Quantumveilige encryptie is een race tegen de klok
Quantumcomputers gaan gehakt maken van de encryptiemethoden die voor dataverkeer en digitale handtekeningen worden gebruikt.
Quantumcomputers vormen nu al een bedreiging voor alle overheden. Toch ontbreekt het aan actie om die dreiging te adresseren. Dat levert op afzienbare termijn serieuze problemen op. Hoe kunnen bestuurders dit oplossen?
Ontwrichting
In de huidige geopolitieke spanning is duidelijk dat ontwrichting van het maatschappelijk leven een belangrijk wapen is in hybride oorlogsvoering. Digitale communicatie is essentieel voor het functioneren van overheden. Nu nog zijn versleuteld dataverkeer en digitale handtekeningen veilig. Het gebruik van sterke encryptie zorgt voor robuuste internetverbindingen en digitale certificaten. Deze certificaten geven zekerheid over de authenticiteit van de zender en de ontvanger.
Quantumcomputers gaan echter gehakt maken van de encryptiemethoden die voor dataverkeer en digitale handtekeningen worden gebruikt. In de handen van kwaadwillende mogendheden leidt dat tot ontwrichting. Inloggegevens worden openbaar, authenticatie wordt waardeloos en vertrouwelijke communicatie tussen overheden ligt op straat. Dit zijn maar een paar voorbeelden van wat er gaat gebeuren.
Dreiging uit het oosten
Quantumexperts in het westen verwachten dat de eerste computers hier over vijf tot tien jaar toe in staat zijn. Het is echter onduidelijk hoe ver de ontwikkeling is bij mogendheden die de westerse levensstijl afwijzen. Wel is bekend dat India heel hard aan de weg timmert, stelt Ferdinand Griesdoorn, van de Quantum Innovation Hub Rijksoverheid in een artikel dat binnenkort verschijnt in iBestuur. India maakt deel uit van het BRICS-bondgenootschap, een economisch samenwerkingsverband waar ook Rusland en China deel van uitmaken. Zij zijn mogelijk verder dan we denken en kunnen mogelijk nu al onze versleutelde communicatie ontcijferen met quantumtechnologie of dit in de nabije toekomst doen. Denk aan hoe de geallieerden in de Tweede Wereldoorlog jarenlang konden meeluisteren met de Duitse communicatie doordat Alan Turing hun Enigma-versleuteling had ontcijferd.
Het is onduidelijk hoe ver de ontwikkeling is bij mogendheden die de westerse levensstijl afwijzen.
Post-quantumcryptografie
Ook al kunnen de BRICS-landen niet eerder dan de NAVO-bondgenoten beschikken over een geschikte quantumcomputer, het afwenden van de dreiging van ontcijfering is een proces dat zeker vijf tot tien jaar in beslag neemt. De digitale certificaten moeten worden vervangen door een quantumveilige versie, ofwel een certificaat met post-quantumcryptografie (PQC-certificaten). Er is dus geen moment te verliezen om over te schakelen, waarschuwden verschillende experts deze week op een internationale conferentie over post-quantumcryptografie in Austin, Texas. ‘Als we kijken naar de status van voorbereidingen bij lokale overheden, is die nu zeg maar nul’, constateert Ton Oosterwijk, ook aanwezig op de conferentie. Oosterwijk is directeur van PKIpartners, een adviesbedrijf gespecialiseerd in Public Key Infrastructure (PKI) en PKIoverheid.
Geen overzicht over certificaten
Een deel van het probleem is dat overheden geen overzicht hebben over het aantal en de locatie van de certificaten die vervangen moeten worden. ‘Vraag een gemeentefunctionaris Facilitaire Zaken naar hoeveel pasjes er in omloop zijn voor de fysieke toegangspoortjes en er komt een getal, met een kleine foutmarge. Maar vraag naar het aantal digitale certificaten, de sleutels voor de digitale ramen en deuren, en het antwoord is bijna altijd: geen idee.’
De Nederlandse overheden zijn overigens geen uitzondering, blijkt op de conferentie in Austin. ‘Vrijwel geen organisatie heeft volledig overzicht en controle over de situatie’, stelt Tim Callan, Chief Compliance Officer bij de Amerikaanse certificaatuitgever Sectigo.
Wat is de beste aanpak voor dit urgente probleem?
Op de conferentie komen de verschillende stappen in het proces aan de orde:
- Bewustwording: De eerste stap is om het hoger management van de organisatie tot en met de raad van toezicht te doordringen van de noodzaak tijd en geld vrij te maken om dit project aan te pakken. Certificaten zijn geen sexy onderwerp, maar wel cruciaal voor de veiligheid van data.
- Inventarisatie: Creëer een volledig, actueel overzicht van alle certificaten, inclusief openbare en private certificaten, en hun gebruik.
- Automatisering: Certificaten installeren is van oudsher een handmatig proces. Certificaten hebben tot nu toe een lange geldigheidsduur van maximaal 398 dagen, maar dat gaat sowieso veranderen. De geldigheidstermijnen worden naar verwachting door browserleveranciers ingekort. Een voorstel van Apple is 100 dagen in 2026 en tot 45 dagen in 2028. Het certificaatbeheer moet dus vergaand worden geautomatiseerd.
- Bereid systemen voor op post-quantum cryptografie: Ontwikkel een roadmap voor de migratie naar PQC-certificaten, inclusief prioritering van kritieke informatiestromen en voorzieningen. Houd er rekening mee dat de encryptiesleutels een factor twee tot tien langer worden. De systemen moeten daar wel mee om kunnen gaan. Zorg dat softwareontwikkelaars en architecten samenwerken om de afhankelijkheden in de software in kaart te brengen.
- Zorg voor certificaat-agility: Werk aan het opzetten van een organisatie en software waarmee certificaten snel en flexibel vervangen kunnen worden, met name in noodgevallen.
Onvoldoende kennis
De uitgangspositie bij de Nederlandse overheden is niet gunstig. Uit onderzoek blijkt dan ook dat zo’n 60% van de digitale certificaten van de 106 onderzochte gemeenten niet voldoet aan de eisen van de Baseline Informatiebeveiliging Overheid (BIO) 2.0. Dat komt volgens Oosterwijk doordat er onvoldoende kennis over certificaten is bij de kleinere organisaties. Hij vindt ook dat de audit- en controlemechanismen ontoereikend zijn. Digitale certificaten maken geen deel uitmaken van de opleiding van IT-auditors.
Oosterwijk denkt dat een centrale regie, betere educatie en samenwerking tussen overheid, wetenschap en vertegenwoordigers uit de praktijk cruciaal zijn om de uitdagingen het hoofd te bieden. ‘Deze problematiek vraagt om een gecoördineerde aanpak, openheid en samenwerking zonder dubbele of verzuilde agenda’s.’
Deltawerken-aanpak
Hij pleit voor het organiseren van een landelijk terugkerend evenement om deze problematiek te bespreken en kennis te delen. Wat moet daar wat hem betreft uitkomen? ‘Een duidelijke richting, een gecentraliseerde, geregisseerde aanpak, net zoals de Deltawerken. Kijk, het is niet te laat hoor. Ik ben geen fatalist. Maar we moeten niet proberen om wat in het verleden een bewezen werkwijze was, op het heden toe te passen. De gezapigheid en de verzuiling moeten eruit’, aldus Oosterwijk.
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.