Naar de inhoud Naar de navigatie

Verslag bijeenkomst Open Huis van de Architectuur september

Inleiding[bewerken]

Dit is een geschreven verslag op basis van de presentatie van 5 september 2024 tijdens de bijeenkomst van het Open Huis van de Architectuur september 2024. Dit is een poging om een deel van de informatie uit de presentatie beter toegankelijk te maken aangezien het een onderwerp betreft wat voor bezoekers van de NORA mogelijk relevant is, terwijl er op de NORA nog weinig informatie over te vinden is.

Quantum Computing[bewerken]

Quantum Computing is een nieuwe manier om complexe berekeningen uit te voeren. Het is nog in ontwikkeling, maar het is de verwachting dat er op de middellange termijn grote stappen voorwaarts worden gezet. Quantum Computing is geschikt voor specifieke soorten berekeningen. In deze presentatie gaat het met name om de verwachting dat Quantum Computing op niet al te lange termijn bestaande methoden van encryptie kan kraken.

Meer specifiek is de verwachting dat toepassingen van symmetrische cryptografie voor sleuteluitwisseling (ECDHE) en Authenticatie (RSA) kunnen worden gebroken. Voor toepassingen van asymmetrische cryptografie voor vertrouwelijkheid (AES) is de verwachting dat dit voor 50% kan worden gebroken en voor integriteit (SHA256) is het nog onduidelijk. Het is belangrijk dat hier nu al op wordt ingespeeld. Door 'store now, decrypt later' is het belangrijk dat informatie ook in de toekomst nog veilig versleuteld is. Er zijn landen waar nu al op grote schaal onderschepte geincrypte data wordt opgeslagen om deze zodra de techniek het toelaat te ontsleutelen.

Nederland[bewerken]

De AIVD heeft het PGC-migratie handboek gepubliceerd met richtlijnen voor migratie naar post-quantumcrypto (PQC). Hierbij wordt aangegeven dat urgente adapters (waaronder de Rijksoverheid) nu al maatregelen moeten nemen. Dan gaat het met name om:

  • Gevoelige informatie van de organisatie met een lange vertrouwelijkheidstermijn
  • Persoonlijke informatie met een lange vertrouwelijkheidstermijn, zoals paspoorten
  • Aanbieden van systemen voor de kritieke infrastructuur: betalingsverkeer, energie, transport
  • Aanbieden van systemen met een lange levensduur: waterbeheer, chemische industrie, drinkwater en spoor

Europese Unie[bewerken]

Er is een EU workstream om aanbevelingen van de Europese Commissie te realiseren. De geplande looptijd is september 2024 tot april 2027. Deze aanbeveling "over een routekaart voor een gecoördineerde uitvoering van de transitie naar post-kwantumcryptografie" luidt als volgt:
1. Toepassingsgebied en doelstellingen Het doel van deze aanbeveling is de transitie naar post-kwantumcryptografie voor de bescherming van digitale infrastructuren en diensten voor overheidsdiensten en andere kritieke infrastructuren in de Unie te bevorderen door de lidstaten de mogelijkheid te geven om:

  • Een routekaart voor een gecoördineerde uitvoering van post-kwantumcyptografie vast te stellen die er op gericht is om de inspanningen van de lidstaten voor het ontwerp en de uitvoering van nationale transitieplannen te synchroniseren, en om grensoverschrijdende interoperabiliteit te waarborgen;
  • met de hulp van cyberbeveiligingsdeskundigen de evaluatie en de selectie van toepasselijke post-kwantumcryptografiealgoritmen van de EU te ondersteunen, evenals de verdere vaststelling van dergelijke algoritmen als Unienormen die in de Unie als onderdeel van de routekaart voor een gecoördineerde uitvoering van post-kwantumcryptografie moeten worden toegepast;
  • passende en evenredige maatregelen te nemen om zich op deze transitie voor te bereiden.


2. Routekaart voor een gecoördineerde uitvoering van de transitie naar post-kwantumcryptografie

  • Aanmoedigen dat de lidstaten hun maatregelen op EU-niveau via een subgroep coördineren.
  • Afstemmen met andere instanties, zoals Europol en de NAVO, om dubbel werk te voorkomen en een samenhangende aanpak van nieuwe uitdagingen te waarborgen.
  • De subgroep moet snel worden opgericht en deskundige vertegenwoordigers aan te wijzen die nauw met de Commissie moeten samenwerken voor ontwikkelen en bepalen van de routekaart.
  • De routekaart moet in april 2026 beschikbaar zijn, gevolgd door ontwikkeling en aanpassing van de plannen voor de transitie naar post-kwantumcryptografie van de afzonderlijke lidstaten.

3. Maatregelen op Unieniveau

  • Periodieke monitoring en beoordeling van de werkzaamheden door de Commissie, in samenwerking met de deskundige vertegenwoordigers van de lidstaten.
  • Landen leveren op verzoek van de Commissie voldoende informatie over de voortgang.
  • Op basis van deze informatie en alle andere beschikbare informatie beoordeelt de Commissie de geplande maatregelen en de werking van het netwerk van vertegenwoordigers van de lidstaten en bepaalt zij of er aanvullende maatregelen nodig zijn, zoals voorstellen voor bindende handelingen van het Unierecht.

4. Evaluatie

  • Uiterlijk april 2027 moeten de lidstaten met de Commissie samenwerken om de gevolgen ervan te beoordelen en passende volgende stappen te bepalen. Bij deze beoordeling moeten de resultaten van de werkzaamheden van de nationale deskundigen in de subgroep postkwantumcryptografie in acht worden genomen.

Nederlands standpunt inzake Europese aanbevelingen[bewerken]

Op 17 mei 2024 heeft het Kabinet het NL standpunt hierover gepubliceerd. De essentie van het Nederlandse beleid wordt is als volgt samengevat:

  • Het programma QvC Rijk werkt het beleid op de transitie naar post-quantum cryptografie uit
  • AIVD en NCSC hebben een handleiding en aanvullende handreiking gepubliceerd in 2023 (PQC-migratiehandboek)
  • Transitie naar PQC is onderdeel NLCS en Dcypher voert hierbinnen de routekaart crypto-communicatie uit
  • Post-quantum cryptografie is een van de prioritaire onderwerpen in de agenda voor Cybersecurity Technologies onder de Nationale Technologiestrategie (NTS)
  • Nederland heeft een afwijkend standpunt ten opzichte van Quantum Key Distribution (QKD) en ziet hier momenteel geen rol voor.

Inzet van het kabinet:

  • Het kabinet zet zich ervoor in dat de aanbeveling, met uitzondering van het gedeelte over constructies met QKD van de Commissie uitgevoerd zal worden
  • De overheid werkt hiervoor samen met andere lidstaten, o.a. via het voorgestelde lidstatenforum. Het kabinet zal zorgen voor een afvaardiging in dit lidstatenforum, waarin zij onder andere kennis zal delen
  • Ook zal personele inzet geborgd worden, zowel voor coördinatie binnen Europa, als ook voor de vormgeving van de transitie in Nederland, en het bijdragen aan standaardisatie-initiatieven

Programma QvC Rijk[bewerken]

Doel: We richten een programma in om de Rijksoverheid te helpen de risico’s van quantumtechnologie op cryptografie op tijd te beheersen. QvC Rijk ondersteunt en stimuleert door:

  • bewustwording, kennis en communicatie te leveren i.s.m. onderzoek en wetenschap en uitwisseling daarvan stimuleren voor alle doelgroepen binnen het Rijk
  • adequaat beleid, kaders en richtlijnen beschikbaar te stellen en daarmee departementen in hun verantwoordelijkheid te ondersteunen
  • handreikingen en een expertisecentrum te bieden en daarmee de (voorbereiding van) veilige en tijdige mitigatie van de risico’s faciliteren.

Er is sprake van een hoge mate van onzekerheid (o.a. snelheid van quantum-ontwikkelingen). Om deze reden wordt de roadmap van het QvC programma periodiek bijgesteld.
De snelheid van de ontwikkelingen en de onzekerheid zorgen er voor dat er nog geen gedetailleerd plan is uitgewerkt wat overheden kunnen volgen. Er zijn pilots geweest waaruit naar voren is gekomen dat cryptografie op veel plaatsen wordt gebruikt. In een applicatie worden verschillende vormen van cryptografie gebruikt. Een probleem is dat vaak onduidelijk is welke cryptografie waar worden gebruikt. Afnemers van software denken vaak dat de leverancier hier wel zicht op heeft, maar dat blijkt niet altijd het geval. Er blijken zelfs standaarden te worden gebruikt die nu al verouderd zijn. Een eerste belangrijke stap die nu al genomen zou moeten worden is om in kaart te brengen waar cryptografie wordt toegepast en volgens welke standaard, zodat als standaarden niet meer voldoen hier direct op kan worden ingegrepen.

Vijflaagsmodel[bewerken]

  • Grondslagenlaag:
    • Wet- en regelgeving: NIS2, CRA Aanbeveling Europese Commissie, EU routekaart transitie naar PQC, BIO, etc.
    • Beleid: Rijksbreed beleidskader cryptografie
  • Organisatorische laag: (Cryptografie in) Ontwerp- en ontwikkelprocessen (crypto agility); IT-asset management, Lifecycle-management, Inkoop- en leveranciersmanagement, kwetsbaarheden management, Changemanagement, etc.
  • Informatielaag: Afspraken metadata cryptografie (ihkv SBOM) - gerelateerd aan bv assetmanagement en kwetsbaarheden management
  • Applicatielaag: Toepassing van cryptografie op de applicatielaag tbv verschillende functies waar cryptografie voor wordt ingezet
  • IT-Infrastructuurlaag: Toepassing van cryptografie op de IT-infrastructuurlaag voor versleuteling

Wat kun je nu al doen?[bewerken]

Wat je nu al kunt/moet doen:

  • Bescherm nu je informatie die langdurig geheim moet blijven, ken je te beschermen belangen (TBB)
  • Neem de quantumdreiging op in je risicomanagementproces.
  • Symmetrische cryptografie: Verleng de sleutels.
  • Voeg eisen voor (toekomstige) cryptografie toe in aanbestedingen.

Voorbereidingen nu voor wijzigingen later:

  • Weet waar je welke cryptografie gebruikt (borg het in assetmanagement).
  • Zorg dat je voorbereidende wijzigingen doorvoert (bv TLS 1.3).
  • Ga met je leveranciers in gesprek over cryptografie in hun producten.

Meer weten?[bewerken]

De betekenis die mensen geven aan gegevens in een context.

Ga naar de pagina met de definitie van 'informatie'

Groep mensen die samenwerken om specifieke doelen te bereiken.

Ga naar de pagina met de definitie van 'organisatie'

Het geheel van voorzieningen dat nodig is om iets te laten functioneren.

Ga naar de pagina met de definitie van 'infrastructuur'

Datgene wat je wil bereiken in de context van een missie.

Ga naar de pagina met de definitie van 'doel'

De representatie van een toekomstige werkelijkheid.

Ga naar de pagina met de definitie van 'ontwerp'

Het vermogen van entiteiten om te kunnen interacteren.

Ga naar de pagina met de definitie van 'interoperabiliteit'

Het plannen, aansturen van, en toezien op werkzaamheden door uitvoerders.

Ga naar de pagina met de definitie van 'coördineren'

Een vooraf vastgestelde handelwijze voor het realiseren van doelen.

Ga naar de pagina met de definitie van 'beleid'

Een combinatie van taken die een medewerker tijdelijk op zich neemt en die afwisselend door verschillende personen kan worden vervuld, aangevuld met bevoegdheden en verantwoordelijkheden.

Ga naar de pagina met de definitie van 'rol'

De plicht of verplichting om bepaalde taken uit te voeren en daarover verantwoording af te leggen.

Ga naar de pagina met de definitie van 'verantwoordelijkheid'

Een computerprogramma voor gebruikers.

Ga naar de pagina met de definitie van 'applicatie'

Vaststaand, erkend voorbeeld of model.

Ga naar de pagina met de definitie van 'standaard'

De laag binnen het NORA-vijflaagsmodel voor de specificatie van de architectuur van grondslagen.

Ga naar de pagina met de definitie van 'Grondslagenlaag'

Het deel van de organisatie dat zich bezig houdt met het managen.

Ga naar de pagina met de definitie van 'management'

De laag binnen het NORA-vijflaagsmodel voor de specificatie van de architectuur van informatie.

Ga naar de pagina met de definitie van 'Informatielaag'

De laag binnen het NORA-vijflaagsmodel voor de specificatie van de architectuur van applicaties.

Ga naar de pagina met de definitie van 'Applicatielaag'
Overgenomen van "https://www.noraonline.nl/index.php?title=Verslag_bijeenkomst_Open_Huis_van_de_Architectuur_september&oldid=76097"