The impact of quantum computing on real-world security: A 5G case study

Dit artikel analyseert de impact van quantumcomputing op de beveiliging van 5G-netwerken en stelt een gefaseerde, achterwaarts compatibele migratiestrategie voor om de veiligheid van 3G, 4G en 5G te waarborgen tegen toekomstige quantumbedreigingen.

De kern

📱 De 5G-veiligheid en de "Quantum-Bom": Een Simpele Uitleg

Stel je voor dat de mobiele netwerken (zoals 4G en 5G) een enorme, wereldwijde postdienst zijn. Ze sturen je berichten, foto's en gesprekken van A naar B. Om te zorgen dat niemand anders deze post kan lezen of vervalsen, gebruiken ze cryptografie. Dat is als een onbreekbare, digitale verzegeling op je envelop.

Het probleem? Er komt een nieuwe technologie aan: Quantumcomputers.

🧊 De Quantum-Bom

Normale computers zijn als slimme detectives die stukje bij beetje proberen een code te kraken. Een quantumcomputer is echter als een superkrachtige magiër die alle mogelijke codes tegelijkertijd kan proberen.

Er zijn twee soorten "magie" (algoritmen) die deze computer kan gebruiken:

1. Shor's algoritme: Dit breekt de asymmetrische sloten (de publieke sleutels). Dit is alsof je een sleutel kunt maken die past bij een slot dat je alleen van buitenaf ziet.
2. Grover's algoritme: Dit versnelt het breken van symmetrische sloten (de geheime sleutels die beide kanten hebben). Het maakt het niet onmogelijk, maar het maakt het wel 1000x sneller. Een slot dat nu 128 "klikken" nodig heeft om te openen, voelt voor een quantumcomputer alsof het maar 64 "klikken" zijn.

🔐 Hoe werkt 5G nu? (De Huidige Situatie)

In de 5G-wereld (en ook in 4G en 3G) is de basis van de veiligheid een geheime sleutel die op je SIM-kaart (de USIM) staat.

• De Basis: Deze sleutel is 128 bits lang.
• Het Probleem: Omdat quantumcomputers deze 128-bit sleutels veel makkelijker kunnen kraken (alsof je van een zware kluis naar een lichte kofferbak gaat), is de hele basis van de 5G-veiligheid kwetsbaar.
• De "Twee-voeten" in de schoen: Hoewel 5G slimme systemen heeft die later in het proces 256-bit sleutels gebruiken (dubbel zo sterk), worden deze toch weer afgeleid van die oorspronkelijke, zwakke 128-bit sleutel. Als de basis (de SIM-kaart) kraakt, kraakt het hele gebouw.

Wat is het risico?
Als een hacker een quantumcomputer heeft en hij onderschept één keer je inlogverzoek (AKA-uitdaging), kan hij met die quantumcomputer je geheime SIM-sleutel achterhalen.

• Gevolg 1: Hij kan al je oude en nieuwe gesprekken en berichten lezen die versleuteld waren.
• Gevolg 2: Hij kan je identiteit stelen en een nep-SIM-kaart maken (clonen).
• Gevolg 3: Hij kan je telefoon besturen en je uit de lucht halen.

🛠️ Het Oplossingsplan: De "Fase-aanpak"

Chris Mitchell stelt voor dat we niet alles in één keer moeten vervangen (dat is te duur en te chaotisch), maar dat we in twee fases werken, gebruikmakend van de slimme eigenschappen van het huidige systeem.

Fase 1: De "Nieuwe Sleutels" (Nu al doen!)
Dit is de makkelijkste stap. We hoeven geen nieuwe telefoons of masten te bouwen.

• Het idee: We veranderen alleen wat er op de SIM-kaart en in de centrale database van de provider staat.
• De actie: We stoppen de oude 128-bit sleutels niet meer in nieuwe SIM-kaarten, maar we gebruiken 256-bit sleutels.
• De analogie: Stel je voor dat je je huisdeur (de SIM) vervangt door een zwaarder slot, maar je houdt dezelfde sleutelgat-vorm (de interface) aan. De deur past nog steeds in het kozijn, maar hij is veel zwaarder om in te breken.
• Waarom werkt dit? Omdat de SIM-kaart de sleutel nooit verlaat, is het voor een hacker veel moeilijker om deze te kraken. Zelfs met een quantumcomputer kost het zo veel tijd en energie dat het voor de meeste hackers niet de moeite waard is.

Fase 2: De "Volledige Upgrade" (Voor de toekomst)
Dit is voor later, misschien voor 6G.

• Het idee: Nu we weten dat de basis (de SIM) veilig is met 256 bits, kunnen we de rest van het systeem ook upgraden.
• De actie: We zorgen dat alle sleutels die in de telefoon en het netwerk worden gebruikt, ook daadwerkelijk 256 bits lang blijven en niet worden "afgeknipt" naar 128 bits.
• De analogie: Nu we een zware deur hebben, bouwen we ook zwaardere muren en ramen om het hele huis onbreekbaar te maken.

Asymmetrische Cryptografie (De Identiteit)
Er is nog een klein probleem: De 5G gebruikt een publieke sleutel om je permanente telefoonnummer (SUPI) te verbergen. Als deze sleutel kwetsbaar is voor quantumcomputers, kunnen hackers je nummer zien.

• Oplossing: We moeten binnenkort een nieuw type "quantum-proof" slot gebruiken voor dit nummer, zodra de standaardisatie (bijv. door NIST) klaar is. Dit is als het vervangen van een oud hangslot door een modern digitaal slot.

🚀 Conclusie: Waarom we niet hoeven te panikeren

Het paper zegt eigenlijk: "Niet in paniek raken, maar wel actie ondernemen."

1. Het is niet te laat: We hebben tijd. Quantumcomputers zijn nog niet zover dat ze dit direct kunnen doen.
2. Het is goedkoop: De eerste stap (Fase 1) kost bijna niets. We hoeven alleen de SIM-kaarten en de databases van de providers aan te passen. De telefoons en masten hoeven niet vervangen te worden.
3. Het is slim: Door gebruik te maken van de "backwards compatibility" (de oude systemen die nog werken), kunnen we veilig en soepel overstappen naar een toekomst die veilig is tegen quantumcomputers.

Kortom: De 5G is nu als een huis met een goed slot, maar de deurstijl is een beetje zwak. We kunnen de deurstijl versterken (Fase 1) zonder het hele huis te slopen, zodat we klaar zijn voor de "quantum-dieven" die in de toekomst komen.

Technische samenvatting

Probleemstelling

Het paper adresseert de kritieke kwetsbaarheid van de huidige beveiligingsarchitectuur van mobiele telecommunicatie (met name 5G, maar ook 3G en 4G) tegen de dreiging van grootschalige, algemene kwantumcomputers. Hoewel de bouw van dergelijke computers nog niet gegarandeerd is, zou hun realisatie catastrofale gevolgen hebben voor de cryptografische systemen die nu worden gebruikt:

1. Asymmetrische cryptografie: Algoritmen gebaseerd op het ontbinden in priemfactoren of discrete logaritmen (zoals ECIES, gebruikt voor het verbergen van permanente gebruikersidentiteiten) worden volledig onveilig door Shor's algoritme.
2. Symmetrische cryptografie: Algoritmen met geheime sleutels worden beïnvloed door Grover's algoritme. Dit reduceert de effectieve beveiligingssterkte van een sleutel met de helft (een 128-bit sleutel biedt dan slechts de beveiliging van een 64-bit sleutel).

De specifieke zorg voor 5G is dat de kern van de authenticatie en sleutelafleiding nog steeds berust op een 128-bit langdurige geheim sleutel (K) die op de USIM-kaart staat. Als deze sleutel wordt gekraakt, is de gehele beveiliging van de verbinding (inclusief vertrouwelijkheid en integriteit van data) compromised. Daarnaast bestaat het risico van "harvest now, decrypt later": aanvallers kunnen nu al verkeer opslaan om dit later te decoderen zodra kwantumcomputers beschikbaar zijn.

Methodologie

De auteur voert een gedetailleerde analyse uit van de 5G-beveiligingsarchitectuur (gebaseerd op 3GPP Release 15 specificaties) en identificeert de specifieke punten waar kwantumcomputers de systemen kunnen breken:

• Analyse van het AKA-protocol: Onderzoek naar hoe het Authentication and Key Agreement (AKA) protocol werkt, waarbij een 128-bit willekeurige waarde (RAND) en een antwoord (RES*) worden uitgewisseld. De auteur toont aan dat een aanval op een enkel challenge-response paar voldoende informatie biedt om de langdurige sleutel K te reconstrueren met een kwantumcomputer (complexiteit van orde $2^{64}$).
• Sleutelafleidingshiërarchie: Analyse van hoe de operationele sleutels (voor encryptie en integriteit) worden gegenereerd vanuit de basis-sleutel K. Het paper laat zien dat hoewel er 256-bit sleutels worden gegenereerd in de afleidingsketen, deze vaak worden ingekort (truncated) naar 128-bit voor gebruik, en dat de basis nog steeds op de 128-bit K rust.
• Asymmetrische beveiliging: Evaluatie van het gebruik van ECIES voor het verbergen van de SUPI (Subscription Permanent Identifier). Omdat de publieke sleutel openbaar is, zou een kwantumcomputer de bijbehorende privésleutel kunnen berekenen, waardoor de identiteitsvertrouwelijkheid voor miljoenen gebruikers verloren gaat.
• Backward Compatibility: Het paper onderzoekt hoe de bestaande ontwerpeigenschappen (zoals de overdracht van CK en IK van USIM naar apparaat) kunnen worden benut voor een soepele migratie zonder de hardware-interface te veranderen.

Belangrijkste Bijdragen en Aanbevelingen

De auteur stelt een gefaseerde aanpak voor om 5G (en eerdere generaties) "post-quantum" veilig te maken, met een focus op minimale verstoring van de bestaande infrastructuur.

Fase 1: Symmetrische Cryptografie (Directe implementatie)
Deze fase richt zich op de langdurige sleutel K en vereist geen wijzigingen in mobiele telefoons of netwerkinfrastructuur (behalve de ARPF en USIM-personalisatie):

• Overgang naar 256-bit sleutels: Wijzig de standaarden zodat USIM's een 256-bit langdurige geheim sleutel (K) kunnen bevatten in plaats van 128-bit.
• Update van functies f1-f5: Pas de specificaties aan voor de cryptografische functies (f1-f5) die op de USIM draaien, zodat ze een 256-bit invoer kunnen verwerken.
• Gebruik van bestaande algoritmen: Er zijn al geschikte algoritmen beschikbaar (zoals de Tuak-functies) die 256-bit sleutels ondersteunen.
• Impact: Dit maakt het praktisch onmogelijk om de sleutel K te reconstrueren via een challenge-response aanval, zelfs met een kwantumcomputer, tenzij deze extreem krachtig en goedkoop wordt.

Fase 2: Volledige Post-Quantum Migratie (Toekomstige generaties)
Deze fase richt zich op de operationele sleutels en de encryptie-algoritmen zelf:

• Geen truncatie meer: Zorg dat alle afgeleide operationele sleutels (zoals $K_{NASenc}$, $K_{RRCenc}$) volledig 256-bit blijven en niet worden ingekort naar 128-bit.
• 256-bit encryptie/MAC: Implementeer encryptie- en MAC-algoritmen die native 256-bit sleutels gebruiken.
• Benutting van backward compatibility: Omdat de USIM al CK en IK (twee 128-bit waarden) naar het apparaat stuurt, kunnen deze worden samengevoegd tot één 256-bit sleutel zonder de interface tussen USIM en apparaat te veranderen. Dit maakt de migratie soepel.

Asymmetrische Cryptografie

• Vervanging van ECIES: De huidige standaard ECIES (elliptische curve) is kwetsbaar voor Shor's algoritme. Er moet worden overgestapt op post-quantum veilige asymmetrische algoritmen (zoals die door NIST worden gestandaardiseerd) voor het verbergen van de SUPI.
• Leidraad voor operators: Operators moeten worden aangemoedigd om deze nieuwe standaarden te adopteren zodra ze beschikbaar zijn.

Resultaten

• Kwetsbaarheid bevestigd: De huidige 5G-beveiliging is fundamenteel kwetsbaar voor een toekomstige kwantumcomputer, voornamelijk door de 128-bit basis-sleutel en het gebruik van kwantum-gevoelige asymmetrische cryptografie.
• Haalbare oplossing: Het is mogelijk om de dreiging aanzienlijk te verminderen met relatief kleine wijzigingen die alleen de USIM en de authenticatie-server (ARPF) raken.
• Migratiepad: Er is een duidelijk pad naar een volledig kwantum-veilig systeem dat gebruikmaakt van bestaande backward-compatibility-functies, waardoor de kosten en complexiteit van de migratie beperkt blijven.
• Risicobeperking: Zelfs als een aanval op een enkele gebruiker mogelijk blijft (door een zeer krachtige kwantumcomputer), wordt het massaal kraken van sleutels voor duizenden gebruikers onhaalbaar gemaakt door de overgang naar 256-bit sleutels.

Significantie

Dit paper is van groot belang voor de beveiliging van de wereldwijde telecommunicatie-infrastructuur.

1. Tijdigheid: Aangezien 5G nu wordt uitgerold en investeringen voor de komende jaren worden gepland, is het cruciaal om nu al maatregelen te nemen om "harvest now, decrypt later" aanvallen te voorkomen.
2. Pragmatische aanpak: In plaats van een complete herontwikkeling van het systeem, biedt het paper een gefaseerde, pragmatische oplossing die de levensduur van bestaande hardware maximaliseert terwijl de beveiliging wordt verhoogd.
3. Standaardisatie-invloed: De aanbevelingen zijn direct toepasbaar op 3GPP-standaarden en kunnen de basis vormen voor toekomstige releases (zoals Release 16 en 17) en zelfs 6G, die "post-quantum" veilig kunnen worden ontworpen.
4. Algemene toepasbaarheid: De methodologie biedt een blauwdruk voor het beoordelen en upgraden van andere cryptografische systemen in een post-kwantum tijdperk.

Kortom, het paper concludeert dat met een paar gerichte, gefaseerde aanpassingen (vooral de overstap naar 256-bit langdurige sleutels), de impact van de komst van kwantumcomputers op 5G-beveiliging minimaal kan worden gehouden.