Waarom nu?

Omdat de levensduur van veel producten langer is dan de onzekerheid rondom Q-Day

Wanneer mensen het woord quantumcomputer horen, denken zij vaak aan een machine die alle beveiliging op internet in één klap onbruikbaar maakt. De werkelijkheid is genuanceerder.

Quantumcomputers bestaan vandaag al, maar zijn nog niet krachtig genoeg om de cryptografie te breken waarop onze digitale wereld vertrouwt. Tegelijkertijd investeren overheden, universiteiten en technologiebedrijven wereldwijd miljarden euro’s in de verdere ontwikkeling van deze technologie.

De vraag is daarom niet óf quantumcomputers zich verder ontwikkelen, maar wanneer zij voldoende krachtig worden om een bedreiging te vormen voor veelgebruikte cryptografische technieken.

Niemand kent het antwoord op die vraag.

Wat we wel weten, is dat organisaties zoals de AIVD, NCSC, NIST, ENISA en NSA zich actief voorbereiden op een overgang naar nieuwe cryptografische standaarden die bestand zijn tegen aanvallen met quantumcomputers.

Niet alle cryptografie wordt geraakt

Een veelgehoord misverstand is dat quantumcomputers alle vormen van encryptie kunnen kraken.

Dat is niet correct.

De grootste impact wordt verwacht op veelgebruikte vormen van asymmetrische cryptografie, zoals RSA en Elliptic Curve Cryptography (ECC). Deze technieken worden vandaag gebruikt voor onder andere:

  • Authenticatie
  • Digitale certificaten
  • Firmware signing
  • Secure boot
  • TLS-beveiliging
  • Sleuteluitwisseling
  • Digitale handtekeningen

Veel vormen van symmetrische cryptografie, zoals AES, blijven ook in een quantumtijdperk bruikbaar. Wel kunnen daarbij grotere sleutellengtes gewenst zijn.

De uitdaging ligt daarom niet in het vervangen van alle cryptografie, maar in het identificeren van de onderdelen die kwetsbaar kunnen worden en het tijdig plannen van een migratie.

Store Now, Decrypt Later

Voor sommige organisaties speelt nog een tweede risico. Een aanvaller hoeft gegevens niet direct te ontsleutelen om er later waarde uit te halen. Versleutelde communicatie kan vandaag worden onderschept en opgeslagen, met als doel deze in de toekomst alsnog te ontsleutelen wanneer quantumcomputers voldoende krachtig zijn geworden. Dit principe staat bekend als:

Store Now, Decrypt Later.

Voor informatie die jarenlang vertrouwelijk moet blijven, zoals intellectueel eigendom, defensiegerelateerde informatie, bedrijfsgeheimen of gevoelige infrastructuurgegevens, kan dit een belangrijke overweging zijn.

Migreren kost vaak meer tijd dan ontwikkelen

In veel organisaties is cryptografie diep verweven met producten en systemen.

Denk aan:

  • Embedded apparaten
  • IoT-systemen
  • Industriële besturingen
  • Voertuigen
  • Communicatienetwerken
  • Cloudplatformen

Cryptografie zit vaak verborgen in protocollen, certificaten, firmware, hardwaremodules en authenticatiemechanismen.

Het vervangen hiervan vraagt meestal meer dan het simpelweg wisselen van een algoritme. Vaak moeten complete architecturen, processen en certificeringsketens worden aangepast.

Juist daarom adviseren overheden en standaardisatieorganisaties om nu al inzicht te krijgen in het gebruik van cryptografie binnen producten en systemen.

Embedded systemen vragen extra aandacht

Voor websites en IT-systemen kunnen beveiligingsupdates relatief eenvoudig worden uitgerold. Voor embedded systemen ligt dat anders.

Een industriële controller, voertuigmodule, IoT-apparaat of communicatiesysteem wordt vaak ontwikkeld voor een levensduur van tien jaar of langer. In veel gevallen zijn deze systemen na installatie moeilijk bereikbaar of slechts beperkt te updaten.

Beslissingen die vandaag worden genomen over cryptografie, authenticatie en beveiligingsarchitectuur kunnen daarom nog jarenlang gevolgen hebben.

Voor veel embedded systemen geldt:

De levensduur van het product is langer dan de onzekerheid rondom Q-Day.

Dat maakt voorbereiding belangrijker dan voorspellen.

Geen reden voor paniek. Wel reden om vooruit te denken.

QET verwacht niet dat organisaties morgen al hun cryptografie moeten vervangen.

Wel geloven wij dat het verstandig is om vandaag inzicht te krijgen in:

  • Welke cryptografie wordt gebruikt.
  • Welke systemen afhankelijk zijn van asymmetrische cryptografie.
  • Welke producten een lange levensduur hebben.
  • Welke migraties in de toekomst noodzakelijk kunnen worden.

Door tijdig inzicht te creëren kunnen organisaties weloverwogen keuzes maken en voorkomen dat zij later onder tijdsdruk grote wijzigingen moeten doorvoeren.

Dat is precies waar QET voor staat.

Thinking Ahead.