In het kort: 3x ja 2x nee

• Ja, we moeten het over quantum hebben in de context van Digitale Identiteiten. Quantumtechnologie heeft namelijk impact op de veiligheid van Digitale Identiteiten.
• Ja, we hebben een groot probleem als er ergens op de wereld een grote quantumcomputer wordt gebouwd en in gebruik wordt genomen. Tenzij er tijdig maatregelen getroffen worden.
• Nee, de quantumcomputer, is geen sterkere versie van de normale computer. De functionaliteit is specifieker.
• Nee, het lezen van deze blog maakt je geen expert in quantum, maar bied wel handvaten om het gesprek over quantum in de context van Digitale Identiteit te beginnen.
• Ja, quantum wordt in het Nederlands eigenlijk als kwantum gespeld, maar vanwege de consistentie met het Verengelste "post-quantum" heb ik besloten om de Engelse spelling aan te houden.

Met deze korte vragen uit de weg, is het nu tijd om de diepte in te gaan. Deze blog is de eerste in een reeks van 3, en geeft toelichting op de relevantie van quantum voor digitale identiteiten. De tweede en derde gaan respectievelijk, over het begrijpen van en de impact van quantumtechnologie.

Quantum Blogreeks 1/3: Waarom quantum in de context van digitale identiteiten?

Allereerst een kleine toelichting waarom quantum relevant is voor Digitale Identiteit (DI). De relevantie van quantum voor DI komt voort uit het grotere speelveld van digitale veiligheid. Quantum-proof, of post-quantum zijn termen die al een tijdje rondzweven binnen de cybersecurity. De reden hiervoor is de quantumcomputer, een nieuw type computer die, met behulp van quantum algoritmes, een aantal specifieke berekeningen sneller kan uitvoeren dan een klassieke computer. Een specifiek type algoritme, waar al vaker artikelen over verschijnen, kan worden gebruikt om een bekende vorm van encryptie (RSA) omver te werpen. Diverse grote partijen zijn bezig met de ontwikkeling van zo'n computer. Als een van deze partijen erin slaagt om de computer te ontwikkelen betekent dit dat de meest gebruikte vorm van encryptie, en daarmee alle gegevens die hiermee beveiligd worden, compleet gekraakt kan worden. De quantumcomputer hangt als het zwaard van Damocles boven een groot deel van onze digitale veiligheid.

Gelukkig is dat zwaard van Damocles momenteel nog een keukenmesje. Quantumcomputers worden doorontwikkeld, maar wanneer deze op functionele schaal gebouwd kan worden is nog onduidelijk. Wanneer dit precies wel mogelijk is? Vraag het een quantum start-up, IBM of Google en je hoort 5 jaar, een kritische journalist kan dit soms naar 10 jaar krijgen en wetenschappers benoemen vooral de onzekerheid. Jaren, decennia of nooit; het is nog onduidelijk. Wat echter al wel bekend is dat, als de computer gebouwd wordt, de huidige encryptie niet meer zal werken. Ook de beveiliging van DI dus. Vandaar de vraag: Is de Europese Digitale Identiteit straks 'quantum-proof'?

Quantum EDI

Hoe maken we DI dan quantum-proof? Moet iedereen die zich bezighoudt met DI een quantum expert in huis nemen om zich te gaan voorbereiden op de quantumcomputer? Gelukkig niet. Het probleem zit op een fundamenteler niveau. Zie de beveiliging bijvoorbeeld als de rioolaansluiting in een huis. Sanitair in een huis dient aangesloten te zijn op het grotere rioolnetwerk. Dit rioolnetwerk heeft bepaalde afmetingen en aansluitingen die overal hetzelfde zijn. Het is niet aan iedere huiseigenaar om alle buizen te gaan vervangen als er iets veranderd in de standaard rioolaansluiting. Niet iedereen hoeft aan zijn eigen riolering te gaan knutselen.

Standaarden voor informatiebeveiliging zijn vergelijkbaar. Deze standaarden worden verzorgd door grote organisaties als het NIST. Het NIST waarborgt de standaard voor veilige internetcommunicatie. Encryptiesystemen kunnen zich aanpassen aan deze standaarden. Zo ook de systemen over digitale identiteit. Als deze standaarden nog niet voldoende zijn, zoals besproken in het NRC-artikel, dienen deze herzien te worden. Bestand zijn tegen een quantumcomputer is een van deze eisen. Het gaat over de implementatie van cryptografische standaarden die bestand zijn tegen aanvallen met een quantumcomputer.

Wat nu?

Om quantum-proof te worden hoef je geen expert te worden in quantummechanica. Om bij het loodgieter metafoor te blijven: de meeste mensen hoeven niet te leren hoe ze een wc aan gaan sluiten. Echter is het wel belangrijk dat loodgieters blijven bestaan, en dat je weet hoe je er eentje kan bereiken. Voor quantum betekent dit dat er op de juiste plekken onderzoek gedaan moet worden naar digitale veiligheid en dat deze ontwikkelingen geïmplementeerd kunnen worden waar nodig.

Het belangrijk om in kaart te krijgen welke cryptografische systemen er beveiligd moeten worden. Verschillende urgenties en migratiestrategieën worden al benoemd in documenten en strategieën (TNO, AIVD). Daarnaast is het belangrijk om wendbaar te blijven. Om binnen de loodgieter metafoor te blijven; zorg ervoor dat je loodgieter (leverancier) zich bewust is van ontwikkelingen in het veld, en hou je huis (digitale infrastructuur) beschikbaar voor het geval dat er nieuwe kwetsbaarheden ontstaan.

Mocht de start-up toch gelijk hebben dat er binnen vijf jaar een full-scale quantumcomputer staat, dan is het toch handig om alvast in de startblokken te staan.

Meer weten?

Oorspronkelijke NRC-artikel

Deze blog maakt deel uit van een driedelige blogreeks over Quantum. De andere blogs zijn hieronder te vinden.

• Deel 1: Deze Blog
• Deel 2: Korte intro in Quantum
• Deel 3: De impact van Quantum

Lees Verder:

• Quantumtechnologie in de Samenleving (Rathenau)
• Verkenning Quantumtechnologie (ECP)
• Preparing for a future with responsible quantum technologies (SURF)
• (video) Hoe de quantumcomputer alles kraakt en veilig maakt (Universiteit van Nederland)