Door Manon de Vries

Securitydreigingen door quantum computing: voor ieder bedrijf met IP of privacygevoelige data relevant

Quantum Computing

Quantum computing maakt een flinke groei door. Waar er voorheen met name uit academische kringen in werd geïnvesteerd, wekt de technologie nu ook de interesse van andere partijen.

In 2018 en 2017 werd er alleen al 450 miljoen dollar privaat geïnvesteerd in quantum computers. De toepassingsmogelijkheden zijn prachtig, maar de keerzijde is dat de security-uitdagingen nog een stapje groter worden. Wat zijn de feiten en fabels rondom deze technologie en wat moet je doen om het komende decennium goed voorbereid te zijn op quantum computing?

Feit: we moeten nu actie ondernemen

Het acute gevaar van quantum computers is dat ze in staat zijn om onze hedendaagse encryptie te breken. Hier wordt door diverse bedrijven en universiteiten hard aan gewerkt. De verwachting is dat er over vijf tot hooguit vijftien jaar quantum computers zijn die dit kunnen. Nu kun je denken: ‘Nou en, dat duurt nog jaren en tegen die tijd is (post-)quantum encryptie wel uitontwikkeld. Het is dan vroeg genoeg om erover na te denken.’ Niets is minder waar. Vergeet niet dat er nu al partijen zijn die versleutelde data opslaan om deze straks te ontcijferen. Denk maar eens aan het Amerikaanse National Security Agency. Dat betekent dat je huidige bedrijfsgeheimen straks op straat liggen.

Fabel: alleen grote bedrijven lopen gevaar

Een ander veelgehoord argument om geen actie te ondernemen, is dat alleen grote bedrijven zich zorgen moeten maken, maar dat middelgrote bedrijven niet zoveel gevaar lopen. Ieder bedrijf met intellectual property dat over vijf tot tien jaar nog altijd tot de belangrijkste assets behoort, moet er nu mee aan de slag. Net als ieder bedrijf dat weet dat huidige klantgegevens over vijf of tien jaar nog altijd privacygevoelig zijn. Want of het nu gaat om een geheime receptuur of om medische of financiële data die je van klanten bewaart, als je niet wilt dat in de toekomst je huidige kritische data niet veilig meer is, moet je hier nu mee aan de slag.

Fabel: quantum encryptie is het enige antwoord op de securityuitdagingen van quantum computing

Je hebt twee antwoorden op de komst van de quantum computer. Quantum encryptie en post-quantum encryptie. Quantum encryptie wordt soms gepresenteerd als dé oplossing. Dit is fictie. Natuurlijk, quantum encryptie maakt gebruik van quantum eigenschappen en is bewijsbaar veilig, maar het betekent ook dat je speciale hardware én netwerken én infrastructuur nodig hebt die nu nog niet commercieel beschikbaar zijn. Quantum encryptie staat in de kinderschoenen en gaat voor de meeste toepassingen niet de oplossing zijn. Voor verreweg de meeste bedrijven is post quantum encryptie, zeker op dit moment, de enige echte oplossing voor het probleem. Dit kan je vandaag al gebruiken en vereist behalve wat extra computerkracht niks extra’s.

Feit: Cloudproviders zijn behoorlijk goed voorbereid op quantum computing

Cloud providers zijn in de regel behoorlijk ver in hun voorbereiding op securitydreigingen door quantum computing. Dat is een voordeel voor kleinere bedrijven, die vaak met een groot deel van hun IT-landschap in de cloud zitten. Kleinere bedrijven maken bovendien meestal gebruik van de crypto van derde partijen. Zij hoeven dus niet hun eigen crypto aan te passen, maar kunnen volstaan met aan hun leveranciers te vragen hoe zij zich voorbereiden op de komst van de quantum computer. Welke libraries gebruiken zij? Werken zij al met versies die post quantum crypto ondersteunen? Als je dit helder hebt, ben je al een heel eind.

Fabel: Langere sleutellengtes zorgen ervoor dat je veiliger bent

Dit is fictie, het gaat om het algoritme dat je gebruikt. Als je de huidige cryptografie zou willen blijven gebruiken, zou je de sleutels zo ontzettend groot moeten maken, dat het niet bruikbaar zou zijn.

Fabel & fictie: Symmetrische encryptie is veilig

Ja, symmetrische algoritmes zijn veilig. AES bijvoorbeeld kun je blijven gebruiken. Maar, bedenk dat deze vaak een sleutel gebruiken die met asymmetrische encryptie is gegenereerd. Deze sleutel is kwetsbaar voor de quantumcomputer. Hierbij geldt, de zwakste schakel breekt de keten.

Voorbereidingen op quantum computing

Wil je goed voorbereid zijn op de uitdagingen die quantum computing op securitygebied met zich meebrengt, dan zijn er twee voorbereidingsmaatregelen die je nu al kunt treffen:

  1. Analyseren welke cryptografie je nu waar gebruikt. Op die manier heb je in ieder geval het probleem helder in kaart.
  2. Zorgen dat je crypto agile wordt, zodat je makkelijk kunt overschakelen naar nieuwe vormen van cryptografie.

De laatste stap, overschakelen naar post quantum crypto, kun je het best over twee of drie jaar zetten, als de huidige competities zijn afgerond en er dus goed geteste en efficiënte algoritmes zijn. Je kunt er wel nu alvast rekening mee houden dat post quantum crypto in veel gevallen zwaarder is en dus meer rekenkracht vergt.

Relevante content

Ilionx logo