Gevoelige data beschermen tegen cybercriminelen en digitale spionnen, het is zo mogelijk een mission impossible. Naast de wedloop, waarbij de ‘dark side’ zeker niet achterloopt, voert de GDPR de druk op organisaties op. En alsof die druk niet groot genoeg is, meldt zich nog eens een spelbreker. Quantumcomputing zal een belangrijke verdedigingslinie van informatiebeveiligers zwaar op de proef stellen.
Encryptie, versleuteling van data zodat alleen bevoegden er wijs uit worden, is al heel lang de hoeksteen van onze informatiebeveiliging. Banken, verzekeraars, eigenlijk alle instellingen die hun data willen beveiligen, vertrouwen op encryptie en zijn daar nog niet in teleurgesteld. De gevolgen zouden niet te overzien zijn als de stoelpoten onder deze technologie weggezaagd zouden worden. Toch is het risico daarop niet denkbeeldig.
Quantumcomputing wordt vaak genoemd als een van de grote risico’s. De kracht van encryptie berust op het gegeven dat het ontsleutelen van data met de huidige technologie dermate veel tijd vraagt, dat een poging daartoe zinloos is. Quantumcomputers hebben voor dezelfde taak veel minder tijd nodig dan conventionele systemen en zullen de public key-algoritmes zoals we die nu kennen (zoals RSA, ECC en Diffie Hellman) kraken.
Race
Partijen zoals IBM, Google, Microsoft en Alibaba zijn verwikkeld in een race om dominantie van de toekomstige markt voor quantumcomputing. Alhoewel er weinig twijfel is dat we binnen afzienbare tijd werkende quantumcomputers gaan zien, is het nog niet zo ver. Experts zijn bijvoorbeeld nog niet in staat de state van een quantumsysteem langer dan een aantal microseconden vast te houden. Ze staan voor de niet geringe opgave om zo’n systeem op nanoschaal te beïnvloeden en stabiel te houden. Dat de eerste quantumcomputers foutgevoelig zullen zijn, is aannemelijk.
Dat betekent niet dat we opgelucht adem kunnen halen. Wie nu data opslaat, mag niet uitsluiten dat die data er over vijf jaar nog zullen zijn, een periode waarin we waarschijnlijk quantumcomputing op de markt zien verschijnen. De Boston Consulting Group verwacht de volledige impact over een jaar of tien. Er is dus werk aan de winkel om encryptie als adequate beveiligingsmethode te redden.
Initiatieven
En gewerkt wordt er. Een mooi voorbeeld is het initiatief van het Amerikaanse NIST (National Institute of Standards and Technology), dat een wedstrijd uitschreef voor ontwikkeling van quantumbestendige encryptie en de voorstellen op zijn website publiceerde. Het is de bedoeling de eerste standaarden in ontwerp binnen vier à zes jaar beschikbaar te stellen. Ook de Europese standaarden-organisatie ETSI werkt al een aantal jaren aan ‘quantum safe cryptography’. Een overzicht van de benaderingen is te vinden op Wikipedia.
Investeringsbeslissingen
Het is dus niet zo dat met de komst van de quantumcomputer encryptie als zodanig achterhaald zal zijn. De nieuwe technologie zal er wel toe leiden dat bestaande encryptiemethoden niet meer voldoen – en dat is iets om rekening mee te houden, vandaag al, bij het nemen van investeringsbeslissingen. Het vervangen van encryptiemethoden en algoritmes in het gehele applicatie- en systeemlandschap van een organisatie zal geen eenvoudige opgave zijn. Er is al onderzoek gedaan naar implementatie van quantumbestendige encryptie, bijvoorbeeld in draadloze netwerken. Belangrijk is de architectuur en het configuration-management op orde te hebben. Denken over nut en noodzaak van quantumbestendige encryptie is uiteraard nuttig, maar dan vooral samen met leveranciers en ketenpartners.
Het is aan de wetenschap en markt om zo snel mogelijk duidelijkheid te scheppen over de toekomst van quantumbestendige encryptie, want zo lang NIST kan spreken van een ‘algorithm zoo’, is de keuze voor de juiste technologie geen eenvoudige opgave voor cio’s, ciso’s en architecten.
