Is Nederland klaar voor Q-Day? SIG maakt de weg vrij voor crypto-agility met behulp van het Cybersecurity Innovation Fund (CIF-NL).

Is Nederland klaar voor Q-Day? En hoe SIG de weg vrijmaakt voor crypto-agility met behulp van het Cybersecurity Innovation Fund (CIF-NL).

Quantumcomputers vormen een fundamentele bedreiging voor de veelgebruikte publieke-sleutel cryptografische systemen die vandaag de dag nog gangbaar zijn, zoals RSA en Elliptic Curve Cryptography (ECC).

Vooralsnog zijn de berekeningen van quantumcomputers niet krachtig genoeg: het zou een quantumcomputer met 20 miljoen 'noisy' qubits acht uur kosten om RSA-2048 encryptie te factoriseren. Ter vergelijking: Dit is iets wat voor zelfs de grootste reguliere supercomputer praktisch onhaalbaar is (deze zal er langer over doen dan de leeftijd van het heelal). Dat betekent echter niet dat we ons nog geen zorgen moeten maken: versleuteld verkeer kan vandaag worden verzameld (harvested) en na 'Q-day' worden ontsleuteld: de dag waarop de huidige veelgebruikte cryptografische algoritmen kwetsbaar worden voor quantumcomputing.

De snelheid waarmee cryptografische methoden de afgelopen vijftig jaar zijn geadopteerd, laat zien dat cryptografie overal om ons heen is, van Internet of Things (IoT)-apparaten tot pacemakers en communicatiesystemen. Daarom is het essentieel dat de post-quantum crypto-resilience wordt bevorderd om de veiligheid van onze kritieke systemen te waarborgen.

“Cryptografie zit verweven in applicaties die organisaties draaien, maar vrijwel niemand weet precies waar. Wie veilig wil zijn op Q-day, moet nu beginnen met inzicht: welke cryptografie gebruik ik, in welke code, en hoe kwetsbaar is dat?", aldus Pepijn van de Kamp, Director of Research & Innovation bij Software Improvement Group.

Software Improvement Group (SIG), al meer dan 25 jaar autoriteit op het gebied van softwarekwaliteit en -governance, gaat met behulp van de CIF-NL subsidie zich met dit project richten op het voorbereiden van de Nederlandse IT/OT infrastructuur voor de dreiging van quantumcomputers. Voor SIG past dit binnen een bredere missie: organisaties helpen grip te houden op de software waarop hun bedrijf draait. Post-quantum gereedheid is daarvan een logische volgende stap.

Het doel van dit project is dat SIG een Proof of Concept (PoC) ontwikkelt, test en valideert, die op basis van elke broncode een gedetailleerde, machinaal leesbare inventaris van alle cryptografische componenten in een software-applicatie of IT-systeem, genoemd Cryptographic Bill of Materials (CBoM), kan genereren. De Proof of Concept (PoC) maakt op schaalbare wijze inschattingen voor post-quantum gereedheid mogelijk, biedt een overzicht van risicocategorieën en de ernst daarvan. Daarnaast verzorgt het een inventarisatie van gebruikte cryptografische methoden en PQC-veilige alternatieven. Waar huidige tools zich vaak beperken tot de infrastructuur (servers, netwerken e.d.), richt SIG zich specifiek op de broncode van applicaties via statische analyse. Hiermee levert ze inzicht in de kwaliteit en de risico’s van de software zelf.

De nieuwe functionaliteit wordt geïntegreerd in het software portfolio governance-platform Sigrid®, dat al in staat is om zwakke plekken en knelpunten in broncode, architectuur en systemen van derden te identificeren. Hierbij benchmarkt SIG deze tegen de grootste softwaredataset ter wereld, met meer dan 400 miljard regels code, ruim 30.000 systemen en 300+ technologieën.

Bent u benieuwd naar de subsidiemogelijkheden voor uw cybersecurityproject? Neem dan contact op via info@innofunding.nl, waar ons team graag met je in gesprek gaat!

Meer informatie over de CIF-NL subsidie: https://www.rvo.nl/subsidies-financiering/cif-nl

Meer informatie over SIG: https://www.softwareimprovementgroup.com/

Het project wordt uitgevoerd met subsidie van het Ministerie van Economische Zaken, Nationale regelingen EZ-subsidies, Cyberbeveiligingsinnovatieprojecten, uitgevoerd door Rijksdienst voor Ondernemend Nederland.