Samen experimenteren levert kennis op en verkleint risico (PQC Benchmarking)

Quantumcomputers kunnen bijdragen aan nieuwe producten en diensten. Ze kunnen problemen oplossen die voor huidige computers praktisch onoplosbaar zijn. Tegelijkertijd zal een antwoord gegeven moeten worden op de veiligheidsrisico’s die het quantumtijdperk met zich meebrengt. “De migratie naar quantumveilige cryptografie (post-quantumcryptografie; PQC) is een enorme onderneming. Dat er bovendien nog veel onbekend is en er veel onzekerheden zijn rondom de migratie helpt niet. Zo is onduidelijk wat de impact van migratie zelf zal zijn en weten we nog niet goed wat de verschillen zijn tussen de diverse opties bij gebruik in de praktijk. Dit alles maakt dat veel organisaties aarzelen met het starten met post-quantumcryptografie. Toch is het zaak om aan de slag te gaan, want niet beginnen leidt uiteindelijk tot verhoogde risico’s”, vertelt Manon de Vries.

Just do it

“Met dit PCSI-project willen we een deel van deze onzekerheid wegnemen. Hoe? Door daadwerkelijk migraties uit te voeren. We doen migratiekennis op door gangbare IT-toepassingen te migreren en te benchmarken in een gecontroleerde testomgeving. Op die manier doen we ervaring op met PQC-migratie en brengen we zowel de technische als procesimpact in kaart. Drie van de participerende PCSI-partners migreren binnen het project één van hun applicaties en testen daarbij meerdere PQC-schema’s. Het eerste proof of concept hebben we met ABN AMRO uitgevoerd en daarna zijn we met de Belastingdienst en ING een pilot gaan uitvoeren. Het gaat stuk voor stuk om veelvoorkomende applicaties die samen een bruikbaar beeld geven van mogelijke impact op het IT-landschap vormen”, legt De Vries uit.

“Bij ING zagen we ook de noodzaak om te gaan experimenteren met PQC en het deelnemen aan dit project leek ons een goede kans. Het levert ons praktische ervaring op in het uitvoeren van cryptografische migraties. We zien waar de uitdagingen voor onze organisatie liggen en een project als dit helpt ook het interne bewustzijn te vergroten. Bovendien leren we, hoewel iedere partner zijn eigen use case heeft, ook veel van elkaars bevindingen”, vult Gamze Tillem aan.

Leren tijdens doen

“We hebben veel geleerd. Zo toont het project dat we dit echt samen met onze leveranciers moeten doen. Want zonder goede samenwerking met leveranciers kom je er niet. Je kunt bijvoorbeeld niet aan de slag als zij geen passende algoritmes aanbieden. Daarnaast moet je cryptografie wendbaar (agile) maken, als dat niet lukt dan kom je niet tot succesvolle migratie. En het is belangrijk dat je vanuit het management support hebt, zodat het lukt er voldoende tijd en moeite in te steken. Het is dus zaak om het hogere management aan boord te krijgen. Dat zit bij ons gelukkig wel goed. En het mooie aan dit project is dat het iets positief is om mee te pronken, wat het bedrijf alleen maar meer motiveert om prioriteit te geven aan PQC-migratie. Het is immers gemakkelijker om succes te vermarkten dan risico. En in deze vroege fase zijn leveranciers ook eerder geneigd om te helpen en te laten zien dat ze PQC al ondersteunen”, zegt Tillem.

Welke resultaten heeft het project tot nu toe opgeleverd?

“De resultaten liggen op verschillende vlakken. Zo verkrijgen we informatie over de omvang van de migratie zelf, over prestaties van de nieuwe algoritmes, over onderwerpen als crypto-agility (hoe hebben we het in de praktijk aangepakt?), technische aspecten (liepen we tegen problemen aan, waren er architectuurwijzigingen nodig?) en algemene ervaringen (welke mensen heb je nodig, welke valkuilen moet je vermijden?). Dit experiment helpt organisaties om hun vragen en wensen helder te krijgen, zodat ze die vervolgens bij leveranciers neer kunnen leggen. Die weten vervolgens ook waar ze op kunnen focussen om gezamenlijk de volgende stap te maken. De kennis die we opdoen over het proces en de impact van PQC-migratie, over algoritmeverschillen en migratieopties in de praktijk en valkuilen en knelpunten,  is interessant voor elk bedrijf met een IT-component”, denkt De Vries.

“Het was spannend, bijvoorbeeld of het algoritme zou gaan werken. Maar het was leuk om te zien dat de prestatie-impact van de migratie kleiner was dan we hadden verwacht. We kwamen de meeste uitdagingen tegen in de gereedheid van leveranciers, protocollen en bibliotheken. Wanneer je een applicatie wilt migreren naar PQC-algoritmen, moeten de protocollen binnen die applicatie begrijpen hoe ze met deze nieuwe algoritmen moeten werken. We zien dat de standaarden rond die protocollen en bibliotheken in die zin nog onvoldoende ondersteuning bieden. Maar we geloven dat dit de komende jaren zal veranderen en de ontwikkelingen zullen versnellen, en dat leveranciers hierbij het voortouw zullen nemen”, aldus Tillem.

Internationale aandacht

Het PQC Benchmarking-project krijgt de nodige (inter)nationale aandacht. Zo geven De Vries en Tillem diverse presentaties in binnen- en buitenland. De Vries: “Ik was verrast over de aandacht die we kregen, al tijdens de proof of concept-fase. Dat geeft denk ik wel aan dat er veel behoefte is aan praktische tips op het gebied van PQC-migratie. De interesse is er van zowel overheden als bedrijven die willen bijdragen en met ons willen samenwerken. We gaan de komende tijd kijken of en hoe we dat in projecten vorm kunnen geven.”

Samenwerken is de sleutel

“We zijn nu druk bezig het uitwerken van de opgedane kennis en die zullen we vervolgens delen en  daarbij inspelen op verschillende perspectieven. Naast de presentaties schrijven we verschillende blogs. Binnenkort komt de eerste, gericht op managers, online en er zullen versies gericht op IT-architecten, inkoopafdelingen en programmeurs volgen. Omdat deze samenwerking en de resultaten van het project zo waardevol zijn kijken we tevens naar mogelijkheden voor een vervolg”, stelt De Vries.

“Bij een vervolg willen we graag weer meedoen, want deze samenwerking heeft ons geholpen en veel gebracht. We hebben met een kleine groep enthousiaste mensen veel meer kunnen bereiken dan ik van tevoren had gedacht. Daarbij helpt het dat de betrokken partijen hun kennis willen delen en er geen sprake van competitie is. En zo zou het moeten zijn; cybersecurity is geen onderwerp om op te concurreren. We hebben immers allemaal hetzelfde doel. PQC is een belangrijk onderwerp. Gezien de aanbevolen tijdlijnen zouden we in 2030 grotendeels klaar moeten zijn met de transitie. Als we dat willen bereiken, moeten we nu beginnen. Het is tijd om onze handen vuil te maken en uit te vinden waar de knelpunten zitten”, benadrukt Tillem.

“Daarbij zou het helpen als er in Nederland en Europa strenge deadlines voor de migratie komen. Dat zal helpen organisatie aan te zetten tot actie. Technisch zullen we wellicht nog wat uitdagingen tegenkomen en er zal EU breed een consensus moeten komen over waar we ons op moeten richten (welke algoritmes bijvoorbeeld). Bovendien zal nog flink geïnvesteerd moeten worden in kennisontwikkeling. Al zijn we daar al best ver mee en doen we het goed in Europa. Willen we verder komen dan is samenwerken de sleutel. Het samen experimenteren binnen een project als dit haalt het risico weg, levert ons kennis en brengt valkuilen aan het licht. Laten we samen aan de slag gaan!”, besluit De Vries.

Beeld: Manon de Vries & Gamze Tillem