Computing in the dark

Door internetbankieren en email is het versleutelen van informatie nu dagelijkse praktijk. Cryptograaf Ronald Cramer kreeg 1,25 miljoen voor onderzoek naar de codes van de toekomst. Margriet van der Heijden

foto freddy rikken 13/2/2007 Foto Freddy Rikken Ronals Cramer wiskundige Amsterdam Rikken, Freddy

Vroeger gebruikten vooral legerofficieren en machthebbers het: cryptografie. Maar dankzij internet, grote gegevensbestanden, email en internetbankieren heeft nu iedereen er mee te maken. Met het afschermen van informatie dus, met coderen, versleutelen, verhullen. En de manieren waarop dat gebeurt, lijken in de verste verte niet meer op het eenvoudig vervangen van letters door cijfers of door andere letters, zoals in vroeger eeuwen. De cryptografie is nu een wetenschap.

De cryptografie is bovendien een heel breed onderzoeksterrein, benadrukt mathematisch cryptograaf prof. dr. Ronald Cramer (39). “Je hebt natuurkundigen die bekijken of je principes uit de quantummechanica kunt gebruiken om informatie te verhullen. Je hebt informatici die zich in geheimhouding verdiepen. Je hebt mensen die heel sterk vanuit de cryptografie zelf over het versleutelen van informatie nadenken. En je kunt de cryptografie met het oog van de wiskundige bekijken.”

Dat laatste doet Cramer zelf het liefst. In het landschap van de cryptografie vertoeft hij, zegt hij, graag op de ‘heuveltop’ waar wiskunde en cryptografie samenkomen. Tijdens zijn studie wiskunde, in Leiden, had Cramer nog geen idee dat hij juist hier terecht zou komen. Hij hield toen vooral van getaltheorie en algebraïsche meetkunde. Onzichtbare inkt of spionageromans waren aan hem niet besteed.

Maar van het een kwam het ander en nu is hij hoogleraar in Leiden (een dag in week) en sinds 2004 bouwde hij bij het centrum voor wiskunde en informatica (CWI) in Amsterdam een bloeiende, internationaal georiënteerde onderzoeksgroep op, die uiteenlopende, fundamentele onderwerpen uit de cryptografie bestudeert.

Met de Vici-premie van 1,25 miljoen euro die hij onlangs kreeg van onderzoeksfinancier NWO, wil Cramer de komende vijf jaar ook het onderzoek uitbouwen dat hemzelf zo fascineert: dat van de mathematische cryptografie. “Het mooie daaraan vind ik dat het voortdurend een beroep doet op twee intuïties. Je cryptografische intuïtie helpt je om de stappen te doorgronden die een kwaadwillende aanvaller kan nemen. En als je die stappen in wiskundige formules vertaalt, heb je daarna je wiskundige intuïtie nodig om te begrijpen hoe je de aanvallen met behulp van de wiskunde kunt omzeilen – hoe je dus het cryptografische systeem kan verbeteren. Zo zijn die intuïties steeds met elkaar in samenspraak.”

kat

We praten bij Cramer thuis, in een statig appartementenblok in Amsterdam-Zuid. Het kostte even moeite om binnen te komen: de voordeur beneden klemt en gaat pas na minuten open, en in de consternatie is de kat verdwenen. Maar als de kat is gevonden, achterin de garderobekast, en er grote koppen espresso zijn gemaakt, zit Cramer algauw middenin een betoog over cryptografie.

Voortdurend probeert hij treffender beschrijvingen te vinden, betere formuleringen. Misschien omdat een cryptograaf als geen ander weet welke rookgordijnen woorden kunnen optrekken. Maar ook, zo lijkt het, uit liefde voor zijn vak dat ‘fascinerend’ is en dat sinds vorige eeuw ‘enorme ontwikkelingen doormaakt’.

“Tot het midden van de twintigste eeuw was de cryptografie vooral een kunst”, zegt Cramer. Een kunst met twee doelen: geheimhouding en authenticiteit. “Bij geheimhouding ging het erom informatie zo te versleutelen, dat de boze buitenwereld er geen touw aan kon vastknopen. En authenticiteit moest waarborgen dat een bericht inderdaad van de keizer kwam, of van welke andere partij dan ook waarmee afspraken waren gemaakt.”

enigma

Want cryptografie draaide altijd om afspraken tussen twee of meer partijen die de boze buitenwereld niet vertrouwden, zegt Cramer. “En die daarom hun communicatiekanaal beveiligden.” Over de geheime sleutel die de vijand moest buitensluiten, werd meestal niet al te diep nagedacht – ‘op verschillende niveaus van wetenschappelijkheid, laten we het zo zeggen’.

Pas in de tweede helft van de vorige eeuw kreeg de cryptografie een wiskundig fundament. “En ik denk dat we pas de laatste decennia beseffen welke rol de tweede wereldoorlog daarin speelde.” De Duitsers maakten codes met hun geavanceerde Enigma-machine. “Maar ze hadden niet gerekend op de computationele slagkracht en de wiskundige inventiviteit die de geallieerden aan de dag legden om de codes te kraken.”

Die onderstreepten het belang van ingenieuze codes en zorgden samen met de opkomst van computers voor een stroomversnelling in de cryptografie. Geheimhouding en authenticiteit bleven cruciaal, maar de trucs om informatie te versleutelen kregen een heel ander karakter dan de codes uit het verleden.

Bij het zoeken naar zo’n geheime truc of sleutel kan, heel simpel, de tekortschietende geheugencapaciteit van de tegenstander al een handvat bieden, zegt Cramer. “In de ‘speld-in-een-hooibergmethode’ verstop je de geheime informatie in een berg onzingegevens die zo groot is dat het computergeheugen van de tegenstander die niet kan behappen.”

Wijdverbreider is de RSA-methode, waarvan honderden miljoenen kopieën rondzwerven op computers, pc’s en laptops. “Hier is het handvat dat een bepaalde berekening maar één kant op werkt: het is heel makkelijk om grote getallen te maken door twee priemgetallen te vermenigvuldigen. Maar het is zelfs voor de krachtigste computers onbegonnen werk om die priemgetallen te herleiden uit hun product.”

Wie de RSA-methode gebruikt – en dat is iedereen die via internet bankiert of die zijn mail bekijkt via een beveiligde https-verbinding – maakt (zonder dat in de gaten te hebben) op een ingenieuze manier gebruik van dit handvat. Al is de methode in de praktijk, zoals dat gaat, iets minder waterdicht dan het glasheldere concept doet vermoeden.

In 1998 ontwikkelde Cramer, samen met de Amerikaanse cryptograaf Victor Shoup, daarom een veiliger variant. Eentje die voor het eerst aantoonbaar bestand bleek tegen zelfs de gevaarlijkste aanvallen. Dit Cramer-Shoup-systeem is nu een ISO-standaard in de cryptografie, ofschoon de techniek nog lang niet overal wordt toegepast.

Cramers huidige onderzoek is fundamenteler en ook vooruitstrevender. Het borduurt voort op een ‘revolutie’ uit 1982. In dat jaar legde de Chinees-Amerikaanse natuurkundige en informaticus Andy Yao de basis voor ‘secure computation’. “Dat was een bijna filosofische omslag. Yao zorgde voor een heel nieuwe horizon in de cryptografie.”

wantrouwen

Tot dan toe ging cryptografie, hoe modern intussen ook, altijd om afspraken tussen partijen die de rest van de wereld vrezen, maar die elkaar wel (min of meer) vertrouwen. Yao ging voor het eerst uit van afspraken tussen partijen die elkaar juist wantrouwen. “Partijen met conflicterende belangen die toch willen of moeten samenwerken.”

“Een eenvoudig voorbeeld zijn twee miljonairs die willen weten wie van hen twee de rijkste is zonder dat ze hun banksaldo prijs geven. Je kunt ook denken aan bedrijven die willen onderzoeken of het zinnig is om te fuseren, maar die gevoelige informatie beslist niet naar elkaar willen laten uitlekken. Of aan een stemprocedure waarin elke stem geheim moet blijven en alleen het resultaat openbaar mag worden.”

“Yao liet zien dat er bepaalde protocollen zijn, die toestaan dat er informatie wordt uitgewisseld, en dat die informatie wordt vergeleken of op een andere manier wordt bewerkt, maar zonder dat ze wordt prijsgegeven. Zodat de miljonairs uiteindelijk wel weten wie van hen rijker is, maar niet hoevéél rijker. En zodat de bedrijven weten dat een fusie zinloos is, maar niet meer dan dat.”

Zulke protocollen kunnen in eenvoudige gevallen uit listige vraag- en antwoordprocedures bestaan terwijl er in ingewikkelder processen reeksen wiskundige bewerkingen nodig zijn.

Je kunt daar op verschillende manieren naar kijken, zegt Cramer, maar als hij college geeft, tekent hij het liefst eerst een aarde met een grote wolk erboven. “Die wolk noem ik Omega en iedereen die betrokken is bij zo’n proces, kan zijn geheime informatie via een beveiligd kanaal naar Omega sturen.” Omega verzamelt al die informatie, voert er bewerkingen op uit – wikt en weegt, zou je kunnen zeggen – en stuurt daarna alleen het gevraagde antwoord naar alle deelnemers terug. Wat ieder van hen eerder aan Omega verteld had, blijft dus in nevelen gehuld.

In deze zienswijze simuleren de protocollen dus eigenlijk een onkreukbare tussenpersoon – Omega genoemd. En wat Cramer nu wil is een efficiënte en multifunctionele Omega bedenken. Hij wil dus niet, zoals collega’s, een specifiek protocol, een bepaalde Omega, maken voor een concreet praktijkgeval zoals een fusie of een veiling met geheim bieden. Hij wil een brede Omega construeren uit de zuivere wiskunde. Met principes uit de meetkunde en de algebraïsche getaltheorie – zijn oude liefdes. En dat is erg ambitieus, zegt hij zelf ook in zijn Vici-voorstel.

Het handvat is het werk van Michael Ben-Or, Shafi Goldwasser en Avi Wigderson, en van David Chaum, Claude Crépeau en Ivan Damgaard, meestal kortweg aangeduid als BGW/CCD, uit 1987. “Zij zorgden voor de tweede revolutie in de cryptografie”, zegt Cramer.

geheime truc

Het BGW/CCD-werk liet zien dat informatie, die op een wiskundig vernuftige manier verdeeld wordt over een beveiligd netwerk van processoren of spelers, daarin zonder uit te lekken bewerkt en bewaard kan worden, zolang ten minste tweederde van die spelers of processoren betrouwbaar is. Anders gezegd: elke deelnemer krijgt een brokje informatie, maar zolang een vijand minder dan een derde deel van het netwerk in zijn macht heeft, kan hij daaruit nooit de geheime informatie destilleren. “Ongeacht dus op welke manier dat netwerk verder beveiligd is, welke sleutel, welke geheime truc er gekozen is. En juist dat maakte dit resultaat zo fundamenteel. Toen de betekenis doordrong, was de beer los.”

De bijbehorende wiskundige techniek om informatie in brokjes te verdelen en over een netwerk uit te strooien, was al in 1979 aangereikt door Adi Shamir - de S uit de RSA-methode. “In het schema van Shamir wordt de geheime informatie uitgesmeerd door gebruik te maken van wiskundige functies, polynomen.”

Maar er schuilt als gewoonlijk een adder onder het gras: het veelbelovende BGW/CCD-scenario werkt alleen in een aantal relatief eenvoudige praktijkgevallen. Voor het overige lijkt het onwerkbaar omdat het te veel rekentijd en rekencapaciteit vereist.

Cramer heeft daarvoor een uitweg gesignaleerd en daarmee wil hij nu verder aan de slag. “Ik wil dus gaan kijken of ik het netwerk met geheime informatie op een efficiënte manier dynamisch kan maken.” Of hij de informatie kan bewerken dus, die volgens het Shamir-schema statisch in zo’n netwerk van processoren of geheugenelementen is opgeslagen (of die, met een iets andere beeldspraak, daar ongrijpbaar boven zweeft). Of hij er efficiënte berekeningen op kan loslaten, die geen informatie laten weglekken. “Computing in the dark”, spot hij.

“En dat begint met het zoeken naar manieren om veilig te kunnen optellen en aftrekken. Als dat kan, kan daarna bijna alles want elke functie kan worden teruggevoerd op zulke simpele bewerkingen.” Daaruit zouden dan ook protocollen geconstrueerd kunnen worden, en zo een breed inzetbare Omega die ergens boven het netwerk zijn werk doet.

privacy

De komende jaren zullen we, ongeacht de uitkomst van zijn eigen werk, steeds vaker toepassingen van secure computation zien, voorspelt Cramer. “En het is belangrijk om in te zien dat die niet alleen de belangen van bedrijven of machthebbers beschermen. Secure computation kan juist ook de privacy van burgers waarborgen.”

Cramer bedoelt de grote bestanden met gegevens over bijvoorbeeld vliegtuigpassagiers die steeds vaker zullen worden aangelegd. “Gewoon omdat het kan. Als iets kan, gebeurt het ook. Het beste wat we intussen kunnen doen, is zorgen dat de gegevens veilig worden bewaard. Dat er niet mee gerommeld wordt, dat ze niet in verkeerde handen kunnen vallen.”

Methoden uit de secure computation, waarbij de gegevens veilig uitgesmeerd worden over een netwerk, kunnen dat waarborgen, zegt Cramer. “De beroemde cryptograaf David Chaum, die mij ooit met enthousiaste voortvarendheid dit vak introk, was een van de eersten die zag dat cryptografie zo juist de privacy van gewone mensen kan beschermen. En ik zal het woord revolutie niet meer in de mond nemen, maar dat was – alweer – een totaal nieuw inzicht in de cryptografie. Chaum had daarbij de gebeurtenissen uit het midden van de vorige eeuw in zijn achterhoofd, toen gegevensbestanden natuurlijk vreselijk zijn misbruikt.”

Ook nu zou er, vindt Cramer, meer over privacy gediscussieerd moeten worden. Want hoe naarstig cryptografen daaraan ook werken, een waterdicht beveiligingssysteem zal er nooit komen. In de vertaalslag van de ideale wereld op papier naar de praktische wereld van alledag worden altijd concessies gedaan. “De zwakste schakel is een moving target, maar het blijft een wapenwedloop.”

Dat maakt de cryptografie tegelijk natuurlijk zo spannend. En interessant, zegt Cramer wat peinzend, “omdat je steeds ook op zoek bent naar de verborgen aannames in je eigen kijk op de werkelijkheid.”