Donut redt chipcard

De geheime wiskundige sleutels die elektronische gegevens beveiligen, blijken kraakbaarder dan gedacht. En grotere sleutels maken chipcards en transacties te traag....

BIJ CERTICOM in Hayward, Californië, laten ze er geen gras over groeien. Vier dagen voordat het wiskunde-instituut CWI in Amsterdam op een persconferentie de kraak wereldkundig maakte van de meest gebruikte beveiliging voor dataverkeer, RSA-155, hadden de Amerikanen hun reactie al op de web-site staan. Kort samengevat: waarom doormodderen als u ook onze superieure techniek kunt gebruiken?

Dat mag misschien grootspraak zijn, feit is dat de schrik er sinds 22 augustus goed in zit bij diegenen die hechten aan veilig elektronisch dataverkeer, bijvoorbeeld op Internet en met chipcards. Gevoelige informatie zoals pincodes en rekeningnummers wordt daarover nu al vaak in geheimtaal verzonden, zodanig door elkaar gehusseld dat alleen bevoegden met een speciale sleutel er wijs uit kunnen.

Maar het vertrouwen in juist het meest gebruikte systeem voor het aanmaken en beheren van zulke sleutels kreeg eind augustus een forse knauw. Onderzoekers uit zes landen onder aanvoering van dr. Herman te Riele van het CWI, ontrafelden een getal van 155 cijfers, weergegeven als 512 enen en nullen (bits), in twee enorme priemgetallen.

Rechttoe rechtaan is dat onbegonnen werk. Het getal van 155 cijfers is op heel veel manieren te ontbinden in factoren, terwijl het echte heidense karwei daarna pas komt: het controleren van al die factoren of het soms priemgetallen zijn, getallen die alleen deelbaar zijn door zichzelf en 1. Zelfs met zeer snelle computers vergt een dergelijke lompe rekenpartij meer dan 62 miljard jaar.

Maar wiskundigen zijn behendig. Met verfijnde selectie- en zoektechnieken en de inzet van een paar honderd losse pc's en slechts één supercomputer is in totaal maar 35 jaar gerekend aan RSA-155. Met een speciale computer, schatte Te Riele op de persconferentie, is dat zelfs terug te brengen tot een dag.

Daarmee is een aanzienlijk deel van het betalingsverkeer in één klap onveilig omdat alle sleutels met lengte 512 in principe te kraken zijn. RSA, het bedrijf dat de versleutelingssystemen levert, beveelt dan ook een minimum sleutel van 768 bits aan, in plaats van 512.

Maar dat, zegt cryptograaf dr. Berry Schoenmakers van de Technische Universiteit Eindhoven, is op den duur een vergeefse vlucht naar voren. Grotere cryptosleutels bieden namelijk wel meer veiligheid, maar de hoeveelheid rekenwerk bij een transactie loopt er ook snel door op. Elke verdubbeling van het aantal bits in de sleutel, leidt ruwweg tot achtmaal zoveel rekenwerk. 'Er komt een moment dat je de benodigde processor niet meer op je chipkaart kwijt kunt.' Bovendien worden transacties er irritant traag van.

De RSA-methode, een Amerikaanse vinding van halverwege de jaren zeventig, is een betrekkelijk grofstoffelijke beveiligingsmethode. Het systeem berust op het feit dat het gemakkelijk is om twee grote priemgetallen met elkaar te vermenigvuldigen, maar haast onmogelijk om het product zonder voorkennis in twee priemgetallen te ontrafelen.

Een gebruiker van het systeem krijgt twee enorme priemgetallen van RSA Data Securities. De vermenigvuldiging ervan zet hij open en bloot op zijn briefpapier, dat is de publieke sleutel. De priemgetallen zijn de privé-sleutels die hij strikt geheim houdt.

Wil iemand deze gebruiker iets in geheimtaal versturen, dan gebruikt hij daarbij in een voorgeschreven bewerking de publieke sleutel van de ontvanger. Die ontcijfert op zijn beurt de boodschap weer met zijn privé-sleutel. Zolang die geheim is, kan niemand anders dat. En vinden is bijna uitgesloten, mits de gebruikte priemgetallen maar groot genoeg zijn.

Halverwege de jaren tachtig beschreven twee Amerikaanse wiskundigen, Victor Miller en Neal Koblitz, onafhankelijk van elkaar een heel ander cryptografiesysteem dat gebruik maakt van een zeer abstract deel van de wiskunde, de zogeheten elliptische krommen.

Elliptische krommen is een verzamelnaam voor ruimtelijke vormen die door een speciaal type vergelijkingen worden beschreven. Een donut is een voorbeeld: een autoband-achtig object dat door twee cirkels wordt gedefinieerd en een beperkt oppervlak heeft.

Net als de twee sleutels bij RSA zijn verbonden door hun onkraakbare vermenigvuldiging, kunnen twee getallen ook aan elkaar worden gekoppeld via een elliptische kromme. Miller en Koblitz lieten zien dat wiskundige bewerkingen met geheime sleutels elk gekozen punt op de kromme op een praktisch onontrafelbare manier naar een ander punt verplaatsten. Alleen een zender en een ontvanger kunnen onderling volgen wat er onderweg is gebeurd en die kennis gebruiken om een boodschap te coderen en weer te ontwarren.

In de jaren tachtig leek de elliptische cryptografie, ook voor de uitvinders zelf, vooral een fraaie theorie. Maar de wiskundeknobbels van Certicom kunnen na jaren van research inmiddels indrukwekkende resultaten laten zien, die zijn gebaseerd op de praktijk.

Zelfs volgens zuinige schattingen is een elliptisch cryptosysteem met een sleutel van slechts 160 bits lang al even moeilijk te kraken als RSA met 1024 bits. Dat laatste is na de recente kraak van de gangbare 512-bits sleutels volgens velen wel het absolute minimimum voor geldverkeer op Internet. Een chipkaart met een 160-bits systeem werkt echter wel honderden keren sneller doordat de benodigde sleutels zoveel korter zijn.

Dat lijkt een bekeken zaak. Maar er zijn ook twijfels. Er is, stellen critici, nog niet genoeg onderzoek gestoken in cryptografie met elliptische krommen. Daarom staat volgens sommigen nog onvoldoende vast dat zulke systemen fundamenteel onkraakbaar zijn. En dus vertrouwen ze daar hun geld niet aan toe.

Maar cryptograaf Schoenmakers mag dat graag nuanceren. 'Welbeschouwd zit er in RSA ook nog niet zo heel veel inspanning. In de jaren tachtig kwamen de eerste efficiëntere kraakmethodes naar voren. En de number field sieve, de beste methode die we nu kennen, is nog geen tien jaar oud. Wie weet wat er nog komt. RSA heeft vooral als eerste de markt gepakt en altijd handige public relations bedreven.'

Het belangrijkste probleem, zegt de Nederlandse topwiskundige prof. dr. Hendrik Lenstra, verbonden aan de universiteiten in zowel Leiden als Berkeley, is dat niet bewezen is dat de wiskunde achter zowel RSA als elliptische cryptografie moeilijk is. Lenstra: 'Het lijkt moeilijk. Maar de enige reden dat wij dat denken, is een historische: niemand kon het, dus zal wel nooit iemand het kunnen.' Daardoor blijft er echter altijd een ongemakkelijk gevoel bestaan, dat - in elk geval in principe - één slim inzicht alles alsnog onderuit zou kunnen halen.

En wat dat betreft lijken cryptograaf Schoenmakers de elliptische krommen inderdaad wel kwetsbaarder. 'Elliptische krommen vormen momenteel een bloeiend gebied in de zuivere wiskunde, veel interessanter dan het zoeken naar priemfactoren. Dus werken er relatief veel mensen aan, en dus is er kans op onverwachte inzichten, lijkt me.'

Meer over