bescherm je data vóór het te laat is
Auteur: Merijn Evertse
CTO Varity
In september 2022 heeft het World Economic Forum een whitepaper uitgebracht: ‘Transitioning to a Quantum-Secure Economy’. In Nederland is in december 2024 een handboek uitgebracht door AIVD, CWI en TNO over quantum-safe cryptografie.
Organisaties krijgen in de toekomst te maken met quantumcomputers die in staat zijn om de huidige asymmetrische encryptie, zoals RSA en ECC cryptografie, met publieke en private sleutels eenvoudig te kraken. Omdat het principe ‘Harvest now, decrypt later’ gehanteerd kan worden voor al onze vertrouwelijke data, persoonsgegevens en intellectueel eigendom, dient deze data vandaag al versleuteld te worden met quantum-safe oplossingen. De verwachting is namelijk dat over 10 tot 15 jaar de eerste quantumcomputers beschikbaar komen. Deze computers zullen goed genoeg en betaalbaar genoeg zijn om een bedreiging te vormen voor onze data die we versturen.
Post Quantum Cryptography (PQC) en symmetrische versleuteling
Omdat public-key cryptografie essentieel is voor onze dagelijkse communicatie, werken veel organisaties en onderzoeksinstituten aan zogenaamde Post Quantum Cryptography algoritmen. NIST, het National Institute of Standards and Technology, heeft in augustus 2024 aangekondigd dat de eerste drie PQC algoritmes opgenomen zijn als standaard. Veel organisaties adopteren deze standaarden. Zo ook Microsoft met het opnemen van de standaarden in SymCrypt. SymCrypt is de cryptografische bibliotheek gebruikt door Azure, Microsoft 365, Windows en Windows Server. Ook is SymCrypt als bibliotheek beschikbaar voor OpenSSL.
Totdat deze standaarden overal geïntegreerd zijn, moeten we naar andere oplossingen kijken om op netwerkniveau onze data en die van onze klanten te beschermen. Voor een quantum-safe netwerk is dan symmetrische versleuteling nodig met bijvoorbeeld AES-256. Bij symmetrische versleuteling gebruiken beide zijden in het netwerk dezelfde sleutel. Zo kunnen ze samen een veilig versleuteld communicatiekanaal opzetten. Belangrijk hierbij is dat de sleutel hiervan uit 256 willekeurige bits bestaat. Hiervoor moet een bron gebruikt worden die echte willekeurige bits genereert. Een zelfgekozen sleutel kan de zwakste schakel vormen en het communicatiekanaal alsnog kwetsbaar maken.
Varity’s Oplossingen
Vanuit Varity denken wij graag in oplossingen voor onze klanten. Toen klanten ons benaderden op basis van deze whitepapers om samen na te denken over mogelijkheden om een quantum-safe netwerk te bouwen, zijn we daar enthousiast mee gestart.
Belangrijk bij deze netwerken is dat beveiliging het beste werkt als dit op meerdere lagen actief is. Een VPN-tunnel met AES-256 encryptie en een hardwaremodule voor het genereren van een sleutel is een goed begin voor beveiliging. Dit maakt gebruik van de juiste symmetrische encryptie, wat een basis is voor quantum-safe versleuteling. Het werkt over bestaande netwerken, kan eenvoudig toegevoegd worden aan het netwerk en is eenvoudig in beheer.
Omdat dit direct impact heeft op het bestaande netwerk en binnen de netwerkroutering zichtbaar is, zal samenwerking tussen alle componenten zeer belangrijk zijn. Varity heeft meerdere partners waarmee we deze oplossingen kunnen implementeren.
Quantum-Safe Netwerken met Nokia
Een uitdaging hierbij is dat alleen VPN-verbindingen niet voldoende zijn voor een echt veilige oplossing. Omdat alleen de data in de VPN-tunnel versleuteld wordt, blijven verkeersstromen en bandbreedte informatie zichtbaar. Deze kennis op zich kan al relevante informatie zijn voor een aanvaller. Ook hebben grote organisaties te maken met meerdere afdelingen voor het netwerk. De afdeling verantwoordelijk voor het IP-netwerk heeft vaak voor het waarborgen van de eigen SLA in de organisatie liever niet dat andere afdelingen deze netwerklagen beïnvloeden.
Echte quantum-safe netwerken beginnen daarom volledig transparant voor het IP-netwerk op de fiberlaag. Samen met onze partner Nokia kan Varity met behulp van de Nokia 1830 PSS systemen encryptie leveren over darkfibers met 100 Gbit/s en een zeer lage latency. Met de 1830 SMS sleutel systemen worden quantum-safe sleutels gegenereerd op basis van fysieke invloeden zoals temperatuur, waarmee volledig willekeurige sleutels gebruikt worden die binnen de 1830 oplossing eenvoudig uitgerold, beheerd en vervangen kunnen worden. Met behulp van de WaveSuite NOC software kan gedegen monitoring, beheer en automatisering geboden worden voor het optische netwerk. Niet alleen voor de encryptie, maar alle andere facetten in het netwerk zoals ROADM, DWDM, Path Protection en geautomatiseerde service delivery worden hiermee centraal inzichtelijk.
De 1830 SMS sleutel systemen zijn ook te gebruiken in combinatie met de Nokia 7750 SR-1 routers voor ANYsec beveiliging op meerdere lagen in het netwerk, wat aangeeft hoe krachtig de combinatie is van alle kennisgebieden van Nokia en de mogelijkheden die Varity hiermee kan bieden.
Benieuwd naar de mogelijkheden van Nokia switching, routering, glasvezeloplossingen en de toekomst in een quantum-safe economie? Neem dan contact op met ons.
Bronvermelding:
