Rekenkamer: overheid moet zich voorbereiden op dreiging quantumcomputer
Quantumcomputers bedreigen de vertrouwelijke informatie en vitale infrastructuur van het Rijk, zo waarschuwt de Algemene Rekenkamer vandaag. De rijksoverheid moet zich dan ook voorbereiden op de dreiging van quantumcomputers, maar 71 procent van de Rijksoverheidsorganisaties is nog niet begonnen met de voorbereidingen. Quantumtechnologie is volgens de Rekenkamer op dit moment nog grotendeels toekomstmuziek, maar mocht het verschijnen dan kan dit grote gevolgen hebben. Zo zouden buitenlandse overheden met quantumcomputers versleutelingstechnieken kunnen kraken.
"Wanneer een quantumcomputer de versleuteling kan kraken, zou dat grote gevolgen kunnen hebben voor ons leven. Gevoelige of geheime informatie kan op straat komen te liggen, het verkeer raakt ontregeld of poortjes gaan niet meer open. Dan ligt maatschappelijke ontwrichting op de loer", aldus de Rekenkamer. Om een dergelijke situatie te voorkomen is post-quantumcryptografie nodig, een vorm van versleuteling die quantumcomputers niet zouden moeten kunnen kraken.
De meeste Rijksorganisaties zijn echter niet bezig met de dreiging van quantumcomputers of het implementeren van post-quantumcryptografie (PQC). Als oorzaak noemt de Rekenkamer een gebrek aan capaciteit en expertise, en een gebrek aan urgentie omdat het nog onduidelijk is wanneer quantumcomputers er zijn. "Volgens de AIVD kan ‘Q-Day’ (de dag waarop kwaadwillenden met quantumcomputers hedendaagse cryptografie kunnen kraken) al in 2030 gebeuren. Dat is al over 4 jaar", aldus de Rekenkamer.
Het ministerie van Economische Zaken werkt samen met andere ministeries aan een rijksbrede quantumstrategie. De Algemene Rekenkamer vindt dat daarin doelen en acties moeten staan zodat het Rijk kan omgaan met zowel de kansen als risico’s van quantumtechnologie. "De concrete invulling en het budget daarvan zijn echter nog onbekend", stelt de Rekenkamer.
Migratie post-quantumcryptografie noodzakelijk
Het demissionaire kabinet zegt de bevindingen te herkennen van de Algemene Rekenkamer met betrekking tot de dreiging die uitgaat van quantumcomputers op veelgebruikte cryptografie, de noodzaak om te starten met de migratie naar post-quantumcryptografie en het gebrek aan beweging op dit thema bij veel rijksoverheidsorganisaties. Volgens demissionair minister Karremans van Economische Zaken speelt encryptie een belangrijke rol voor de veiligheid, betrouwbaarheid en beschikbaarheid van de rijksoverheid. "De migratie naar PQC binnen de rijksoverheid is wat het kabinet betreft daarom niet vrijblijvend, maar noodzakelijk", aldus de bewindsman.Karremans voegt toe dat de migratie naar PQC in de praktijk complex blijkt te zijn, omdat er tal van afhankelijkheden binnen de organisaties en in de toeleveringsketen zijn die onderzocht moeten worden, voordat de technische migratie kan worden uitgevoerd. "Vaak is sprake van gebrek aan ervaring en expertise om binnen rijksoverheidsorganisaties dit thema voortvarend op te pakken", stelt de minister. Afsluitend laat Karremans weten dat het kabinet zich bewust is van de kansen en dreigingen die horen bij quantumtechnologie en er wordt gewerkt aan een rijksbrede quantumstrategie, die naar verwachting in het tweede kwartaal van dit jaar zal verschijnen.
Houdt bij het overschakelen op EU clouds rekening met quantum safe algo's maar veel meer momenteel niet doen.
(Jaren doen ze niets, en nu schieten ze door :P)
Ja, en datacentre's en chipproductie en ASML! Het lichtende voorbeeld, nu ook bij de Chinees verkrijgbaar, gerecht nummer zoveel.
(Pakt rapport Wennink erbij)
Je weet dat je gewoon meerdere dingen tegelijkertijd kan doen, he?
Dat lijkt misschien een onzinnige reactie, maar niet onzinniger dan de jouwe. De overheid is wel iets groter dan een klein team in een klein kantoortje dat amper capaciteit heeft om meer dan één ding tegelijk te doen. Er kan aan heel wat onderwerpen tegelijk worden gewerkt.
10 jaar geleden deed je ongeveer een jaar over het kraken van een 8 karakter wachtwoord met alleen kleine letters, hoofdletters en cijfers.
op een RTX 4090 grafische kaart doe je daar nu 17 seconde over.
Als je alle versleuteling binnen de overheid wilt aanpakken is een horizon van 10 jaar niet zo heel lang. Neem jij het risico dat quantum based attacks dan nog steeds niet mogelijk zijn?
Persoonlijk zou ik eerder blij worden van het feit dat er eens iets op tijd wordt aangepakt dan daar nou cynisch op te reageren.
Dan, als er al een doorbraak zou zijn, weten we nog helemaal niet wat we met die dingen zouden kunnen doen. Zoals de wereld nu naar adem happend probeert te begrijpen wat we aan AI hebben. Maar nòg belangrijker, wat niet.
Komt er op quantum een doorbraak dan gaat het een hele dure PC zijn. Wat niet iedereen zich kan veroorloven. Alleen buitenlandse mogendheden. Maar als buitenlandse mogenheden ons willen bezetten, met hoe vrij, verschillend en eigenwijs we inmiddels zijn, dan kan ik me geen buitenlandse mogendheid voorstellen die daar gelijk zin in zou hebben.
Betere wachtwoorden is altijd goed. Maar niks opslaan blijft altijd het beste. Vraag maar naar de geschiedenisboeken van de zigeuners. Die bestaan niet. Wat er is zit de muziek en de tradities. Verder legden die nooit wat vast omdat ze door iedereen vervolgd werden door de eeuwen heen. Wat ze zo veilig heeft gehouden dat ze nog steeds onder ons zijn. Niks vastleggen wat niet nodig is. Of afgepakt kan worden om je te vervolgen.
Wat we aan AI gaan hebben is dat we eindelijk gaan afleren dat alles waar is omdat een computer of database het zegt. Dat is ook een hele goeie ontwikkeling. Er gaan nog wel even grote ongelukken mee gebeuren. Maar uiteindelijk gaan we dan zelfs zo verstandig worden als de zigeuners.
Computers zijn zo kut als dat ze handig zijn. Maar dat zelfde geldt voor boeken of kleitabletten.
Ik ga vast koffie zetten voor buitenlandse mogendheden. Wat gebak halen ook. Ze kunnen in de kring komen zitten en dan gaan we wel zien wat ze te schaften hebben. Ze komen niet eens aan het woord als mijn schoonmoeder erbij is.
Security heel belangrijk. Maar je moet ook wel weer besef hebben over waar je bang voor moet zijn. Want anders heb je én ijzel in Groningen én ICE in Amsterdam. En iedereen paranoia.
Dan is het voor niemand meer leuk.
10 jaar geleden deed je ongeveer een jaar over het kraken van een 8 karakter wachtwoord met alleen kleine letters, hoofdletters en cijfers.
op een RTX 4090 grafische kaart doe je daar nu 17 seconde over.
Als je alle versleuteling binnen de overheid wilt aanpakken is een horizon van 10 jaar niet zo heel lang. Neem jij het risico dat quantum based attacks dan nog steeds niet mogelijk zijn?
Persoonlijk zou ik eerder blij worden van het feit dat er eens iets op tijd wordt aangepakt dan daar nou cynisch op te reageren.
Mensen zijn cynisch geworden van heel andere dingen die niet op tijd aangepakt werden. Dat cynisme blijft dan nog wel even als levenshouding.
Die voorsprong dus gebruiken.
10 jaar geleden deed je ongeveer een jaar over het kraken van een 8 karakter wachtwoord met alleen kleine letters, hoofdletters en cijfers.
op een RTX 4090 grafische kaart doe je daar nu 17 seconde over.
Betekenisloze uitspraak zonder de gebruikte hash te melden, en welke hardware je voor 2016 claimt .
Als je alle versleuteling binnen de overheid wilt aanpakken is een horizon van 10 jaar niet zo heel lang. Neem jij het risico dat quantum based attacks dan nog steeds niet mogelijk zijn?
Ik zou dat risico hier wel aandurven. Ik wed ook TEGEN werkende kernfusie over tien jaar.
Verbaas me nu eens, en vertel wat de state of the art is in werkelijk bereikte decryptie met een quantum computer since 1994 (publicatie van Shor's algorithme"
Ik denk dat je dat moet opzoeken - doe dat .
Niet schuilen achter een handjevol qbits , welke maat speelgoed probleem is nu werkelijk 'the best QC has broken' ?
Leerzaam dat ze ongeveer NIKS bereikt hebben in (buiten papers , PhDs en hype) .
Persoonlijk zou ik eerder blij worden van het feit dat er eens iets op tijd wordt aangepakt dan daar nou cynisch op te reageren.
Ik word ontzettend bedroefd (en cynisch ) wanneer er veel tijd/geld/moeite verspild wordt aan problemen met een nihil risico - wat ten koste gaat van aandacht voor "saaie" "bekende" problemen die wel de manier zijn waarop alle werkelijke hacks gebeuren .
Die hele zaal die zit te leuteren over 'maar misschien quantum' zou ontzettend veel meer nut hebben als ze zich inzettend om patches snel en efficient uitgerold te krijgen - bijvoorbeeld.
Niet hip, niet spannend, vertellen zichzelf dat dat "simpel" is "gewoon doen" maar het is wel de manier waarop echte hacks gebeuren en om allerlei redenen gaat dat niet vanzelf .
Is het nou gek om te willen dat de grootste acute problemen de meeste aandacht krijgen ?
Maar pomp vooral geld om zalen vol techies lekker te laten quantumwaven met nog maar "Q day" bangmakerij (en een goed buffet) . Lekker handwaven, nergens op afgerekend kunnen worden , en iedereen vind het spannend om mee bezig te zijn.
10 jaar geleden deed je ongeveer een jaar over het kraken van een 8 karakter wachtwoord met alleen kleine letters, hoofdletters en cijfers.
op een RTX 4090 grafische kaart doe je daar nu 17 seconde over.
Als je alle versleuteling binnen de overheid wilt aanpakken is een horizon van 10 jaar niet zo heel lang. Neem jij het risico dat quantum based attacks dan nog steeds niet mogelijk zijn?
Persoonlijk zou ik eerder blij worden van het feit dat er eens iets op tijd wordt aangepakt dan daar nou cynisch op te reageren.
Nu is een wachtwoord van 8 letters en cijfers in alle opzichten achterhaald.
Minimaal 12 karakters met cijfers, hoofd- en kleine letters en een speciaal teken is wel de minimale behoefte.
Daarnaast moet MFA echt een minimale vereiste worden om te voorkomen dat er alleen nog een wachtwoord en gebruikersnaam nodig zijn om ergens binnen te komen.
10 jaar geleden deed je ongeveer een jaar over het kraken van een 8 karakter wachtwoord met alleen kleine letters, hoofdletters en cijfers.
op een RTX 4090 grafische kaart doe je daar nu 17 seconde over.
Als je alle versleuteling binnen de overheid wilt aanpakken is een horizon van 10 jaar niet zo heel lang. Neem jij het risico dat quantum based attacks dan nog steeds niet mogelijk zijn?
Persoonlijk zou ik eerder blij worden van het feit dat er eens iets op tijd wordt aangepakt dan daar nou cynisch op te reageren.
Nu is een wachtwoord van 8 letters en cijfers in alle opzichten achterhaald.
Minimaal 12 karakters met cijfers, hoofd- en kleine letters en een speciaal teken is wel de minimale behoefte.
Daarnaast moet MFA echt een minimale vereiste worden om te voorkomen dat er alleen nog een wachtwoord en gebruikersnaam nodig zijn om ergens binnen te komen.
Dat is niet het punt dat ie probeerde te maken .
Z'n punt was dat een tien-jaar stijging in kraak-snelheid vrij groot kan zijn - en dat je dan soms inderdaad algorithmen (of parameters zoals lengte) moet aanpassen.
https://www.hivesystems.com/blog/are-your-passwords-in-the-green is een redelijke set gegevens van snelheden voor password lengtes bij bepaalde hashes, en bepaalde hardware.
Mensen krijgen eerder last van de AI van Micorsoft Co-pilot dan van "harvest now and decrypt later" Q-day. Dat is iets als Y2K voor degenen die al iets langer meelopen, qua leeftijd, en de publicatie van Shor's algoritme zich nog herinneren.
Zoek dat nou eens op!
Prima idee om data goed te willen E two EE-en overigens/i
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
