Layered Performance Analysis of TLS 1.3 Handshakes: Classical, Hybrid, and Pure Post-Quantum Key Exchange

Dit artikel presenteert een laboratoriumstudie die de impact van klassieke, hybride en zuivere post-kwantum cryptografie op de prestaties van meerdere lagen van TLS 1.3-handshakes in HTTP-transacties analyseert.

De kern

Hier is een uitleg van het onderzoek in eenvoudig Nederlands, met behulp van alledaagse vergelijkingen.

De Grote Uitdaging: De "Quantum-Dief"

Stel je voor dat er in de toekomst een superkrachtige dief (een kwantumcomputer) opstaat die onze huidige sloten en sleutels (de huidige beveiliging op internet) in een seconde kan openbreken. Om dit te voorkomen, bouwen we nieuwe, onbreekbare sloten. Deze nieuwe sloten heten Post-Quantum Cryptografie (PQC).

De vraag die de onderzoekers van dit paper stellen is: "Als we deze nieuwe, zware sloten gaan gebruiken, gaat het internet dan trager werken? En waar zit precies die vertraging?"

Het Experiment: Een Pizzabezorging

Om dit te testen, hebben de onderzoekers een laboratorium opgezet dat lijkt op een drukke pizzabezorging:

1. De Klant (Client): Bestelt een pizza.
2. De Bezorger (Load Balancer): Kijkt welke winkel de pizza moet bezorgen.
3. De Winkel (Server): Bakt de pizza en stuurt hem op.

Ze lieten 100 bestellingen per seconde binnenkomen (een drukke middag) en maten precies hoe lang elke stap duurde. Ze testten drie scenario's:

• Oude Sleutel (Classical): De huidige, snelle maar kwetsbare sloten.
• Dubbele Sleutel (Hybrid): Een oude slot + een nieuw slot tegelijkertijd (voor de zekerheid).
• Alleen Nieuwe Sleutel (Pure PQC): Alleen de nieuwe, onbreekbare sloten.

De Vijf Stappen van de Reis

De onderzoekers keken niet alleen naar de totale tijd, maar splitsten de reis op in vijf lagen, alsof je een pakketje door een fabriek ziet gaan:

1. De Handdruk (TCP Handshake): De klant en de winkel zeggen "Hallo" tegen elkaar.

   • Vergelijking: Twee mensen die elkaar op de bus zien en zwaaien.
   • Resultaat: Dit gaat even snel, of je nu een oude of nieuwe sleutel hebt. De kwantum-dief heeft hier nog geen invloed.

2. De Voorbereiding (TCP naar TLS): De klant bereidt zijn bestelling voor en pakt zijn sleutelbos.

   • Vergelijking: De klant moet nu zijn zware, nieuwe sleutelbos uit de tas halen en de sleutel in de hand houden voordat hij de deur opent.
   • Resultaat: Hier zit de vertraging! Bij de nieuwe sloten moet de klant meer rekenwerk doen om de sleutel klaar te maken. Dit duurt ongeveer 6 keer zo lang als bij de oude sloten. Dit is de grootste kostenpost.

3. Het Slotenwerk (TLS Handshake): De klant en winkel wisselen nu de sleutels uit en controleren of ze passen.

   • Vergelijking: Het daadwerkelijk draaien aan het slot.
   • Resultaat: Verrassend genoeg gaat dit even snel als bij de oude sloten! De onderzoekers dachten dat de nieuwe sloten zwaarder zouden zijn om te draaien, maar dat viel mee. De nieuwe technologie is slim genoeg om dit snel te doen.

4. De Overgang naar de Bestelling (TLS naar App): De deur staat open, nu lopen we naar binnen.

   • Resultaat: Geen merkbare vertraging.

5. De Pizza (Application Response): De winkel levert de pizza (de data) aan.

   • Vergelijking: De grootte van de pizza bepaalt hoe lang het duurt om hem te eten, niet het type slot dat we gebruikten.
   • Resultaat: Als de pizza groot is (veel data), duurt het langer, maar dat heeft niets met de beveiliging te maken.

De Belangrijkste Conclusies

• De "Voorbereiding" is het zware werk: De vertraging zit hem bijna volledig in het moment dat de klant zijn nieuwe sleutelbos moet voorbereiden (stap 2). Zodra dat klaar is, gaat de rest van het gesprek bijna even snel als voorheen.
• Het totale effect is klein: Hoewel de voorbereiding 6 keer zo lang duurt, is dat maar een klein stukje van de totale reis. In totaal duurt een beveiligde verbinding met de nieuwe sloten ongeveer 3 tot 4 milliseconden langer dan met de oude sloten.
  • Vergelijking: Het is alsof je 3 milliseconden langer wacht op een stoplicht voordat je de auto start. Je merkt het nauwelijks, tenzij je 100 keer per seconde een auto start.
• Hoe groter de pizza, hoe minder je het merkt: Als je een hele grote pizza bestelt (veel data), wordt de totale tijd langer. Omdat de vertraging door de sloten vaststaat (altijd even lang), wordt die vertraging "verwaterd" door de grote pizza. Bij grote bestellingen is het percentage vertraging zelfs nog kleiner.
• Computers moeten harder werken: De klant (je telefoon of laptop) moet ongeveer dubbel zo hard werken om de nieuwe sleutels te berekenen. Voor een krachtige server is dit geen probleem, maar voor kleine apparaten (zoals slimme thermostaten of oude telefoons) kan dit wel zwaar zijn.

Wat betekent dit voor de toekomst?

De onderzoekers zeggen: "Geen paniek!"
We kunnen veilig overschakelen op deze nieuwe, onbreekbare sloten. Het internet wordt niet merkbaar trager voor de gebruiker. De enige plek waar we even goed moeten opletten, is bij de voorbereiding van de verbinding en bij apparaten met weinig rekenkracht.

Kortom: De nieuwe sloten zijn zwaar om te dragen, maar zodra je ze hebt, lopen we er gewoon even snel mee verder.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Layered Performance Analysis of TLS 1.3 Handshakes: Classical, Hybrid, and Pure Post-Quantum Key Exchange" in het Nederlands.

Probleemstelling

De opkomst van cryptografisch relevante kwantumcomputers vormt een bedreiging voor de huidige publieke sleutelinfrastructuur (PKI), wat de noodzaak creëert om over te schakelen op post-kwantumcryptografie (PQC). Hoewel het NIST in augustus 2024 de eerste PQC-standaarden heeft vastgesteld (zoals FIPS 203 voor ML-KEM), is er nog onvoldoende empirisch data beschikbaar over de prestatie-impact van deze algoritmen in realistische netwerkomgevingen.

Bestaande studies meten vaak alleen de totale handshake-tijd, waardoor het moeilijk is om te bepalen op welk specifiek protocolniveau de vertraging optreedt. Organisaties hebben behoefte aan gedetailleerde inzichten om migratieplanning te ondersteunen, vooral gezien de dreiging van "store now, decrypt later"-aanvallen en strikte tijdlijnen (bijv. NSA CNSA 2.0) voor de adoptie van kwantumveilige algoritmen.

Methodologie

De auteurs hebben een laboratoriumstudie opgezet om de impact van PQC op de TLS 1.3-handshake te analyseren met een gelaagde decompositie van de transactie.

• Architectuur: Een emulatie van een realistische productieomgeving met een load balancer (Nginx) en een backend-server. De tests werden uitgevoerd met Keysight CyPerf, een stateful traffic generator, die 100 transacties per seconde (TPS) genereerde.
• Gelaagde Analyse: In plaats van alleen de totale latency te meten, werd de HTTP-over-TLS transactie opgesplitst in vijf protocollagen:
  1. TCP Handshake: SYN tot SYN-ACK.
  2. TCP-naar-TLS vertraging: SYN-ACK tot ClientHello (client-side initialisatie).
  3. TLS Handshake: ClientHello tot Finished (key exchange en certificaten).
  4. TLS-naar-App vertraging: Finished tot HTTP GET.
  5. Applicatie-respons: HTTP GET tot HTTP 200 OK.
• Configuraties: Er werden drie soorten key exchange-groepen vergeleken:
  • Klassiek: x25519 (ECDH).
  • Hybride: x25519 + ML-KEM (512 en 768).
  • Puur PQC: ML-KEM (512 en 1024).
• Variabelen: De tests varieerden de grootte van de backend-respons (direct, 4 KB, 40 KB) om te zien of de PQC-overhead schaalt met datavolume.
• Data-analyse: Er werden meer dan 30 experimenten uitgevoerd (totaal ~1 miljoen verzoeken). Een aangepast Python-script ontsleutelde packet captures (pcap) met behulp van SSLKEYLOGFILES om per-laag statistieken (gemiddelde, percentielen p50, p95, p99) te extraheren. De statistische significantie werd beoordeeld met Glass's $\Delta$ en Cohen's effectgroottes.

Belangrijkste Bijdragen

1. Methodologische Innovatie: Een nieuwe methode voor het ontleden van TLS 1.3-latency in vijf specifieke lagen, waardoor PQC-overhead nauwkeurig kan worden toegeschreven aan de juiste protocolfase.
2. Uitgebreide Vergelijking: Een empirische vergelijking van klassieke, hybride en pure PQC-configuraties onder realistische lastomstandigheden (100 TPS), inclusief variatie in payload-grootte.
3. Open Data en Tools: Publicatie van een data-reductietool en een dataset met ontsleutelde packet captures en key logs, wat reproduceerbaarheid garandeert.
4. Fundamentele Bevinding: Het aantonen dat de TLS-handshake-laag zelf "algoritme-neutraal" is, terwijl de overhead voornamelijk bij de client-initialisatie ligt.

Resultaten

De analyse leverde enkele verrassende en cruciale inzichten op:

• TCP-laag (Onafhankelijk): De TCP-handshake-latency is volledig onafhankelijk van het cryptografische algoritme. Variaties zijn verwaarloosbaar ($\Delta < 0.2$).
• Client-side Initialisatie (Dominante Kosten): De grootste impact van PQC zit in de TCP-naar-TLS vertraging (van SYN-ACK tot ClientHello). Hier stijgt de mediane latency van ~0,3 ms (klassiek) naar ~1,8–1,9 ms (PQC). Dit is een 6-voudige toename en wordt veroorzaakt door de generatie en serialisatie van de PQC-sleutelmateriaal aan de client-kant. Dit is de enige laag met een statistisch significante en praktische impact.
• TLS Handshake (Algoritme-neutraal): In tegenstelling tot wat vaak wordt aangenomen, toont de daadwerkelijke TLS-handshake (ClientHello tot Finished) geen meetbaar verschil tussen klassieke, hybride en pure PQC-configuraties. De verschillen zijn verwaarloosbaar ($\Delta < 0.33$) en vallen binnen de meetruis. Zelfs pure ML-KEM, dat theoretisch efficiënter zou kunnen zijn, toont geen meetbare snelheidswinst ten opzichte van x25519 op dit protocolniveau.
• Applicatielaag (Verwaarloosbaar): De tijd voor het ophalen van de HTTP-respons wordt volledig gedomineerd door de netwerkprijs en de payload-grootte. PQC heeft geen meetbaar effect op de user-perceived performance van de applicatie.
• Invloed van Payload-grootte: Bij het vergroten van de respons van 4 KB naar 40 KB neemt de totale latency toe, maar de absolute PQC-overhead blijft constant (~2,4 ms). Hierdoor daalt het relatieve PQC-overhead van ~15% naar ~8%. Dit betekent dat PQC-migratie minder impact heeft op diensten met grote datatransfers.
• CPU en Netwerk:
  • Client: CPU-gebruik verdubbelt ongeveer (van ~3,7% naar ~8,5%) door de extra berekeningen voor key exchange.
  • Server: Het CPU-gebruik stijgt marginaal (van ~14,6% naar ~15,5% bij hybride), wat een relatieve toename van ~6% betekent.
  • Netwerk: Het dataverkeer neemt toe door de grotere sleutelgroottes (van 32 bytes naar maximaal 1568 bytes), maar dit heeft geen negatief effect op de latency in deze testopstelling.

Significantie en Conclusie

De studie concludeert dat de migratie naar post-kwantumcryptografie in TLS 1.3 geen drastische prestatievermindering met zich meebrengt voor de totale transactietijd, mits de client-kant goed is voorbereid.

• Kerninzicht: De angst voor een enorme vertraging tijdens de handshake is grotendeels ongegrond; de "bottleneck" is niet de handshake zelf, maar de client-side initialisatie.
• Praktische Implicatie: Voor de meeste toepassingen is de extra latency (ongeveer 3-4 ms in totaal) verwaarloosbaar, vooral bij grotere datatransfers waar het relatieve overheadpercentage daalt.
• Risico's: De grootste uitdaging ligt bij client-apparaten met beperkte resources (IoT, mobiele telefoons) waar de verdubbeling van CPU-gebruik een knelpunt kan vormen. Ook voor network devices die als Man-in-the-Middle (MiTM) fungeren en verkeer decrypteren/inspecteren, kan de cumulatieve impact van client- en server-kant significant zijn.

De auteurs adviseren dat organisaties bij hun migratieplanning specifiek kijken naar client-side resources en network inspection devices, en dat verdere stress-tests bij hogere loads (boven 100 TPS) nodig zijn om de schaalbaarheid te bevestigen.