Bij de rijksoverheid is het programma ‘Quantumveilige Cryptografie Rijk’ (QvC-Rijk) in het leven geroepen. Doel is om alle rijksorganisaties voor bereiden op de risico’s van quantumtechnologie voor cryptografie.
Het programma QvC-Rijk valt onder de I-strategie Rijk en wordt aangestuurd door de stuurgroep Digitale Weerbaarheid. Het richt zich op mensen, processen en de technologie. Momenteel wordt de hand gelegd aan een handleiding voor servicelevelmanagers om in gesprek te gaan met it-leveranciers over quantumveilige cryptografie. Dit vergroot niet alleen het bewustzijn bij de ambtenaren en leveranciers, maar moet ook beter zicht bieden op de voorbereidende stappen die leveranciers zetten. Het hulpmiddel komt ook online (digitaleoverheid.nl) te staan, zodat iedereen het kan gebruiken. Hetzelfde geldt voor het ‘Rijksbrede Beleidskader Cryptografie en bijscholing voor it-beheer’, dat in ontwikkeling is.
Volgens Anita Wehmann, programmamanager Digitale Weerbaarheid Rijksoverheid, is het belangrijk dat overheidsorganisaties nu al maatregelen nemen om zich voor te bereiden op de komst van de krachtige quantumcomputer. ‘De AIVD gaat ervan uit dat er al vanaf 2030 een krachtige quantumcomputer kan bestaan. Dat is best snel. Partijen die daar dan over beschikken, kunnen met behulp van quantumtechnologie veel van de nu gebruikte geheime sleutels ontsleutelen,’ licht ze toe in een vraaggesprek op de overheidssite Digitaleoverheid.nl.
‘Store now, decrypt later’
Zij wijst op een dreiging die nu al speelt: ‘store now, decrypt later’: het verzamelen en opslaan van versleutelde gegevens om deze later met quantumtechnologie te ontsleutelen. ‘Dat is een probleem voor informatie die lange tijd geheim moet blijven. Daarnaast zijn ook de meeste van onze belangrijke processen en gegevens die beschermd worden door cryptografie niet meer voldoende beveiligd. Als essentiële processen en vitale infrastructuren geraakt worden, is een verkeerschaos of betalingscrisis mogelijk het gevolg.’
Sindsdien wordt er wereldwijd gewerkt aan toekomstbestendige cryptografie: post-quantumcryptografie (PQC). De eerste vastgestelde standaarden worden in 2024 verwacht. Maar, stelt Wehmann, deze nieuwe cryptografie heeft andere kenmerken en is niet zomaar los te laten in onze huidige toepassingen, systemen en infrastructuren. Haar verwachting is een lange overgangssituatie, niet alleen in Nederland, maar over de hele wereld.
Handboek
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD), TNO en Centrum Wiskunde & Informatica (CWI) hebben vorig jaar een handboek gepubliceerd voor de overstap naar quantumveilige communicatie. Te vinden in het dossier ‘Quantumveilige cryptografie‘ van de rijksoverheid.
