Q-day is een dag waar veel cybersecurity-experts bang voor zijn. Het is de dag waarop quantumcomputing het punt bereikt waarop het de encryptiemethoden kan doorbreken die het grootste deel van het internet beschermen. In Estland spreken ze het over het atoombom-effect, vertelde staatssecretaris Szabó tijdens zijn toespraak op het ECP-congres. Wat is Q-day precies en waarom moeten we daar bang voor zijn?
Traditionele supercomputers zouden vele duizenden jaren nodig hebben om onze huidige encryptie-algoritmen te kunnen kraken. Met quantum computing gaan we een enorme sprong maken in de verwerkingskracht van data. Gevolg is de huidige encryptiemethoden dan feitelijk verouderd raken.
Stel dat deze quantumtechnologie in handen valt van een schurkenstaat of een hackergroep. Ze zouden het kunnen misbruiken om wachtwoorden van bankrekeningen te stelen, geheime militaire documenten te onderscheppen die via internet worden verzonden, of zelfs informatie te vervalsen die naar een kerncentrale wordt gestuurd. De gevolgen van dergelijke inbreuken zouden op zijn zachtst gezegd ernstig zijn.
SDNL-aanpak
Het duurt nog wel een tiental jaren voor de technologie zover is, maar dat betekent niet dat we rustig kunnen afwahten. Cybercriminelen verzamelen momenteel al op grote schaal versleutelde informatie, die ze dan later kunnen decoderen, de zgn. ‘nu stelen, later decoderen’-aanpak (SNDL). Denk aan gevoelige bedrijfsinformatie of gezondheids- en financiële gegevens van mensen. Deze strategie blijft vaak onopgemerkt blijft de gestolen dat nog niet gebruikt worden. Hierdoor weten organisaties en personen vaak niet dat hun gegevens zijn gestolen. En als ze het wel weten geeft het feit dat de gegevens versleuteld zijn hen een vals gevoel van veiligheid.
Nieuwe encryptietechnieken nodig
Traditionele computers werken met binaire gegevens, wat betekent dat elke bit een één of een nul vertegenwoordigt. Quantumcomputers gebruiken daarentegen qubits (quantumbits).Deze kunnen een nul, een één of elk deel van een nul of één vertegenwoordigen in de superpositie van beide statussen. Met superpositie kunnen quantum-algoritmen gegevens verwerken in een fractie van de tijd die zelfs de snelste klassieke systemen nodig zouden hebben om bepaalde problemen op te lossen. Hiermee kunnen kwaadwillenden de reguliere computerbeveiliging grotendeels kunnen omzeilen, is de verwachting.
Om zich voor te bereiden op de overgang naar een nieuwe vorm van encryptie, moeten organisaties inventariseren welke encryptie-algoritmes er gebruikt worden in hun systemen en zich ervan verzekeren dat een combinatie van de huidige en de nieuwe encryptie-algoritmes waar mogelijk kan worden toegepast.
Het National Institute of Standards and Technology (NIST) heeft inmiddels drie standaarden voor quantumveilige cryptografie gepubliceerd. De nieuwe quantumveilige standaarden richten zich op 2 fundamentele functies van cryptografie: key encapsulation en het genereren van digitale handtekeningen. De officiële namen van de standaarden zijn: FIPS 203, FIPS 204 en FIPS 205. NIST rondt naar verwachting nog een vierde standaard af, meldt het ministerie van BZK. Ook de komende jaren zal er aan meer standaarden worden gewerkt.
Waarschuwingen uit Europa
Dit voorjaar waarschuwden twintig Europarlementariërs al voor de quantumdreiging in een brandbrief aan de Europese Commissie. ‘Pessimistische schattingen gaan uit van een kans van 33 procent dat een dergelijke computer wordt gebouwd in de komende vijftien jaar, en positieve schattingen stellen zelfs dat er 11 procent kans is dat zo’n computer al in de komende vijf jaar wordt ontwikkeld,’ aldus de brief. Het kostte in het verleden meer dan tien jaar om over te stappen op een andere vorm van versleuteling, waarschuwen de Europarlementariërs. De Europese Commissie ging naar aanleiding van de brandbrief in gesprek is met lidstaten en inlichtingen- en veiligheidsdiensten. Landen werden aangemoedigd om algoritmes en standaarden te ontwikkelen die kunnen bijdragen aan de bescherming van digitale systemen tegen deze dreiging. De Commissie probeert de nationale plannen van lidstaten op dit vlak zoveel mogelijk in lijn te krijgen met de Europese visie.
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en het Nationaal Cyber Security Centrum (NCSC) hebben een gezamenlijke handreiking ’Maak je organisatie quantumveilig’ gepubliceerd.
Lees ook:
- Hoe kwantumcybercriminaliteit nu al plaatsvindt – iBestuur
- Niet afwachten tot kwantumcomputer encryptie kan kraken – iBestuur
- Vestager reageert op Europese brandbrief over kwantumveilige encryptie – iBestuur
