ENGINEERINGNET.BE - Cryptografie bestaat uit diverse bouwblokken, die gebruikmaken van algoritmes. Er zijn al algoritmes ontwikkeld die resistent zijn tegen kraken door de quantumcomputer, ofwel post-quantumcryptografie.
Om hierop over te gaan, moet een bedrijf een groot deel van de cryptografie in de systemen omzetten. Dit heet de post-quantumcryptografie-migratie (PQC-migratie).
Omdat bedrijven niet alle algoritmes in één keer kunnen vervangen, moeten ze beginnen met kwetsbare algoritmes die iets belangrijks beschermen. De meeste bedrijven hebben alleen geen goed overzicht van welke cryptografie waar in zit.
Een cryptografische inventaris is een overzicht van wat voor algoritmes er in systemen zitten én hoe gevoelig de gegevens zijn die het algoritme beschermt.
Er is een divers aanbod aan tools die kunnen helpen bij het maken van een cryptografische inventaris. “Wij onderzoeken wat de status is van de inventarisatie-tools en kijken in hoeverre ze al een complete oplossing bieden”, aldus Thom Sijpesteijn van TNO.
Manon de Vries van TNO: “Ik verwacht dat de tools vooral goed zijn in het vinden van cryptografie, maar niet zo goed in het bepalen hoe gevoelig de gegevens in een systeem zijn, omdat dat erg contextafhankelijk is. Zo is informatie in een doktersportaal veel gevoeliger dan op een Wikipedia-pagina, terwijl de tool dat verschil waarschijnlijk niet kan detecteren. Het maken van een inventarisatie zal dus deels handmatig moeten.”
PQC-migratie kost veel tijd en geld, en bedrijven moeten kiezen welke systemen ze als eerste omzetten. Ondertussen kunnen er nieuwere, efficiëntere algoritmes komen, die ze dan opnieuw moeten omzetten. Door die onzekerheid wachten veel bedrijven nog met de PQC-migratie. Terwijl de dreiging er nu al is.
“Een aanvaller kan nu al data opslaan, zodat hij die later kan ontsleutelen met de quantumcomputer. Daarom is post-quantumcryptografie nu al belangrijk en niet pas als de quantumcomputer er is”, zegt De Vries.
“In de VS is al wetgeving die post-quantumcryptografie voor de overheid verplicht. We verwachten we dat die verplichting hier ook komt.”
Om bedrijven te helpen bij de PQC-migratie, heeft TNO het PQC-Handboek geschreven. Ook is een risicomethodologie ontwikkeld, waarin staat hoe je een inventarisatie doet en hoe je kunt inschatten welke algoritmes kwetsbaar zijn.
Verder is een kieswijzer ontwikkeld die helpt bij het kiezen van het juiste algoritme: de PQChoiceAssistant.
