Vier tips over crypto-agility adoptie binnen organisaties
Cryptografie is niet meer weg te denken uit onze moderne informatiebeveiliging. Dankzij cryptografie kunnen we veilig betalen met onze bankpas, verkeerslichten aansturen en vertrouwelijke informatie versleutelen. Maar cryptosystemen kunnen ‘gebroken’ worden, bijvoorbeeld door zwaktes in algoritmes, implementatiefouten of de komst van krachtige quantumcomputers die de cryptografische beveiligingswaarde substantieel verlagen zo meldt de Digitale Overheid.
Daarom is het belangrijk om rekening te houden met nieuwe kwetsbaarheden en dreigingen. Dat kan door cryptografie wendbaar (agile) te maken. Die wendbaarheid zorgt er bijvoorbeeld voor dat je snel de sleutellengte kan veranderen. Of dat je een ander algoritme kan implementeren in een protocol.
Tips vanuit een monster
De werkgroep ‘crypto-agility’ van het programma Quantumveilige Cryptografie Rijk (QvC Rijk) ging op onderzoek uit. De groep maakte een basis om de verschillende aspecten van crypto-agility binnen organisaties bespreekbaar te maken. Ze stelden zich dit begrip voor als een groot monster met kwade en goede kanten. En maakten zo alle aspecten(link naar andere website) zichtbaar (op een bierviltje). Er kwamen de volgende tips uit voort:
- Crypto-agility is een manier om (toekomstige) kwetsbaarheden in cryptografische protocollen, primitieven en systemen te verminderen.
- Houd in je risicomanagementproces niet alleen rekening met de positieve effecten van wendbaarheid, maar ook met de risico’s die agility met zich kan mee kan brengen.
- Kies agility-doelen en de mate van wendbaarheid die past bij de risico’s van jouw organisatie. Bepaal hoe je die doelen kan realiseren.
- Probeer in kaart te brengen welke mogelijkheden voor agility je hebt of wil hebben in het cryptosysteem, en wat de afhankelijkheden daartussen zijn.
Handvatten
De werkgroep ‘crypto-agility’ van het programma QvC-Rijk werkt momenteel aan handvatten om de rijksoverheid en aanbieders van essentiële diensten te ondersteunen om systemen ‘crypto-agile’ te maken.
Ben jij bezig met dit ontwerp of met het beheer van een crypto-agile systeem? Lees het blog over crypto-agility op ncsc.nl en deel je ervaringen(link naar andere website).