeten zich voorbereiden op quantum computing

Security-teams moeten zich voorbereiden op quantum computing

De doorbraak van praktisch toepasbare quantum computing lijkt iedere week een stapje dichterbij te komen. Enerzijds plaveit deze ontwikkeling de weg voor uitzonderlijke technologische doorbraken, anderzijds brengt het ook nieuwe uitdagingen met zich mee op het gebied van cybersecurity. Het is essentieel dat cybersecurity professionals zich voorber1