Bescherming tegen de quantumcomputer begint met inzicht

Thema:
Quantum-safe technologie
22 oktober 2024

We weten nog niet precies wanneer, maar dát ‘ie eraan komt, staat vast: de quantumcomputer. We weten dat een quantumcomputer een bedreiging vormt voor een aanzienlijk deel van de huidige cryptografische algoritmes. En dat betekent dat veel van onze hardware- en softwaresystemen niet meer veilig zijn. Organisaties moeten inventariseren wat voor cryptografie ze gebruiken. En dat blijkt niet makkelijk. TNO wil daarbij helpen

Oktober is Cybersecuritymaand

Daarom publiceert TNO deze maand elke week een artikel over een cybersecurity onderwerp. In deze artikelen laten we je het belang zien van het aandacht besteden aan kwetsbaarheden in de designfase van software en hardware.

Alles heeft cryptografie: websites waar je inlogt, berichtjes die je stuurt, elke laptop en telefoon. Zonder dat zouden gegevens makkelijk in verkeerde handen kunnen vallen. Cryptografie houdt onze gegevens veilig. Tenzij iemand deze cryptografie kan kraken. En die angst wordt reëel als de quantumcomputer er is.

Gelukkig zijn er algoritmes ontwikkeld die resistent zijn tegen de quantumcomputer: post-quantumcryptografie.

Hoe zit cryptografie in elkaar?

Cryptografie bestaat uit verschillende bouwblokken, die gebruikmaken van algoritmes. Zodra een van die algoritmes kan worden gekraakt, moet dat algoritme vervangen worden. Nu is het probleem dat de quantumcomputer een aanzienlijk deel van de algoritmes kan kraken. Gelukkig zijn er nu algoritmes ontwikkeld die resistent zijn tegen de quantumcomputer. Dit noemen we post-quantumcryptografie.

Wedstrijd voor beste algoritme

Het bedenken van betere algoritmes is niet nieuw. Er zijn zelfs internationale competities voor. Het winnende algoritme komt vervolgens in de meeste software en hardware terecht. Tot nu toe waren nieuwe algoritmes meestal vergelijkbaar of beter dan bestaande algoritmes qua prestaties. Maar dat geldt niet voor de post-quantum-algoritmes. Ze zijn bijvoorbeeld veel zwaarder, waardoor websites langer laden.

Veilige algoritmes met de PQC-migratie

Om over te gaan op de post-quantumcryptografie, moet een bedrijf een groot deel van de cryptografie in de systemen omzetten. Dit heet de post-quantumcryptografie-migratie (PQC-migratie). Maar omdat ze niet alle algoritmes in één keer kunnen vervangen, moeten ze beginnen met kwetsbare algoritmes die iets belangrijks beschermen. De meeste bedrijven hebben alleen geen goed overzicht van welke cryptografie waar in zit. Daarom moeten ze eerst een inventarisatie maken van alle cryptografie in hun bedrijf.

thom_sijpesteijn_350

“Wij onderzoeken wat de status is van de verschillende inventarisatie-tools en we kijken in hoeverre ze al een complete oplossing bieden.”

Thom Sijpesteijn

Researcher Applied Cryptography bij TNO

Kunnen tools helpen of blijft het handwerk?

Een cryptografische inventaris is een overzicht van wat voor algoritmes er in de systemen zitten én hoe gevoelig de gegevens zijn die het algoritme beschermt. Er is een divers aanbod aan tools die kunnen helpen bij het maken van een cryptografische inventaris.

“Wij onderzoeken wat de status is van de verschillende inventarisatie-tools en we kijken in hoeverre ze al een complete oplossing bieden”, vertelt Thom Sijpesteijn van TNO.

Manon de Vries van TNO: “Ik verwacht dat de tools vooral goed zijn in het vinden van cryptografie, maar niet zo goed in het bepalen hoe gevoelig de gegevens in een systeem zijn, omdat dat erg contextafhankelijk is. Zo is informatie in een doktersportaal veel gevoeliger dan op een Wikipedia-pagina, terwijl de tool dat verschil waarschijnlijk niet kan detecteren. Het maken van een inventarisatie zal dus deels handmatig moeten.”

manon_de_vries_350

"Een aanvaller kan nu al data opslaan, zodat hij die later kan ontsleutelen met de quantumcomputer.”

Manon de Vries

Scientist Applied Cryptography en Quantum Applications bij TNO

PQC-migratie kost tijd en geld, maar is wel nodig

Voor bedrijven is de PQC-migratie geen makkelijk proces. Het kost veel tijd en geld en ze moeten kiezen welke systemen ze als eerst omzetten. En ondertussen kunnen er ook weer nieuwere, efficiëntere algoritmes komen, die ze dan opnieuw moeten omzetten. Door die onzekerheid wachten veel bedrijven liever nog met de PQC-migratie. Terwijl de dreiging er nu al is.

“Een aanvaller kan nu al data opslaan, zodat hij die later kan ontsleutelen met de quantumcomputer. Daarom is post-quantumcryptografie nu al belangrijk en niet pas als de quantumcomputer er is”, zegt De Vries. “In Amerika is er al wetgeving die het gebruik van post-quantumcryptografie binnen de overheid verplicht. En hoewel er nog geen wetgeving over is in Nederland, verwachten we dat die verplichtingen er hier ook komen.”

Hulp nodig met migreren? Deze methodes kunnen helpen!

Om bedrijven te helpen bij de PQC-migratie, heeft TNO het PQC-Handboek geschreven. Daarnaast ontwikkelde TNO een risicomethodologie (pdf), waarin staat hoe je een inventarisatie doet en hoe je kunt inschatten welke algoritmes kwetsbaar zijn. Ook heeft TNO een kieswijzer ontwikkeld die helpt bij het kiezen van het juiste algoritme: de ​PQChoiceAssistant.

Werk met ons samen!

De Vries: “Deze risicomethodologie willen we graag testen in de praktijk. We zoeken partijen die onze methodologie willen uitproberen, zodat we het vervolgens weer kunnen verbeteren. In ruil daarvoor helpen wij die partijen weer bij hun migratie. Zo'n samenwerking lijkt ons erg waardevol.” Wil je met ons samenwerken? Neem contact op.

Laat je verder inspireren

25 resultaten, getoond 1 t/m 5

AIVD, CWI en TNO publiceren vernieuwd handboek voor quantumveilige cryptografie

Informatietype:
Nieuws
3 december 2024
Een vernieuwd handboek voor quantumveilige cryptografie. Ontdek de nieuwste adviezen voor een quantumveilige omgeving: cryptografische componenten, quantumrisico’s en wendbaarheid.

Tijdmakers in beeld: Noura El Ouajdi

Informatietype:
Insight
2 december 2024

Diepgaand software testen eenvoudiger gemaakt

Informatietype:
Artikel

Goed geteste communicatie tussen applicaties: ​zo makkelijk kan het zijn

Informatietype:
Insight
15 oktober 2024

SOARCA-tool: geautomatiseerde security tegen cyberaanvallen

Informatietype:
Insight
8 oktober 2024