Bescherming tegen de quantumcomputer begint met inzicht

Alles heeft cryptografie: websites waar je inlogt, berichtjes die je stuurt, elke laptop en telefoon. Zonder dat zouden gegevens makkelijk in verkeerde handen kunnen vallen. Cryptografie houdt onze gegevens veilig. Tenzij iemand deze cryptografie kan kraken. En die angst wordt reëel als de quantumcomputer er is.

Gelukkig zijn er algoritmes ontwikkeld die resistent zijn tegen de quantumcomputer: post-quantumcryptografie.

Hoe zit cryptografie in elkaar?

Cryptografie bestaat uit verschillende bouwblokken, die gebruikmaken van algoritmes. Zodra een van die algoritmes kan worden gekraakt, moet dat algoritme vervangen worden. Nu is het probleem dat de quantumcomputer een aanzienlijk deel van de algoritmes kan kraken. Gelukkig zijn er nu algoritmes ontwikkeld die resistent zijn tegen de quantumcomputer. Dit noemen we post-quantumcryptografie.

Wedstrijd voor beste algoritme

Het bedenken van betere algoritmes is niet nieuw. Er zijn zelfs internationale competities voor. Het winnende algoritme komt vervolgens in de meeste software en hardware terecht. Tot nu toe waren nieuwe algoritmes meestal vergelijkbaar of beter dan bestaande algoritmes qua prestaties. Maar dat geldt niet voor de post-quantum-algoritmes. Ze zijn bijvoorbeeld veel zwaarder, waardoor websites langer laden.

Veilige algoritmes met de PQC-migratie

Om over te gaan op de post-quantumcryptografie, moet een bedrijf een groot deel van de cryptografie in de systemen omzetten. Dit heet de post-quantumcryptografie-migratie (PQC-migratie). Maar omdat ze niet alle algoritmes in één keer kunnen vervangen, moeten ze beginnen met kwetsbare algoritmes die iets belangrijks beschermen. De meeste bedrijven hebben alleen geen goed overzicht van welke cryptografie waar in zit. Daarom moeten ze eerst een inventarisatie maken van alle cryptografie in hun bedrijf.

Kunnen tools helpen of blijft het handwerk?

Een cryptografische inventaris is een overzicht van wat voor algoritmes er in de systemen zitten én hoe gevoelig de gegevens zijn die het algoritme beschermt. Er is een divers aanbod aan tools die kunnen helpen bij het maken van een cryptografische inventaris.

“Wij onderzoeken wat de status is van de verschillende inventarisatie-tools en we kijken in hoeverre ze al een complete oplossing bieden”, vertelt Thom Sijpesteijn van TNO.

Manon de Vries van TNO: “Ik verwacht dat de tools vooral goed zijn in het vinden van cryptografie, maar niet zo goed in het bepalen hoe gevoelig de gegevens in een systeem zijn, omdat dat erg contextafhankelijk is. Zo is informatie in een doktersportaal veel gevoeliger dan op een Wikipedia-pagina, terwijl de tool dat verschil waarschijnlijk niet kan detecteren. Het maken van een inventarisatie zal dus deels handmatig moeten.”

PQC-migratie kost tijd en geld, maar is wel nodig

Voor bedrijven is de PQC-migratie geen makkelijk proces. Het kost veel tijd en geld en ze moeten kiezen welke systemen ze als eerst omzetten. En ondertussen kunnen er ook weer nieuwere, efficiëntere algoritmes komen, die ze dan opnieuw moeten omzetten. Door die onzekerheid wachten veel bedrijven liever nog met de PQC-migratie. Terwijl de dreiging er nu al is.

“Een aanvaller kan nu al data opslaan, zodat hij die later kan ontsleutelen met de quantumcomputer. Daarom is post-quantumcryptografie nu al belangrijk en niet pas als de quantumcomputer er is”, zegt De Vries. “In Amerika is er al wetgeving die het gebruik van post-quantumcryptografie binnen de overheid verplicht. En hoewel er nog geen wetgeving over is in Nederland, verwachten we dat die verplichtingen er hier ook komen.”

Hulp nodig met migreren? Deze methodes kunnen helpen!

Om bedrijven te helpen bij de PQC-migratie, heeft TNO het PQC-Handboek geschreven. Daarnaast ontwikkelde TNO een risicomethodologie (pdf), waarin staat hoe je een inventarisatie doet en hoe je kunt inschatten welke algoritmes kwetsbaar zijn. Ook heeft TNO een kieswijzer ontwikkeld die helpt bij het kiezen van het juiste algoritme: de ​PQChoiceAssistant.

Werk met ons samen!

De Vries: “Deze risicomethodologie willen we graag testen in de praktijk. We zoeken partijen die onze methodologie willen uitproberen, zodat we het vervolgens weer kunnen verbeteren. In ruil daarvoor helpen wij die partijen weer bij hun migratie. Zo'n samenwerking lijkt ons erg waardevol.” Wil je met ons samenwerken? Neem contact op.