Voorwaar geen klein beetje lof voor de 'Computer Security and Industrial Cryptography' (Cosic) groep, verbonden aan het departement 'Electrical Engineering' ESAT van de KU Leuven.
...

Voorwaar geen klein beetje lof voor de 'Computer Security and Industrial Cryptography' (Cosic) groep, verbonden aan het departement 'Electrical Engineering' ESAT van de KU Leuven. Opgericht in 1979 - na de terugkeer van een bezoek aan Silicon Valley - kende de groep een eerste boom in de jaren '80, met onder meer een spin-off als Cryptech in 1989. "Van bij de aanvang was er niet één geheim ingrediënt, maar een traditie, een sterke chemie onder de medewerkers, een cultuur," stelt Bart Preneel, met een "sterke combinatie van zowel een wiskundige basis als een sterke industriële gerichtheid. Zo werd hier de eerste RSA chip buiten de VS ontwikkeld." Door een blik op de markt te houden, gekoppeld aan mogelijkheden voor fundamenteel onderzoek op lange termijn, lag de expertise van Cosic ook aan de basis van de nieuwe NIST-encryptiestandaard AES (2001, het Rijndael voorstel van twee Cosic alumni, Joan Daemen en Vincent Rijmen). Daar is lang aan gewerkt in studies, naast een inzicht in engineering en chips, zodat het voorstel beter was uitgewerkt dan de snelle projecten van concurrenten, aldus Preneel. Zelf heeft hij een doctoraatsthesis over cryptografische hash-functies geschreven, met onderzoek dat vandaag nog zijn sporen heeft nagelaten in de wereld van de 'cryptovaluta' zoals Bitcoin. Een 'powerhouse' is dan ook een 'understatement' om de capaciteiten van Cosic te omschrijven. De onderzoeksgroep is er tevens in geslaagd een brede expertise te bewaren door een geïntegreerde onderzoekaanpak op basis van een rist disciplines (wiskunde, hardware, software, signaalverwerking). "In Cosic komen ze elkaar bij het koffieapparaat tegen," klinkt het klassiek recept voor de nodige kruisbestuiving. Een kracht van de groep is tevens de kwaliteit van de personen die worden aangetrokken, in concurrentie met andere groepen. "We rekruteren personen onder de afgestudeerden, maar ook uit andere landen en uit bedrijven," waarbij Cosic en Bart Preneel de vruchten plukken van jarenlange contacten en netwerken met collega's wereldwijd. "Iedereen kent elkaar immers van conferenties, en van uitwisselingen tussen groepen," aldus Preneel, "waarbij wij een rol als katalysator spelen." Hierbij wordt ook samengewerkt met bedrijven, zonder 'de ziel te verkopen'. Die samenwerking is nodig, gezien "de veel grotere eigen middelen van de groepen in andere landen." Zelf werkt Cosic graag samen met landen uit Azië omdat die, na het winnen van het initieel vertrouwen, vervolgens voor meerdere jaren tekenen. De input uit bedrijven zorgt er tevens voor om "te zien wat de echte problemen zijn," en een 'academische ivoren toren' te voorkomen. Ook is het goed voor de didactiek, door voeling te houden met wat echt wordt gebruikt. En vanzelfsprekend wordt er ook samengewerkt met overheden, want ook zij hebben noden, zoals "veilige stemsystemen, eID's en dies meer." In de toekomst ziet het Cosic nog veel werk voor onder meer een veilig Internet of Things (IoT), een beveiligde informatieverwerking in de cloud en privacy. Zo wordt al gewerkt rond beveiliging van implanteerbare programmeerbare toestellen, zoals pacemakers, insulinepompen en dies meer. Helaas wordt er in de IoT-wereld veel geroepen, en vervolgens te snel producten op de markt gegooid, zodat "alle zonden van het verleden opnieuw worden begaan, vrees ik." Een en ander vergt wel middelen, en op dat punt heeft Bart Preneel wel te klagen. In andere landen worden groepen als Cosic, en andere security initiatieven als cruciaal voor de toekomst gezien, met voldoende middelen voor een snelle groei in de voorbije jaren. "De anderen groeien exponentieel, terwijl wij lineair groeien,' klinkt het, met bijvoorbeeld in Duitsland een vertienvoudiging van het aantal onderzoekers, terwijl "wij moeten vechten om hier 60 personen te houden. Maar cybersecurity is een federale bevoegdheid, terwijl onderzoeksgelden een Vlaamse bevoegheid zijn." Helaas een gekend refrein. Ondertussen houdt Cosic stand door "te focussen op waar we sterk in zijn, zoals hardware en software." Maar als de overheid een en ander niet beseft... Of Bart Preneel een 'held' is in het gevecht om privacy ? Duidelijk is wel dat hij met argusogen naar de enorme informatievolumes bij bedrijven kijkt. "Bedrijven gaan daarin veel te ver, dat is een vorm van waanzin, van pollutie." Ze lossen zogenaamd 'problemen' op, maar de informatie wordt tegen de gebruiker aangewend, klinkt het, naast het te gelde maken van de data. Ook overheden gaan steeds meer informatie verzamelen, waarbij bedrijven onder druk worden gezet, zo blijkt uit de Snowden onthullingen. "Vroeger werden overheden in toom gehouden door de bescheiden technologische middelen," aldus Preneel, "maar nu werken overheid en bedrijven samen, en zijn er krachtiger middelen. Iedereen kijkt naar iedereen en alles, zeg maar 'het panoptikon probleem', en er wordt naar patronen gezocht, zoals 'wie gebruikt wat, wie bezoekt wat ?' En vervolgens worden die data als pasmunt onderling uitgewisseld", klinkt de klacht. Problemen zijn er veeleer voor de ordediensten, die niet uit die informatiestroom kunnen putten, en waarvan de klassieke afluistertechnologieën minder effectief zijn. "Ik begrijp hun frustratie," aldus Bart Preneel, "maar het zou onverstandig zijn de beveiligingen te verzwakken om de ordediensten ter wille te zijn." Immers, "een achterdeur die maar door één groep kan worden gebruikt, bestaat niet." Bedenk dat "privacy een collectief goed is, en in een maatschappij zonder privacy zijn de mensen niet meer vrij." Bedrijven mogen niet zomaar informatie te gelde maken, en "enkel de hoogste Europese rechtbanken zijn goed bezig hiertegen." Op de recente CPDP conferentie in Brussel schrok Bart Preneel dan ook van de opmerking dat een en ander een politieke beslissing betreft, "alsof we de rechten van de mens dan maar even aanpassen." "In onze rol van onderzoekers moeten we dan ook het debat mee voeren," klinkt het uiterst beslist, "ook om betere oplossingen te bouwen, [mede dank zij] open systemen." Preneel ziet hierbij eventueel een rol voor kleinere landen om samen te vechten voor en te werken aan open en betrouwbare basiselementen, bestemd voor beveiligde en veilige communicatie en dataverwerking, en dat vanaf het chip/processor-niveau. Quantum computing gaat alle encryptie in een handomdraai kraken, maar biedt intussen een veilige methode om sleutels door te sturen ? "Er moet zeker in onderzoek rond quantum technologie worden geïnvesteerd," klinkt het. "Quantum mag evenwel niet meer beloven dan het kan bieden." Zo ziet Bart Preneel het versturen van sleutels met quantum technologie als een achteruit gang, want "het werkt enkel in echt afgesloten netwerken, en de sleutel moet vooraf worden afgesproken." En erger, het is zelfs niet bewijsbaar veilig, want toch kwetsbaar voor aanvallen. "Alle verkochte toestellen blijken kwetsbaar voor fysieke hacks." Guy Kindermans"Het zou onverstandig zijn de beveiligingen te verzwakken om de ordediensten ter wille te zijn"