De meeste quantumexperts en quantumbedrijven denken volledig ten onrechte dat zo’n beetje elke organisatie bezig is met een quantumcrypto-migratieplan. In werkelijkheid hebben de meeste organisaties geen flauw benul dat ze te maken krijgen met een quantumprobleem waar ze zich zorgen over moeten maken. En dat terwijl partijen als CISA, de NSA en andere branchegroepen al sinds 2016 roepen dat organisaties zich toch echt wel moeten voorbereiden op de aanstaande quantumcryptografiemigratie. Oftewel: de dag waarop alle apparaten, software en firmware moeten worden gemigreerd naar quantumresistente cryptografie (ook wel post-quantumcryptografie genoemd).
Een deel van het probleem hier is dat niemand weet wanneer de dag aanbreekt dat er voldoende capabele quantumcomputers zullen bestaan om de quantumgevoelige cryptografie die organisaties nu gebruiken aan te vallen. Sommigen vermoeden dat die dag al lang achter ons ligt, maar dat dit bij het brede publiek nog niet bekend is. Anderen vermoeden dat het nog tien jaar of langer kan duren. Maar als het nog niet is gebeurd, kan het elke dag gebeuren. De grote landen van de wereld, vooral de VS en China, strijden om wie als eerste quantumcomputers tegen hun tegenstanders en concurrenten kan gaan gebruiken.
Er zijn tientallen handleidingen voor organisaties beschikbaar waarmee ze zich kunnen voorbereiden op de dag waarop quantumcomputers met voldoende capaciteit een groot deel van de hedendaagse cryptografie kunnen kraken. Ik ben voorstander van de Practical Preparations in a Post-Quantum World van de Quantum Safe Secure-werkgroep van de Cloud Security Alliance, waar ik zelf ook aan heb meegeschreven.
Waaruit bestaat een Quantum Crypto-migratieplan?
Een migratieplan voor kwantumcryptografie bestaat uit verschillende stappen.
Educatie
Stap één: informeer iedereen in je organisatie die betrokken is bij IT over de aanstaande migratie naar quantumresistente cryptografie. Het zal waarschijnlijk een van de grootste projecten zijn die je organisatie ooit heeft ondernomen; eentje die jaren zal duren en waarbij tientallen tot vele honderden mensen betrokken zullen zijn (afhankelijk van de omvang van je organisatie). Het gaat over bijna alle hardware, software, firmware en apparaten in je bedrijf. Het is misschien wel een van de duurste projecten die je organisatie ooit heeft ondernomen, en toch hebben de meeste bedrijven er nog nooit van gehoord, laat staan dat ze er geld voor hebben uitgetrokken.
Je moet dus IT-leiders, senior leiders, het C-level en de Raad van Bestuur (als dat op jou van toepassing is), en uiteindelijk iedereen in de organisatie, informeren over de uitdaging die quantumcryptografie heet. Er zijn veel goede samenvattingen van dit probleem beschikbaar. Bijlage A van “Practical Preparations in a Post-Quantum World” bevat zelfs een voorbeelddocument van twee pagina’s dat geschikt is voor C-level.
Start je project
Creëer een ‘post-quantum’-project voor de organisatie. Je hebt iemand nodig die het probleem op zijn minst op een technisch basisniveau begrijpt. Dit kunnen mensen zijn die zich bezighouden met cryptografie; ze hoeven niet per se verstand te hebben van quantumcomputers en post-quantumcryptografie. Je hebt waarschijnlijk een projectmanager nodig en, afhankelijk van je omvang, een toegewijde projectmanager. Natuurlijk heb je ondersteuning van het senior management nodig. Dit project zal lang duren, en zelfs als je geen cent hoeft uit te geven of consultants hoeft in te schakelen, zal het honderden tot tienduizenden uren kosten. Het is niet gratis, zelfs als je er geen geld aan uitgeeft.
Lokaliseer en inventariseer welke data beschermd moet worden
Lokaliseer elk apparaat, software en firmware die cryptografie bevat (en dat zijn de meeste dingen) dat gegevens bevat die nu of over een paar jaar beschermd moeten zijn. Als je bedrijfskritische gegevens hebt die je langer dan vijf jaar geheim moet houden en waarvan je het vermoeden hebt dat een concurrent of tegenstander deze misschien wel wil zien, zelfs in de nabije toekomst, moet je nu beginnen met het beschermen van die gegevens.
Je moet de gebruikte cryptografie identificeren (zoals algoritme, momenteel gebruikte sleutelgrootte, maximaal toegestane sleutelgrootte zonder vervanging) en de gegevens die deze beschermt. Er is nog geen software beschikbaar die al je cryptografie in je hele omgeving kan vinden, ook al zeggen sommige leveranciers van wel. Dit wordt waarschijnlijk een van de moeilijkste, meest tijdrovende en duurste taken in het project. Vaak weet je dat je een toepassing met cryptografie hebt, maar kan je niet identificeren wat het is of hoe je deze kunt wijzigen. Je zult contact moeten opnemen met elke leverancier van elk product dat je gebruikt en hen vragen welke cryptografie zij vandaag de dag gebruiken en hoe zij van plan zijn te reageren op post-quantumbehoeften. Wordt het een eenvoudige upgrade of moet apparatuur vervangen worden? Valt dit onder de huidige support of moet je iets geheel nieuws kopen?
Analyse en implementatie
Op basis van je behoeften met betrekking tot kritieke data en de bevindingen van je inventarisatie bepaal je wat er moet worden vervangen en geüpgraded, en wanneer. Er zijn veel manieren om bescherming te krijgen in een post-quantumwereld. Denk aan:
- Fysieke bescherming van gegevens tegen afluisteren
- Het vergroten van de sleutelgrootte naar 256 bits waar nodig voor bestaande quantumbestendige cryptografie zoals AES
- Post-quantumcryptografie gebruiken (wat de meeste mensen zullen doen)
- Gebruik Quantum Key Distribution om netwerktransmissies te beschermen
- Quantumcryptografie gebruiken (niet zo populair)
- Gebruik een combinatie van manieren om je verdedigen (hybrid defenses)
- Gebruik generatoren voor willekeurige quantumgetallen
Natuurlijk is het lastig voor organisaties om zich te concentreren op de komende hypothetische quantumdreiging als er nu al zoveel echte bedreigingen zijn die echte schade aanrichten, waaronder ransomware. Maar dat het een dreiging wordt, staat buiten kijf, en dus moet je je er actief op voorbereiden. Het wordt een van de langste en duurste projecten waar je ooit bij betrokken bent geweest. De organisaties die nu beginnen met de voorbereidingen zullen op de lange termijn waarschijnlijk beter gepositioneerd zijn met betere, niet-gehaaste opties.
Dit is een ingezonden bijdrage van KnowBe4. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.