Post-kwantum paspoorten zijn vooralsnog te traag
op
Post-quantum paspoorten zijn technisch mogelijk op de huidige beveiligde chips, maar de vraag is of ze kunnen voldoen aan de snelheids- en beveiligingseisen van grenscontrolesystemen. In een nieuwe clip van de Post-Quantum Cryptography-conferentie van Elektor Academy Pro legt Nouri Alnahawi, onderzoeksassistent en promovendus aan de Hochschule Darmstadt, uit waarom het upgraden van een elektronisch paspoort niet simpelweg een kwestie is van het ene algoritme door het andere vervangen.
Post-quantum paspoorten op huidige chips
Alnahawi stelt dat post-quantumcryptografie in het algemeen haalbaar is op de huidige hardware voor elektronische machineleesbare reisdocumenten (eMRTD). Het probleem is de performance. Een cryptografische bewerking die nu ongeveer 250 ms duurt, kan met een post-quantumimplementatie tot bijna twee seconden in beslag nemen. Dat lijkt een kleine vertraging, maar vermenigvuldigd over een geautomatiseerde grenspassage kan het de doorvoer, de bruikbaarheid en de certificering door instanties zoals het Duitse BSI en de International Civil Aviation Organization (ICAO) beïnvloeden, zoals Alnahawi uitlegt in de onderstaande clip:
Snelheid is ook een beveiligingseigenschap
De prestatieverslechtering is niet alleen een ongemak. Langere uitvoertijden vergroten namelijk ook de kans op zijkanaalsanalyse en foutinjectie-aanvallen. Paspoortlezers bij geautomatiseerde poorten zijn fysiek vaak afgeschermd, wat sommige praktische aanvalsmogelijkheden beperkt, maar eMRTD's worden in meer situaties gebruikt dan alleen op luchthavens. Een trage implementatie kan daardoor meer ruimte voor aanvallen op implementatieniveau creëren.
De keuze van het algoritme speelt ook een rol. De ML-KEM-standaard van NIST biedt een relatief praktische balans tussen beveiliging, sleutelgrootte en prestaties, maar Alnahawi merkt op dat Saber in sommige resource-beperkte implementaties sneller kan zijn. FrodoKEM, dat de extra structuur van module-roosterschema's vermijdt, bleek te groot voor de ontwikkelbordjes van het team. In embedded beveiliging moet wiskundige elegantie ook in het geheugen passen en uitgerekend zijn voordat de reiziger ongeduldig wordt.
Geoptimaliseerde hardware zou de situatie moeten verbeteren. Alnahawi wijst op halfgeleiderleveranciers zoals NXP, die beveiligde apparaten met sterkere post-quantumondersteuning voorbereiden. NXP heeft eerder de aandacht gevestigd op de grotere sleutels en toegenomen latentie die deze algoritmen met zich mee kunnen brengen, evenals hun effect op de bestaande publieke-sleutelinfrastructuur.
De ontbrekende PACE-vervanger
Digitale handtekeningen vormen slechts één onderdeel van de beveiligingsketen van een paspoort. ML-DSA kan kwantumbestendige handtekeningen leveren voor certificaten en publieke-sleutelinfrastructuur, maar de chip en de lezer moeten nog altijd een beveiligde sessie opzetten. Huidige eMRTD's maken hiervoor doorgaans gebruik van PACE, oftewel Password Authenticated Connection Establishment.
De zorg van Alnahawi is dat er nog geen gestandaardiseerd post-quantum wachtwoordgeauthenticeerd sleuteluitwisselingsprotocol beschikbaar is dat het klassieke PACE kan vervangen of uitbreiden. Als het opzetten van sessies afhankelijk blijft van het klassieke Diffie-Hellman algorithme, blijft dat deel van het systeem blootgesteld aan de toekomstige quantumdreiging, ook al zijn de certificaten al overgegaan op ML-DSA.
De huidige paspoorten zijn vooralsnog niet onveilig, maar om er post-quantum paspoorten van te maken moeten eerst de algoritmen, protocollen, hardwareversnelling, zijkanaalsbestendigheid, interoperabiliteit en certificering worden aangepakt en gestandaardiseerd. Het is nog lang geen afgerond systeem.

Discussie (0 opmerking(en))