Security-teams moeten zich voorbereiden op quantum computing

Als de beoogde voordelen van quantum computing realistisch blijken zal dat uitstekend nieuws zijn voor de IT-problemen die traditionele computers simpelweg niet aankunnen. Denk aan doorbraken op het gebied van artificial intelligence, complexe kernfusiemodellen, optimalisatie van zonnecellen, modellering van financiële markten en de behandeling van ziektes als kanker. De andere kant van het verhaal is dat veel cryptografische algoritmes overbodig zullen raken, en daar zullen securityprofessionals op moeten anticiperen. Veelgebruikte cryptografieschema’s om data te versleutelen zijn bijvoorbeeld afhankelijk van het onvermogen van "klassieke" rekenkracht om priemfactoren op te lossen in grote integers. Voor een volledig functionerende en krachtige kwantumcomputer zal het echter best haalbaar zijn.

De bescherming tegen quantumkraken is in ontwikkeling

De tijd dringt voor normalisatie-instanties, regeringen en gebruikersorganisaties om zaken op orde te krijgen. Ook veel security-managers en CIO’s maken de fout om te denken dat quantum computing nog lang op zich zal laten wachten. Het tegendeel is waar. Zo maakte Goldman Sachs kortgeleden bekend dat zij al enige jaren met het Silicon Valley-bedrijf QC Ware oplossingen ontwikkelen voor het uitvoeren van complexe marktberekeningen.

Hoewel het nog even kan duren voordat de gemiddelde cybercrimineel over een krachtige quantum computer beschikt, zullen staatshackers er rap bij zijn. NIST en het National Cybersecurity Center of Excellence realiseren zich dat maar al te goed en werken actief aan de verdedigingslinie. In april 2021 publiceerden zij de whitepaper “Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms” om mensen voor te bereiden op de uitdagingen van en vereisten voor de overgang naar post-quantum cryptography. Ook schreef NIST in 2017 een wedstrijd uit voor de ontwikkeling van post-quantum cryptografische algoritmes, die bestand zijn tegen cyberaanvallen met quantumcomputers. Inmiddels zijn er nog 3 kandidaten in de race. Naar verwachting kan er met behulp van het winnende algoritme in 2024 een standaard ontwikkeld worden. Een mooie ontwikkeling, maar de eerste echte mijlpaal laat dus nog even op zich wachten.

Hoe bedrijven nu veerkracht kunnen inbouwen

De ontwikkeling van post-quantum cryptografische algoritmes is een start, maar niet de totaaloplossing. De protocollen hebben een infrastructuur nodig en moeten binnen nieuwe en bestaande zakelijke technologieën en beveiligingssystemen worden toegepast. Dit heeft best wat voeten in de aarde. Het is daarom raadzaam dat bedrijven nu al veerkracht inbouwen in hun IT-infrastructuur. Ze kunnen nu al een inventaris opmaken van alle systemen die gebruikmaken van risicovolle cryptografische technieken. Dat beperkt zich niet tot hun hun security-oplossingen, maar betreft ook de technologie die door hun dienstverleners wordt gebruikt, en de hardware en software die elders binnen de organisatie worden ingezet. Organisaties moeten nagaan of ze die systemen aangevuld kunnen worden met nieuwe cryptografische technieken of dat ze die moeten vervangen zodra quantum computing zijn entree maakt. Voor de nieuwe IT-oplossingen moet bedrijven ook nadenken over de toekomst en rekening houden met upgradeprojecten.

Zodra quantumcomputers in gebruik worden genomen moeten alle encryptiesleutels die binnen de organisatie zijn opgeslagen worden vervangen door sleutels die (hopelijk) wel bestand zijn tegen quantumaanvallen. Daarnaast moeten oude back-ups permanent worden gewist of opnieuw worden versleuteld. Want als quantum computing zijn entree maakt, kunnen bedrijven niet langer vertrouwen op de geheimhouding of integriteit van hun bestaande data.

"De integriteit van data en betrouwbaarheid van informatiebronnen zal op losse schroeven komen te staan als die gegevens niet worden bewerkt of ingekapseld (zoals een nieuwe digitale handtekening of timestamp) op basis van een mechanisme dat niet vatbaar is voor quantum-aanvallen", zo waarschuwen de auteurs van het NIST-rapport. Want als cybercriminelen erin slagen om een back-up van eerder versleutelde data te bemachtigen, is er niets wat bedrijven kunnen doen om te voorkomen dat ze toegang krijgen tot die data.

De noodzaak van samenwerking tussen organisaties in de publieke en private sector

Zoals gezegd kunnen organisaties zich nu voorbereiden door mogelijke risico’s te inventariseren en flexibiliteit in te bouwen. Deze voorbereiding zal niet gemakkelijk zijn en de inventarisatie kan jaren duren. Dat klinkt misschien als een duurloop, maar je wilt het puntje bij paaltje niet afleggen tegen kwaadwillenden. Het is daarom essentieel dat organisaties zoveel mogelijk samenwerken met vendoren en relevante instanties. De private sector kan tools creëren die ondernemingen helpen te identificeren waar hun risicovolle cryptografische systemen binnen hun organisatie worden gebruikt en die systemen te inventariseren. Leveranciers kunnen hun klanten op de hoogte houden van road maps om de codering bij te werken en informeren over het updatepad: is er binnen oplossingen bijvoorbeeld sprake van beperkingen ten aanzien van de sleutelomvang? Zijn er factoren die de doorvoercapaciteit beperken? Kan de encryptiefunctionaliteit van apparatuur softwarematig worden aangepast, of moeten er hardwarecomponenten worden vervangen? Deze samenwerking is essentieel om de race tegen de klok te winnen.

Het is onduidelijk wanneer quantum computing in staat zal zijn om veelgebruikte cryptografische technieken te kraken. Dat wil niet zeggen dat organisaties, en in het bijzonder securityspecialisten, het zich kunnen permitteren om achter te leunen. Door nu al de nodige inventarisaties te maken en flexibiliteit in te bouwen kunnen ze zich voorbereiden op het dreigingslandschap van de toekomst.

Bogdan “Bob” Botezatu is Director of Threat Research and Reporting bij Bitdefender