ExpressVPN introduceert vooruitstrevende postkwantumcryptografie als een extra beveiligingslaag voor gebruikers om het hoofd te bieden aan toekomstige cyberdreigingen. Elke dag vertrouwen miljarden mensen overal ter wereld op cryptografie en encryptie om hun informatie veilig te houden. Iedere keer dat je online iets doet — een e-mail versturen voor je werk, shoppen op internet, of een VPN gebruiken — berust dat op cryptografie en encryptie om veilige communicatiekanalen in te richten en gevoelige informatie te beschermen.
Nu het veld van kwantumtechnologie en -rekenkracht vordert, heeft dat het potentieel om snel ultracomplexe problemen op te lossen. Maar deze voordelen kunnen ook de hedendaagse cryptografie ondermijnen en het mogelijk maken dat informatie die nu nog versleuteld is, in de toekomst kan worden ontcijferd.
Om deze bedreiging van veiligheid en privacy te verminderen, onthullen wij onze eigen extra beveiligde VPN met vooruitstrevende postkwantumtechnologie. Vanaf vandaag bevat Lightway standaard postkwantumbescherming. Wij zijn ervan overtuigd dat wij, door een actieve rol te spelen in de overgang naar een kwantumveilige wereld, onszelf en onze gebruikers toekomstbestendig kunnen maken.
Hiermee is ExpressVPN een van de eerste VPN’s die postkwantumcryptografie bieden. Dat is een belangrijke mijlpaal die onze inzet om onze gebruikers te beschermen nog eens benadrukt — en tegelijkertijd houden wij een voorsprong in het steeds veranderende landschap van de cyberdreigingen.
Kwantumcomputers en hun invloed op privacy en veiligheid
Kwantumcomputers zijn krachtige apparaten die heel anders werken dan de standaardcomputers die we nu gebruiken.
Standaardcomputers hebben te kampen met bepaalde problemen, waaronder de huidige cryptografie die onze informatie beschermt met een ongelooflijk moeilijke wiskundige vergelijking — daardoor is de huidige encryptie- en informatiebeschermingstechnologie mogelijk.
Waar klassieke computers gebruik maken van binaire bits, die een waarde van één of nul kunnen hebben, gebruikt een kwantumcomputer kwantumbits oftewel qubits; die kunnen ofwel een zijn, ofwel nul, ofwel allebei tegelijkertijd. Dat betekent dat kwantumcomputers exponentieel meer informatie en ingewikkelder problemen kunnen verwerken dan klassieke computers.
Als kwantumcomputers zich blijven ontwikkelen en krachtiger worden, zullen ze uiteindelijk in staat zijn om de encryptie-algoritmen te kraken die nu nog heel veilig worden geacht. Deskundigen schatten dat het een klassieke computer ongeveer 300 triljoen jaar zou kosten om een standaard RSA-2048 encryptiesleutel te kraken, maar een kwantumcomputer met genoeg qubits zou aan enkele dagen genoeg hebben.
Een van de meest verraderlijke bedreigingen die door kwantumrekenkracht worden veroorzaakt, is de Store Now, Decrypt Later (SNDL) aanval. SNDL is een cryptografische techniek waarbij versleutelde informatie eerst lang wordt opgeslagen voordat het wordt ontcijferd. Cybercriminelen zijn al heel veel versleutelde informatie aan het verzamelen, vaak dingen met een lange levensduur, en bewaren ze in grote opslagruimtes tot kwantumcomputers ze in de toekomst voor ze kunnen openen.
De mogelijke risico’s van kwantumcomputers zijn zo bedreigend dat de Amerikaanse president Joe Biden in december 2022 wet H.R.7535 ondertekende, de Quantum Computing Cybersecurity Preparedness Act, die ‘federale overheidsinstanties aanmoedigt om technologie toe te passen die bescherming biedt tegen kwantumcomputeraanvallen’. In Nederland bracht het Nationaal Cyber Security Centrum (Ministerie van Justitie en Veiligheid) in 2017 al een factsheet over postkwantumcryptografie uit om organisaties aan te moedigen een actieplan op te stellen.
ExpressVPN’s oplossing voor een postkwantumtoekomst
Het doel van ExpressVPN is om onze gebruikers te beschermen en ze te helpen hun internetbeleving in eigen hand te houden. Daar komt het belang van postkwantumcryptografie om de hoek kijken. Het is ontwikkeld om de rekenkracht van zowel klassieke als kwantumcomputers te weerstaan.
Vandaag delen we met genoegen het nieuws dat het ons gelukt is om postkwantumondersteuning te implementeren die is gebaseerd op wolfSSL’s integratie met de liboqs/nl van het Open Quantum Safe-team. Wij gebruiken P256_KYBER_LEVEL1 voor UDP en P521_KYBER_LEVEL5 voor TCP. Kyber is door het National Institute of Standards and Technology (NIST) verkozen als kandidaat voor algemene encryptie in een uitvraag om cyberaanvallen te weerstaan die worden gevormd door de komst van kwantumcomputers.
Postkwantumbescherming is nu beschikbaar via de nieuwste versie van de ExpressVPN-apps voor Android, iOS, Linux, Mac en Windows. ExpressVPN-gebruikers hoeven alleen maar naar de instellingen van de app te gaan, dan naar de protocolpagina, en ervoor te zorgen dat ze ‘Automatisch’ gebruiken of ‘Lightway UDP/TCP’. Daarmee worden gebruikers heel eenvoudig beschermd tegen aanvallers die toegang hebben tot zowel klassieke als kwantumcomputers.
Aangezien de kerncode van Lightway open-source is, kan iedereen onze code ook zorgvuldig onderzoeken en — als ze dat willen — gebruikmaken van de nieuwste updates van Lightway.
Wij zijn een van de vroege pioniers in de VPN-bedrijfstak die postkwantumbescherming implementeert. Door postkwantumcryptografie te integreren met DTLS 1.3/nl versterken wij onze VPN-dienst om veilig te blijven, zelfs als wij het moeten opnemen tegen de vorderingen in de kwantumrekenmethodes.
“Het Open Quantum Safe-team vindt het geweldig om te zien hoe onze open-source software actief wordt gebruikt bij wolfSSL en ExpressVPN om kwantumresistente cryptografie op te nemen in het Lightway-protocol,” zei Douglas Stebila, projectleider van Open Quantum Safe. “Het OQS-team heeft toezicht gehouden op en deelgenomen aan de inspanningen van het NIST om de postkwantumcryptografie te standaardiseren, evenals veel andere instituten uit bedrijfsleven en wetenschap. Na een open procedure is uit verscheidene andere kandidaten het Kyber-algoritme uitgekozen voor standaardisatie, en de academische wereld heeft veel vertrouwen in de veiligheid ervan.”
Onze samenwerking rond postkwantumcryptografie
Wij erkennen dat postkwantumcryptografische algoritmes, hoewel veelbelovend, nog tamelijk onbekend terrein zijn, zeker in vergelijking met klassieke cryptografische algoritmes die tientallen jaren uitgebreid zijn onderzocht en in de echte wereld getest. Het feit dat het helemaal nieuw is, maakt postkwantumcryptografische algoritmes enigszins onvoorspelbaar, zeker omdat het landschap zich blijft ontwikkelen.
Hieronder de redenen waarom we ons daar, in ons specifieke geval, geen zorgen over hoeven te maken:
- Liboqs enkel en alleen gebruiken voor postkwantumcryptografie: liboqs levert alleen de postkwantumcryptografie; alle feitelijke TLS-handshakes en klassieke cryptografie worden nog steeds uitgevoerd door wolfSSL. Door het zo te doen hebben wij ervoor gezorgd dat onze veiligheidsstrategie niet alleen maar berust op postkwantumalgoritmen. Dat versterkt niet alleen onze bestaande veiligheidsmaatregelen maar draagt ook actief bij aan de ontwikkeling en veiligheid van postkwantumcryptografie.
- WolfSSL benutten voor klassieke cryptografie: bij ExpressVPN zijn we hechte samenwerkingspartners met wolfSSL, een gecertificeerde TLS-bibliotheek die geroemd wordt om zijn robuuste veiligheid. Onze belangrijkste cryptografische protocollen en communicatiekanalen zullen nog steeds beschermd worden door klassieke encryptiemethoden en sterke veiligheidsfundamenten.
- Harmonieuze hybride modus: we hebben hybride cryptografie geïntroduceerd, waarin klassieke cryptografie zoals ECDHE naadloos wordt gecombineerd met de postkwantumcryptografie van liboqs. Deze benadering biedt een indrukwekkende verdediging en is in lijn met aanbevelingen van het NIST; zij sturen de evaluatie en standaardisatie van postkwantumcryptografie aan. Deze hybride benadering betekent dat wij veilig zijn voor aanvallen door klassieke computers, en is ook de beste optie die we momenteel kennen om veilig te blijven voor aanvallen door kwantumcomputers.
- Precisie door isolatie: we hebben ons gebruik van liboqs geïsoleerd in de Kyber-component; zo weten we zeker dat onvoorziene problemen in verband met Kyber de integriteit van onze bredere cryptografie-infrastructuur niet kunnen beschadigen.
Alles bij elkaar kunnen we stellen dat de kwantumrekenruimte zich snel ontwikkelt; wij houden het zorgvuldig in de gaten zodat wij proactief kunnen zijn in het beschermen van onze gebruikers, zowel nu als in de verre toekomst.
Onze samenwerking met wolfSSL (en liboqs) om de postkwantumtechnologie te implementeren gaat niet alleen over het voldoen aan veiligheidseisen — het gaat over het opstellen van nieuwe normen. We zijn er trots op dat wij vernieuwers zijn die de zoektocht naar een kwantumveilige toekomst in de VPN-branche kunnen helpen leiden.
“Hier bij wolfSSL vinden we het echt fijn als onze klanten vooruitstrevende producten in de markt kunnen zetten door onze als-beste-geteste cryptografie- en protocollenbibliotheek te gebruiken. Voor zover wij weten wordt dit de eerste en op dit moment enige inzet van niet alleen DTLS 1.3 maar ook de combinatie met hybride postkwantum-key-exchange! Om zo ver te komen is het onderzoek op de juiste manier gedaan, transparant met open-source best practices voor liboqs, de wolfSSL-bibliotheek en het Lightway-protocol!” zei Anthony Hu, Senior Software Developer, wolfSSL.