Tweetalige printerversie Eentalige printerversie

Schriftelijke vraag nr. 7-1391

van Rik Daems (Open Vld) d.d. 27 oktober 2021

aan de vice-eersteminister en minister van Justitie en Noordzee

Cryptografie - Quantumcomputers - Privacy - Spionage - Cijfers en tendensen

codering van informatie
gegevensbescherming
eerbiediging van het privé-leven
computer
informatiebeveiliging

Chronologie

27/10/2021Verzending vraag (Einde van de antwoordtermijn: 25/11/2021)
15/12/2021Antwoord

Ook gesteld aan : schriftelijke vraag 7-1392

Vraag nr. 7-1391 d.d. 27 oktober 2021 : (Vraag gesteld in het Nederlands)

Uit een recente brochure van de Nederlandse AIVD blijkt dat er in de toekomst een gevaar bestaat voor onze privacy door de komst van quantumcomputers (https://www.aivd.nl/documenten/publicaties/2021/09/23/bereid-je-voor-op-de-dreiging-van-quantumcomputers).

Al tientallen jaren is bekend dat inzichten uit de quantummechanica gebruikt kunnen worden om de meest gebruikte asymmetrische cryptografie aan te vallen met een quantumcomputer. Deze computers zouden alle mogelijke bestaande versleutelde bestanden kunnen ontcijferen.

Experts achten de kans klein maar reëel dat quantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken. Tot die tijd zijn er ook risico's voor de huidige cryptografie. De data die je nu versleutelt, verstuurt of opslaat, kunnen onderschept worden en later met een quantumcomputer ontcijferd worden. Gegevens die in 2030 nog steeds gevoelig zijn en geheim moeten blijven, moeten daarom nu al versleuteld worden met cryptografie die beschermt tegen aanvallen met een quantumcomputer.

Het Nederlands Nationaal Bureau voor Verbindingsbeveiliging (NBV) adviseert daarom het gebruik van Post-Quantum Cryptografie (PQC) in combinatie met een bestaand asymmetrisch algoritme (hybride constructie). Zij zien het als een goede manier om je te beveiligen tegen aanvallen door quantumcomputers. Het National Institute of Standards and Technology (NIST) van de VS is al in 2016 begonnen met een open proces om internationale standaarden te krijgen. Deze standaarden worden rond 2024 verwacht.

Naast de PQC-technologie raadt het NBV alternatieve encryptiemethodes aan: Symmetrische cryptografie en Quantum Key Distribution (QKD).

Met symmetrische cryptografie (zoals AES) is je informatie minder kwetsbaar voor aanvallen met een quantumcomputer. Quantum Key Distribution (QKD) wisselt digitale sleutels uit met technieken uit de quantummechanica. Bij deze manier van sleuteluitwisseling wordt het meeluisteren door een derde partij altijd gesignaleerd.

Te vroeg overgaan naar een quantumveilige oplossing kan veel tijd en geld kosten. Maar te laat is ook geen optie door het risico dat je gevoelige informatie kwetsbaar is. Daarom adviseert het NBV om nu alvast een migratiestrategie uit te werken.

Wat betreft transversaal karakter: De verschillende regeringen en schakels in de veiligheidsketen zijn het eens over de fenomenen die de komende vier jaar prioritair moeten worden aangepakt. Die staan gedefinieerd in de kadernota integrale veiligheid en het nationaal veiligheidsplan voor de periode 2016-2019, en werden besproken tijdens een interministeriële conferentie, waarop ook de politionele en justitiële spelers aanwezig waren. Het betreft aldus een transversale Gewestaangelegenheid waarbij de rol van de gewesten vooral ligt in het preventieve luik.

Graag had ik dan ook volgende vragen voorgelegd aan de geachte minister:

1) In hoeverre zijn de gevoelige versleutelde data van de overheidsdiensten future-proof beveiligd? Is men zich bewust van het gevaar van quantumcomputers op middellange termijn? Zo ja, welke maatregelen heeft men reeds hiertegen genomen? Zo nee, waarom niet?

2) Heeft men reeds kennis genomen van de mogelijke dreiging die quantumcomputing met zich meebrengt voor onze veiligheid? Zijn er al stappen gezet om gevoelige data extra te versleutelen?

3) Hoeveel documenten en bestanden van de overheid verwacht zullen kwetsbaar worden indien men niet overschakelt naar quantum-proof versleuteling?

4) Is het een prioriteit om gevoelige communicatiekanalen te beveiligen met extra beveiligingslagen? Waarom wel/niet? Verwacht u dat de huidige beveiliging nog bruikbaar zal zijn na vijf jaar? Wat na tien jaar?

5) Zijn er plannen om de ICT-beveiliging te verhogen bij strategisch gevoelige doelwitten (kerncentrales, ziekenhuizen, universiteiten, treinen etc.) in het kader van deze toekomstige ontwikkelingen?

6) Hoe kan men de burgers hierover informeren? Wat kunnen de mensen zelf doen om zich beter te beveiligen hieromtrent?

7) Hebben de bevoegde diensten een migratiestrategie voor de bestanden uitgewerkt zoals in Nederland? Zo ja, welke strategie is dit? Volgens welke richtlijnen zal men werken? Hoe zal men dit doen? Zijn er budgetten voor voorzien? Welke documenten en diensten van de overheid en de veiligheidsdiensten zullen voorrang krijgen om versleuteld te worden? Zo nee, waarom niet?

Antwoord ontvangen op 15 december 2021 :

De VSSE is op de hoogte van de uitdagingen die zullen ontstaan wanneer bruikbare quantumcomputers beschikbaar zullen worden. Volgens onze informatie bevindt quantum computing zich nog in een experimenteel stadium. De publicatie waar de heer Daems naar verwijst geeft aan dat experten de kans klein maar reëel achten dat quantumcomputers in 2030 al krachtig genoeg zullen zijn om de huidige cryptografische standaarden te breken. Een aantal labo’s claimen in experimentele opstellingen proof of concepts te leveren en door middel van quantum computing berekeningen te hebben uitgevoerd. De technische uitdagingen om die experimentele opstellingen op te schalen naar een voldoende hoog niveau (van enkele tientallen qubits tot duizenden qubits) en uit te werken tot een bruikbare computer zijn echter nog enorm. Maar wereldwijd worden er veel middelen geïnvesteerd in de ontwikkeling van quantum computing en is het dus zeker mogelijk dat er oplossingen zullen gevonden worden voor die technische problemen.

Aangezien het nog niet duidelijk is wat de effectieve capaciteiten zullen zijn van quantumcomputers en hoe die gebruikt zullen kunnen worden, is het moeilijk om nu reeds in te schatten wat de impact ervan zal zijn op de veiligheidssituatie. Er lijkt wel consensus te bestaan dat de huidige cryptografische standaarden niet meer zullen voldoen in een post-quantum tijdperk. De veiligheid van computersystemen en informaticanetwerken zal dus moeten herbekeken worden.

Netwerkveiligheid is geen kernopdracht van de VSSE. Maar de dienst zal wel de evolutie van quantum computing opvolgen en evalueren wat de impact van deze technologie zal zijn op de bedreigingen die de VSSE opvolgt. Gezien de aard van de technologie lijkt het niet dat quantum computing vlug een commodity zal worden zoals smartphones, tablets en klassieke (krachtige) computers. Wanneer quantumcomputers praktisch inzetbaar zullen worden, verwachten we in eerste instantie een transformatie bij state actor spionage.

In antwoord op de andere vragen verwijs ik u naar de expertise van:

– het Centrum voor cybersecurity België (CCB), de nationale autoriteit voor cyberveiligheid in België, deze valt onder de bevoegdheid van mijn collega, de eerste minister;

– het Nationaal Crisiscentrum (NCCN), bevoegd voor de veiligheid van de kritieke infrastructuur, deze staat onder de bevoegdheid van mijn collega, de minister van Binnenlandse Zaken, aan wie deze vraag ook werd gesteld.