Een quantumcomputer kan bepaalde problemen veel efficiënter oplossen dan een reguliere computer. Het goed simuleren van grote moleculen, bijvoorbeeld, kost nu nog bijna oneindig veel rekentijd, maar ligt wel binnen het bereik van de quantumcomputer. Geen wonder dat wereldwijd veel wetenschapsbudget wordt gestoken in het bouwen van zo’n wondermachine. In Delft bijvoorbeeld, wordt met dit doel onder leiding van fysicus Leo Kouwenhoven een speciaal centrum opgezet waar jaarlijks zeker tien miljoen euro in wordt gepompt. Maar een quantumcomputer is ook bij uitstek geschikt om codes te kraken. En dat zou binnenkort onze volledige internetbeveiliging op losse schroeven kunnen zetten.

Begin vorig jaar werd uit door Edward Snowden gelekte documenten duidelijk dat de Amerikaanse inlichtingendienst NSA zo’n tachtig miljoen investeert in het ontwikkelen van een quantumcomputer waarmee ze hun neus nog verder in onze staatsgeheimen en privézaken kunnen steken. “Die documenten laten ook zien dat de NSA versleutelde informatie onderschept en opslaat, in afwachting van een manier om die informatie te ontcijferen”, zegt Tanja Lange.

De hoogleraar cryptologie werkt al een decennium aan cryptografische technieken die dataverkeer bestand zouden maken tegen een ‘aanval’ met een quantumcomputer en pleit er ook al jaren voor dat anderen haar voorbeeld volgen. Niet alleen omdat nu onderschepte gegevens later ergens in een kelder van de NSA, Chinese overheid of - wie weet - een misdaadsyndicaat kunnen worden ontcijferd, maar vooral ook omdat het invoeren van een nieuwe beveiligingsstandaard zo’n vijftien tot twintig jaar kost. En een praktische standaard is er nu dus nog niet. Goede kans dus dat we sowieso te laat zijn.

“Het wordt 1984, maar dan zonder dat we het doorhebben”

Als veiligheidsdiensten over een quantumcomputer beschikken, zullen daar waarschijnlijk maar weinig van merken, denkt de Duitse hoogleraar. “Maar de overheid zou de informatie gericht kunnen gebruiken tegen bepaalde personen.” Het zou 1984 zijn, zegt ze, refererend aan de distopische roman van George Orwell. “Maar dan zonder dat je weet dat je bekeken wordt. Je denkt namelijk dat je je communicatie goed hebt versleuteld.”

In principe kun je digitale communicatie op drie manieren beveiligen tegen quantumcomputers. De eenvoudigste is door de sleutel waarmee je de informatie codeert en ontcijfert op een briefje schrijven en per post versturen. Dat is eeuwenlang gedaan, maar het zou ons in zekere zin terugwerpen naar het pre-digitale tijdperk. Een andere oplossing is om quantumsystemen te gebruiken om de informatie te versleutelen en versturen. Deze quantumencryptie heeft in theorie als voordeel dat je direct kunt zien wanneer de sleutel door een derde partij is onderschept. “Maar daarvoor heb je wel speciale lasers nodig waarmee je losse fotonen kunt versturen, en een directe glasvezelverbinding.”

Praktisch gezien blijft daardoor alleen de laatste manier over: ga over op versleutelingsalgoritmen waar quantumcomputers geen vat op hebben. Veel van de huidige standaarden zijn gebaseerd op wiskundige problemen, zoals het ontleden van een getal in hun priemfactoren. Dat laatste is bij uitstek een taak die een quantumcomputer zonder veel problemen uitvoert, terwijl onze huidige computers daar hun tanden op stuk bijten. Er zijn dus alternatieven nodig.

Huidige quantumbestendige cryptografie kost teveel bandbreedte

Het goede nieuws: quantumbestendige cryptografie bestaat al. Het probleem is echter dat het te veel rekenkracht en bandbreedte kost om de informatie die je wilt verzenden - zoals de inhoud van een beveiligde website, denk aan internetbankieren - te coderen. In de praktijk zou het wellicht minuten duren om de betreffende website te openen.

In sommige gevallen is het voldoende om bestaande sleutels langer te maken, legt Lange uit: “Van de Advanced Encryption Standard (AES) bestaat een variant met 256 bits. De verwachting is dat die encryptie ook bestand is tegen quantumcomputers.” Nadeel is dat AES gebruikmaakt van zogeheten ‘geheime sleutels’. Dat betekent dat iemand die deze sleutel onderschept eenvoudig de gecodeerde informatie kan ontcijferen. De sleutels moeten daarom persoonlijk worden uitgewisseld en er zijn eigen, aparte sleutels nodig voor elke partij. Bovendien zijn geheime sleutels niet geschikt om een digitale handtekening mee te zetten die garandeert dat informatie daadwerkelijk afkomstig is van degene die pretendeert de verzender te zijn.

In de praktijk wordt daarom in het internetverkeer ook veel gebruikgemaakt van zogeheten asymmetrische versleuteling. Hierbij horen twee gekoppelde sleutels: een publieke sleutel waarmee de informatie wordt gecodeerd, en een geheime sleutel om de informatie te decoderen. Als je van iemand geheime informatie wilt ontvangen, volstaat het om hem of haar de publieke sleutel te sturen (je kunt die zelfs publiceren op een website - deze sleutel is namelijk niet geschikt om berichten te ontcijferen). De hieraan gekoppelde sleutel om het bericht te decoderen blijft echter veilig in je bezit.

Bij PQCRYPOTO zijn elf partners aangesloten, waarvan negen kennisinstellingen. Die gaan op zoek naar algoritmen voor versleuteling die niet alleen de aanval van een quantumcomputer kunnen weerstaan, maar ook zo snel werken dat niet het volledige internet tot stilstand komt zodra ze worden toepast. “De ‘post-quantum’ encryptiesystemen die we nu hebben, zullen alleen worden gebruikt door mensen die erg achterdochtig zijn, of gebonden aan regels om de vertrouwelijkheid van gegevens voor de lange termijn te waarborgen”, vertelt Lange. “Binnen PQCRYPTO willen we aantrekkelijkere alternatieven ontwikkelen. Dat moet veiligere encryptiesoftware opleveren voor de consument en op de langere termijn, via de samenwerking met onze partners Bundesdruckerei en NXP, toekomstbestendige elektronische paspoorten en bankpassen.”