Het lek gedicht; RONALD CRAMER ZET MET COLLEGA VICTOR SHOUP HACKER IN DE HOEK

Het afdoende beveiligen van elektronisch verstuurde boodschappen is voor sommige toepassingen van cruciaal belang. Voor zijn fundamentele bijdragen aan een lekdicht internet ontving de wiskundige Ronald Cramer de eerste Christiaan Huygensprijs.

EEN PAAR MAANDEN geleden ontdekte Daniel Bleichenbacher, een wiskundige van het Amerikaanse Bell Labs, een lek in een internetstandaard voor de beveiliging van computersystemen. Door slim geconstrueerde nep-boodschappen het systeem in te sturen en te kijken welke binnenkwamen en met welke foutmeldingen de andere werden afgewezen, wist hij een bij financiele transacties veel gebruikte code te kraken. Hoewel daarvoor honderdduizenden berichten nodig waren, sloeg de aankondiging in als een bom. In allerijl werden oplossingen bedacht om het lek te dichten.

Voor Ronald Cramer, een Nederlandse wiskundige aan de Eidgenossische Technische Hochschule (ETH) in Zurich, kwam Bleichenbachers ontdekking niet echt als een verrassing. Enthousiast vertelt hij over zijn betrokkenheid bij deze affaire die velen slapeloze nachten bezorgde: 'De theoretici hadden al lang gewezen op de gevaren van dit soort actieve aanvallen. Samen met Victor Shoup van IBM hield ik me al een half jaar met dit probleem bezig. Bijna iedereen dacht dat het wel los zou lopen. Er was een ad hoc benadering gevolgd om een zekere basisveiligheid te garanderen. Die zou ingewikkeld genoeg zijn om aanvallers af te schrikken. Bleichenbachers verdienste is dat hij dergelijke aanvallen op de agenda heeft gezet. Voor ons was dat natuurlijk een prachtige samenloop van omstandigheden.'

SOORT APPENDIX

Twee maanden later hadden Cramer en Shoup een effectieve tegenmaatregel gevonden. Zij introduceren een extra reeks kleine coderingen, als een soort appendix. Als een hacker een bepaalde boodschap telkens opnieuw, net iets veranderd, terugstuurt kan het systeem deze 'aanval' herkennen aan dat stukje codering. De uitwerking van dit idee presenteerden zij tijdens CRYPTO 98 de belangrijkste conferentie op hun vakgebied die jaarlijks in Santa Barbara wordt gehouden.

Dat werd een gekkenhuis.

Cramer: 'Vlak na Shoups lezing werden we al voor de camera's van NBC gehaald om over ons werk te vertellen.' Overal ter wereld werd het nieuws over het 'Unbreakable Encryption System' overgenomen. 'Dat behoeft natuurlijk enige nuancering , maar dat het zo in het nieuws komt tekent het terecht toegenomen bewustzijn over veiligheidsaspecten in onze informatiemaatschappij', vindt Cramer. 'Je moet echter niet uit het oog verliezen dat Internet security geen ondubbelzinnig begrip is, maar vele aspecten kent. Zo is er bijvoorbeeld de menselijke factor. Wie kwaad wil kan proberen iemand die al toegang heeft tot het systeem zijn password te ontfutselen. En ook een geheime sleutel moet in een of andere computer opgeslagen liggen.'

Al sinds een jaar of tien houdt Cramer zich bezig met cryptografie, de geheimschriftkunde. Cramer: 'Ik heb altijd een grote belangstelling gehad voor de getaltheorie. Mijn eerste college cryptografie volgde ik in Leiden. Later kwam ik in contact met David Chaum van het Centrum voor Wiskunde en Informatica in Amsterdam. Hij nodigde mij in 1989 samen met een stel andere studenten uit voor een conferentie die hij in Amsterdam organiseerde: Smartcard 2000. Om te assisteren sprekers te helpen - we hoefden nog net niet met de koffie rond. Maar je mocht er wel bij zijn, met de mensen praten, dat had hij leuk bedacht.'

Cramer studeerde af bij Chaum op een nieuwe methode voor elektronisch betalen. Ook voor zijn promotie-onderzoek, onder begeleiding van Paul Vitanyi, bleef hij in Amsterdam, hoewel hij nauw samenwerkte met Ivan Damgard van de universiteit van Aarhus. In zijn proefschrift (begin 1997) presenteerde hij een systematische benadering van veilige en toch praktische cryptografische systemen die bestand zijn tegen actieve aanvallen.

Vorige week werd zijn werk bekroond met de eerste Christiaan Huygens-prijs. Cramer kwam voor de prijsuitreiking even over uit Zwitserland waar hij aan de ETH zijn cryptografisch onderzoek heeft voortgezet.

JULIUS CAESAR

Cryptografie is eeuwenoud. Julius Caesar gaf zijn commandanten te velde al instructies via geheime boodschappen, waarin elke letter in het alfabet was vervangen door de letter een paar plaatsen verderop. Tot het midden van de jaren zeventig berustte elke vorm van cryptografie op het uitwisselen van een geheime sleutel, zodat je er dus in elk geval gedurende korte tijd zeker van kon zijn dat je niet afgeluisterd kunt worden. Dat veranderde radicaal met de introductie van de publieke sleutel cryptografie door Diffie en Hellmann, twee Amerikaanse wiskundigen van Stanford University.

Cramer: 'Er zijn steeds twee sleutels, een publieke en een geheime. Met de geheime sleutel kan ik een boodschap ontcijferen die met behulp van de publieke is gecodeerd. Als ik dus iemand wat wil sturen, dan zoek ik in een soort telefoonboek zijn publieke sleutel op en codeer daarmee mijn bericht. Alleen hij kan dan met behulp van zijn geheime sleutel mijn tekst ontcijferen.'

Alle publieke sleutelsystemen zijn gebaseerd op wiskundige bewerkingen die eenvoudig in een richting kunnen worden uitgerekend, maar die nauwelijks de andere kant op kunnen worden opgelost. Iedereen kan twee priemgetallen met elkaar vermenigvuldigen, maar het is veel moeilijker om een (groot) getal te ontbinden in factoren.

Cramer: 'Het is natuurlijk niet echt een onmogelijk probleem, want je zou een voor een de mogelijke factoren kunnen aflopen. Maar dat is natuurlijk niet de manier waarop je dat zou aanpakken, want in de praktijk kan het om getallen gaan van een paar honderd cijfers.

En dat terwijl het aantal deeltjes in het heelal bijvoorbeeld niet groter is dan een getal van tachtig cijfers. Als men vroeger dacht aan het kraken van een code dan had men een machine voor ogen. Tegenwoordig kan daarvoor bij wijze van spreken alle beschikbare rekenkracht ter wereld worden ingeschakeld. Talloze computers staan het grootste gedeelte van de tijd toch niets te doen en van die ongebruikte rekencapaciteit kun je gebruik maken. Een internationale groep wiskundigen wist zo een paar jaar geleden met de door de Nederlander Arjen Lenstra ontwikkelde Number Field Sieve een code-getal van 130 decimalen te kraken. Het is een goede zaak voor de cryptografie dat slimme mensen daaraan blijven werken. Maar je moet wel realistisch blijven: als je het getal maar een paar decimalen langer maakt, dan wordt het kraken al weer veel moeilijker. Dus voor het ontbinden van getallen van honderden decimalen zouden de nu beschikbare methoden volstrekt ontoereikend zijn, zelfs wanneer het complete Internet ingeschakeld zou worden.'

Cryptografie is meer dan het verzenden van geheime boodschappen. Elektronisch betalen, je stem uitbrengen, een digitale handtekening plaatsen: het zijn allemaal voorbeelden waar de security en privacy in het geding zijn. In zijn proefschrift ontwikkelde Cramer een algemene methode om ze allemaal onder een noemer te brengen, de sigma-protocollen. Cramer: 'Die kun je zien als een soort LEGO-blokjes waar je een 'veilig' huis van moet zien te bouwen. Het zijn simpele vraag-en-antwoord-spelletjes van drie ronden. Individueel hebben ze zeer zwakke veiligheidseigenschappen, maar ze zijn wel goedkoop en gemakkelijk te maken. In mijn proefschrift laat ik zien dat ze in steeds een andere samenstelling - voor steeds een andere toepassing - toch een sterke compositie kunnen opleveren.

Dat als ik mijn stem elektronisch uitbreng, ik altijd kan bewijzen dat die geldig was en er verzekerd van ben dat die geheim blijft, dat niemand er mee kan rommelen. Dat moet dan wel zo gebeuren dat je er ook in de praktijk wat aan hebt. Of dat kan is jarenlang door de bancaire wereld en de industrie betwijfeld. Men vond de nieuwe ontwikkelingen in de moderne cryptografie allemaal fantastisch, maar veel te inefficient en daardoor te duur. Wij laten nu steeds zien dat dat helemaal niet zo hoeft te zijn.'

LEVENSBELANG

Volgens Cramer blijft daarom fundamenteel onderzoek van levensbelang: 'Er wordt steeds dieper over veiligheid nagedacht. De pioniers moesten om tot inzicht te komen zich met veel moeite een pad door de jungle hakken. Zij ontdekten een heleboel principes die tegenwoordig binnen de cryptografie gemeengoed zijn: het gebruik van publieke sleutels digitale handtekeningen enzovoort. Hun navolgers gingen na hoe die ideeen efficient verwezenlijkt konden worden. Dat vereist onherroepelijk nieuwe fundamentele technieken. Grote praktische doorbraken gaan zo hand in hand met theoretische vernieuwing. Door te zoeken naar de fundamenten van een methode kom je tot een aantal principes en leer je hoe je verder moet. Dat is ook het leuke: te zien hoe fundamenteel onderzoek gebruikt kan worden om een brug te slaan tussen theorie en praktijk. Daarom vind ik het ook zo belangrijk dat er voldoende gelegenheid is om fundamenteel onderzoek te doen. De ETH heeft van meet af aan boven aan mijn lijst gestaan. Ik krijg er de volledige vrijheid om me te ontplooien in welke richting ik ook maar wil. Daarbij heerst er een gezonde competitie en dat stimuleert enorm. Ik vind de ontwikkelingen zoals die nu gaande zijn ten aanzien van het fundamenteel onderzoek in Nederland dan ook heel zorgwekkend.

Er worden honderden miljoenen bezuinigd en de autonomie van het wetenschappelijk onderzoek en onderwijs lijkt steeds meer in het gedrang te komen.'

GEKRAAKT

Niet voor niets wil Cramer dan ook zo snel mogelijk terug naar Zurich: 'Ik heb nog wat theorema's in de oven staan op een gebied waar ook anderen actief zijn. De laatste tijd houd ik me vooral bezig met de veiligheid in zogeheten gedistribueerde systemen. Stel dat je het geheime recept voor Coca Cola op een veilige manier wilt opslaan. Dan moet je dat natuurlijk niet op een computer doen. Als die gekraakt wordt, is het over. Daarom geef je een groot aantal verschillende betrokkenen, agents, op hun eigen computer een 'schaduw' van het recept. Alleen als iedereen die inbrengt, kun je het recept reconstrueren. Maar nu moet je oppassen: het zou zo kunnen zijn dat een agent kwaad wil en niet zijn deel inbrengt, maar iets anders, of dat degene die de schaduwen heeft verdeeld, heeft gerommeld. Ook wil je voorkomen dat een minderheid van de agents in staat is om met hun schaduwen het recept te reconstrueren. Kortom, zo'n systeem moet bestand zijn tegen afwijkend gedrag. Je wilt de aanvaller alle vrijheid en maximale flexibiliteit geven en een zo miezerig mogelijk doel. Zelfs dan zou hij nog niet in staat moeten zijn om wat dan ook te doen.'

Cramer gaat vragen over in de praktijk gebruikte systemen een beetje uit de weg: 'Ik houd me liever met de conceptuele aspecten bezig, bij de feitelijke implementatie en software engineering vervul ik hoogstens een adviesrol. Mijn collega's en ik moeten er voor zorgen dat eventuele inbrekers niet aan het wiskundige hart komen, omdat ze weten dat daar goed over is nagedacht. Laat mij dat zo nou maar doen. Op het abstracte mathematische vlak voel ik me het sterkst.'