In het kort: 3x ja 2x nee

• Ja, we moeten het over quantum hebben in de context van Digitale Identiteiten. Quantumtechnologie heeft namelijk impact op de veiligheid van Digitale Identiteiten.
• Nee, het lezen van deze blog maakt je geen expert in quantum, maar bied wel handvaten om het gesprek over quantum in de context van Digitale Identiteit te beginnen. Lees dus vooral de rest van de blog ook.
• Ja, we hebben een groot probleem als er ergens op de wereld een grote quantumcomputer in gebruik wordt genomen. Tenzij er tijdig maatregelen getroffen worden.
• Nee, de quantumcomputer, is geen sterkere versie van de normale computer. De functionaliteit is specifieker.
• Ja, quantum wordt in het Nederlands eigenlijk als kwantum gespeld, maar vanwege de consistentie met het Verengelste "post-quantum" heb ik besloten om de Engelse spelling aan te houden.

Deze blog geeft toelichting op de relevantie van quantum voor digitale identiteiten. Onderaan de blog staan leessuggesties voor verdieping, dus lees vooral tot het einde.

Quantumtechnologie in het EDI?

De relevantie voor quantum digitale identiteiten komt voort uit het grotere speelveld van digitale veiligheid. Quantum-proof, of post-quantum zijn termen die al een tijdje rondzweven binnen de cybersecurity. De reden hiervoor is de quantumcomputer, een nieuw type computer die een subset aan berekeningen sneller kan uitvoeren dan een klassieke computer. Een specifiek type berekening, waar al vaker artikelen over verschijnen, kan worden gebruikt om een bekende vorm van encryptie (RSA) omver te werpen. Diverse grote partijen zijn bezig met de ontwikkeling van zo'n computer. Als een van deze partijen erin slaagt om de computer te ontwikkelen betekent dit dat de meest gebruikte vorm van encryptie, en daarmee alle gegevens die hiermee beveiligd worden, compleet gekraakt kan worden. De quantumcomputer hangt als het zwaard van Damocles boven de digitale samenleving.

Gelukkig is dat zwaard van Damocles momenteel nog een keukenmesje. Quantumcomputers worden doorontwikkeld, maar wanneer deze op functionele schaal gebouwd kan worden is nog onduidelijk. Wanneer dit precies wel mogelijk is? Vraag het een quantum start-up, IBM of Google en je hoort 5 jaar, een kritische journalist kan dit soms naar 10 jaar krijgen en wetenschappers benoemen vooral de onzekerheid. Jaren, decennia of nooit; het is nog onduidelijk. Wat echter al wel bekend is dat, als de computer gebouwd wordt, de huidige encryptie niet meer zal werken. Ook de beveiliging van digitale identiteiten dus. Vandaar de vraag: Is de Europese Digitale Identiteit straks 'quantum-proof'?

Quantum EDI

Moet iedereen binnen digitale identiteiten dan een quantum expert in huis nemen om beschermingen in te bouwen tegen deze nog niet gebouwde quantumcomputer? Gelukkig niet. Het probleem zit op een fundamenteler niveau. Zie de beveiliging bijvoorbeeld als de rioolaansluiting in een huis. Al het sanitair in een huis dient aangesloten te worden op het grotere rioolnetwerk. Dit rioolnetwerk heeft bepaalde afmetingen en aansluitingen die overal hetzelfde zijn. Het is niet aan iedere huiseigenaar om alle buizen te gaan vervangen als er iets veranderd in de standaard rioolaansluiting. Niet iedereen hoeft aan zijn eigen riolering te gaan knutselen.

Standaarden voor informatiebeveiliging zijn vergelijkbaar. Deze standaarden worden verzorgd door grote organisaties als het NIST. Het NIST waarborgt de standaard voor veilige internetcommunicatie. Encryptiesystemen kunnen zich aanpassen aan deze standaarden. Zo ook de systemen over digitale identiteit. Een EDI-systeem heeft bepaalde eisen. Als deze standaarden nog niet voldoende zijn, zoals besproken in het NRC-artikel, dienen deze herzien te worden. Bestand zijn tegen een de quantumcomputer is een van deze eisen. Het gaat over de implementatie van cryptografische standaarden die bestand zijn tegen aanvallen met een quantumcomputer.

Wat nu?

Om quantum-proof te worden hoef je geen expert te worden in quantummechanica. Om bij het loodgieter metafoor te blijven: de meeste mensen hoeven niet te leren hoe ze een wc aan gaan sluiten. Echter is het wel belangrijk dat er op de juiste plekken onderzoek wordt gedaan naar deze vorderingen, en dat deze ontwikkelingen geïmplementeerd kunnen worden waar nodig. Tenzij je in je vrije tijd graag natuurkunde studeert, is het ook niet nodig een volledige expert in quantum te worden.

Wel is het belangrijk om in kaart te krijgen welke cryptografische systemen er beveiligd moeten worden. Verschillende urgenties en migratiestrategieën worden al benoemd in documenten en strategieën (TNO, AIVD). Focus daarnaast op wendbaarheid en afhankelijkheid van cryptografische systemen. Om binnen de loodgieter metafoor te blijven; zorg ervoor dat je loodgieter (leverancier) zich bewust is van ontwikkelingen in het veld, en hou je huis (digitale infrastructuur) beschikbaar voor het geval dat er nieuwe kwetsbaarheden ontstaan.

Mocht de start-up toch gelijk hebben dat er binnen vijf jaar een full-scale quantumcomputer staat, dan is het toch handig om alvast in de startblokken te staan.

Meer weten?

Oorspronkelijke NRC-artikel

Lees Verder:

• Quantumtechnologie in de Samenleving (Rathenau)
• Verkenning Quantumtechnologie (ECP)
• Preparing for a future with responsible quantum technologies (SURF)
• Hoe de quantumcomputer alles kraakt en veilig maakt (Universiteit van Nederland)

Voelde deze uitleg nog te complex? Over de komende maanden zullen er drie blogposts gepubliceerd worden als kleine introductie in Quantum & Quantumtechnologie. Deels omdat het gewoon interessant is, maar ook omdat quantum een interessante technologie is op technisch, ethisch en maatschappelijk niveau uiteen te zetten. Deze lijst zal geüpdatet worden als de blogs gepubliceerd zijn.

1. Februari
2. April
3. Juni