Kader: Opmerking vooraf. Dit bericht is een vooraankondiging over de nieuwe certificaten en is enkel van toepassing op de ontwikkelaars van software. In de toekomst zal ook jij (vanuit je rol als gebruiker) certificaten van het nieuwe type ontvangen, maar zover is het nog niet. Zoals je van ons mag verwachten zijn wij van begin af aan in nauw overleg met de betrokken partijen.
Om de veiligheid van digitale gegevensuitwisseling verder te verbeteren, introduceert Logius een nieuwe generatie PKIoverheid certificaten: G4 en G3+. Deze certificaten vervangen de huidige G3- en G1 Private-certificaten, die vanaf 2013 in gebruik zijn genomen en nog geldig zijn tot uiterlijk 13 november 2028. Organisaties worden opgeroepen om tijdig te starten met de voorbereiding op de overstap van G1 naar de G4, omdat deze nieuwe certificaten impact hebben op dienstverlening en IT-infrastructuur.
Wat is PKIoverheid?
PKIoverheid is een afsprakenstelsel dat wordt beheerd door Logius. Het biedt betrouwbare digitale certificaten die zorgen voor veilige gegevensuitwisseling tussen overheden, burgers en bedrijven. De certificaten waarborgen de vertrouwelijkheid, integriteit en authenticiteit van elektronische communicatie en transacties.
Door strengere regelgeving en de groeiende behoefte aan meer beveiliging introduceert PKIoverheid de G4-certificaten. Deze zijn ontworpen om te voldoen aan de nieuwste technologische standaarden. Tegelijkertijd is er een tussentijdse update aan de G3-certificaten toegevoegd, genaamd G3+, die specifiek bedoeld is voor het beveiligen van e-mails (S/MIME).
Wat zijn de belangrijkste veranderingen?
De G4-certificaten brengen een aantal verbeteringen en aanpassingen met zich mee:
Vier nieuwe root-certificaten (in plaats van twee), elk met een specifiek gebruiksdoel, zoals S/MIME, digitale handtekeningen of serverauthenticatie.
Strikte scheiding van gebruiksdoelen: elk certificaat soort mag slechts voor één doel worden gebruikt, zoals authenticatie of het plaatsen van een digitale handtekening.
Moderner cryptografisch algoritme: het nieuwe RSASSA-PSS-algoritme vervangt het verouderde RSASSA-PKCS1-v1_5. Dit algoritme is veiliger en voldoet aan internationale normen.
Nieuwe naamgeving: certificaten en hun hiërarchie sluiten beter aan op internationale standaarden, waardoor het eenvoudiger wordt om certificaten en hun toepassing te herkennen.
De G3+ certificaten zijn een specifieke uitbreiding van de G3-certificaten om te voldoen aan vernieuwde regelgeving voor e-mailbeveiliging (S/MIME).
Wat betekent dit voor jouw organisatie?
De introductie van de G4-certificaten kan verschillende gevolgen hebben voor organisaties:
Meer certificaten nodig: Omdat elk certificaat slechts voor één doel kan worden gebruikt, kan het aantal benodigde certificaten toenemen.
Compatibiliteit controleren: Organisaties moeten ervoor zorgen dat hun systemen het nieuwe cryptografische algoritme RSASSA-PSS ondersteunen.
Nieuwe root-certificaten importeren: De vier nieuwe root-certificaten moeten worden toegevoegd aan de truststores van systemen.
“Wacht niet tot het laatste moment – je digitale communicatie staat of valt met de tijdige overstap naar G4-certificaten.”
Stappenplan voor een succesvolle overstap
Het tijdig voorbereiden van je organisatie is essentieel. Volg deze stappen om de overstap naar G4 soepel te laten verlopen:
Inventariseer gebruik: analyseer waarvoor de huidige G3-certificaten worden ingezet.
Bepaal de behoeften: raadpleeg de vertaaltabel “Welk type certificaat heb ik nodig?” op de website van Logius óf neem contact op met PKIpartners.
Controleer compatibiliteit: zorg dat je systemen het nieuwe algoritme ondersteunen en update deze indien nodig.
Importeer nieuwe root-certificaten: voeg de G4-rootcertificaten toe aan de relevante systemen.
Test grondig: test alle processen met de nieuwe certificaten voordat u deze op grote schaal implementeert.
Actie vereist: start vandaag!
Hoewel 2028 nog enkele jaren weg is, kost de overstap naar G4-certificaten tijd en planning. Organisaties die vroeg beginnen, hebben meer ruimte om systemen aan te passen en problemen te voorkomen.
Quantumcomputers vormen een reële dreiging voor de huidige beveiligingssystemen, en de urgentie om over te stappen op post-quantum resistente cryptografie (PQC) wordt met de dag groter. Tijdens de Post-Quantum Cryptography Conference op 15 en 16 januari 2025 in Austin, Texas, kwamen experts uit wetenschap, industrie en overheid samen om kennis te delen over de impact van quantum technologie en de transitie naar PQC.
PKIpartners was erbij en deelde een liveblog met waardevolle inzichten. Directeur Ton Oosterwijk benadrukte de complexiteit van deze transitie, riep op tot een gecoördineerde pragmatische aanpak en werd hiervoor geïnterviewd door het overheidsmagazine Binnenlands Bestuur. Van cryptografische algoritmes en hardware-uitdagingen tot praktische oplossingen voor certificaatbeheer – de conferentie bood een breed scala aan onderwerpen en praktische aanbevelingen.
Waarom is actie nodig?
Quantumcomputers zullen op termijn in staat zijn om versleuteling te breken die wordt gebruikt voor certificaten, handtekeningen en beveiligde communicatie. Dit kan leiden tot ontwrichting van essentiële processen, zoals het betrouwbaar ondertekenen van akten, het beveiligen van digitale communicatie en het ontsleutelen van nu al gestolen geheimen (Harvest now, decrypt later). Tijdens de conferentie werd duidelijk dat de overgang naar PQC zowel een technische als een organisatorische uitdaging is, en dat er nú stappen nodig zijn om voorbereid te zijn.
Belangrijkste inzichten uit Austin
Nieuwe algoritmes en standaarden
Experts bespraken de voortgang in de ontwikkeling van quantumveilige algoritmen, waaronder de op 14 augustus 2024 door het NIST geselecteerde algoritmes voor versleuteling FIPS-203 ML-KEM, voor ondertekening en authenticatie FIPS-204 ML-DSA & FIPS-205 ML-DSA. Deze standaarden vormen de basis voor toekomstige PQC-certificaten.
Hardware beperkingen
Veel bestaande infrastructuren en apparatuur zijn niet geschikt voor de langere sleutels die PQC vereist. Dit vraagt om investeringen in nieuwe hardware en aanpassingen in software.
Certificaatbeheer en automatisering
Een groot obstakel is het gebrek aan overzicht en controle over digitale certificaten. Oosterwijk benadrukte dat veel organisaties nog afhankelijk zijn van handmatig beheer, terwijl automatisering essentieel is voor een succesvolle transitie.
Lees de uitgebreide liveblogs van PKIpartners
PKIpartners heeft de hoogtepunten van de conferentie samengevat in drie uitgebreide artikelen. Ontdek meer over de uitdagingen en oplossingen in de transitie naar PQC:
PKIpartners verwelkomt Jolanda Kieboom als nieuwe collega. Met haar brede ervaring in business development, sales en IT brengt ze een unieke mix van analytische scherpte en menselijke betrokkenheid mee. Jolanda’s reis naar deze positie is even inspirerend als boeiend, met een loopbaan die gedreven wordt door nieuwsgierigheid, volharding en de kunst van het opbouwen van relaties. Maak kennis met de vrouw achter de naam.
Van dromen over biologisch analist tot een carrière in IT en sales
Als kind droomde Jolanda ervan om biologisch analist te worden. “Ik wilde graag onderzoeken en ontdekken,” vertelt ze. Hoewel vakken als natuur- en scheikunde niet haar sterkste kant bleken, heeft haar analytische geest altijd een grote rol gespeeld in haar carrière. Na haar start in de verkoop rolde ze al snel de IT in. Haar eerste kennismaking? Data-entry op de automatiseringsafdeling van Shell. “Ik vond het geweldig om bonnen in te voeren en te zien hoe al mijn werk tot een kloppend overzicht leidde,” zegt ze met enthousiasme.
Deze passie voor structuur en processen bleek een blijvende factor. Inmiddels is Jolanda uitgegroeid tot een expert in business development, met een bijzondere focus op langdurige relaties en complexe salestrajecten.
De kracht van persoonlijke betrokkenheid
“Ik vind details belangrijk en besteed daar dus ook veel aandacht aan,” zegt ze. “Zo schrijf ik zaken op rondom wat iemand vertelt over zijn of haar werk tot hoe iemand zijn of haar koffie drinkt.” Deze details gebruikt ze om gesprekken te personaliseren en een blijvende indruk achter te laten. Dit maakt haar geliefd bij klanten en opdrachtgevers.
Bij PKIpartners zal Jolanda zich vooral richten op het ontwikkelen van nieuwe relaties binnen de gemeentemarkt. “Ik hou ervan om mensen te begeleiden en te helpen,” legt ze uit. “Gemeentes hebben vaak complexe besluitvormingsprocessen. Daar past mijn aanpak van vasthoudendheid en betrokkenheid perfect bij.”
Een samenwerking van 15 jaar
De samenwerking tussen Jolanda en Ton van PKIpartners is niet nieuw. “We kennen elkaar al zo’n 15 jaar,” vertelt Jolanda. “In het verleden hebben we samengewerkt aan verschillende projecten. Het klikte meteen. Ton heeft mij in het begin van mijn ondernemersavontuur enorm geholpen, en nu is het aan mij om iets terug te doen.” Deze wederzijdse waardering vormt een sterke basis voor hun huidige samenwerking.
Business development is net geocaching
Naast haar werk heeft Jolanda een bijzondere hobby: geocaching. Geocaching is een wereldwijde schatzoektocht waarbij deelnemers met behulp van GPS-coördinaten op zoek gaan naar verborgen “caches” (schatten) die andere mensen hebben verstopt. De caches bevatten vaak een logboek waarin je je naam kunt schrijven, en soms ook kleine voorwerpen om te ruilen. Met behulp van GPS-coördinaten speurt ze naar verborgen schatten. “Het is niet alleen avontuurlijk, maar ook een uitdaging die me scherp houdt,” zegt ze. Ze trekt de vergelijking met haar werk: “Business development lijkt hierop. Het gaat om zoeken, analyseren en volhouden totdat je het juiste vindt. Het is een activiteit die buiten wordt beoefend en waarbij technologie wordt gebruikt.
Een bijzonder hoogtepunt van haar geocaching avonturen was in Central Park, New York. “Ik ontdekte een tocht langs 32 bruggen. Dankzij geocaching zag ik delen van het park die ik anders nooit had gevonden. Het gevoel van ontdekken en blijven zoeken, dat is waar ik van hou, zowel in mijn werk als in mijn vrije tijd.”
Een boek vol inzichten
Jolanda’s passie voor haar vak is zelfs terug te vinden in de boekenwereld. In 2015 publiceerde ze een boek over telefonische acquisitie. “Het is een praktisch boek vol tips en anekdotes,” vertelt ze. Hoewel sommige technieken inmiddels zijn ingehaald door de AVG-wetgeving, blijft haar aanpak van persoonlijke en oprechte communicatie relevant.
Een visie voor de toekomst
In haar nieuwe rol bij PKIpartners wil Jolanda impact maken. “Ik wil bijdragen aan de groei van PKIpartners in de gemeentemarkt,” legt ze uit. “Het doel is meer bekendheid, meer klanten en duurzame relaties opbouwen. Ik wil dat gemeentes weten wat PKIpartners voor hen kan betekenen en dat ze ons nóg meer zien als een betrouwbare partner.”
Met Jolanda’s gedrevenheid, persoonlijke aanpak en rijke ervaring lijkt dat doel zeker haalbaar. Ze brengt niet alleen expertise, maar ook een frisse energie en een warm menselijk gezicht naar PKIpartners. Wil je meer weten over hoe Jolanda haar geocaching-mindset toepast in haar werk? Neem contact op met PKIpartners!
Na de opening door het PKI-consortium, vertegenwoordigd door Albert de Ruiter en Paul van Brouwershaven, begonnen we direct met de complexe materie van de algoritmes. De eerste presentatie die ik bijwoonde op het congres in november 2023, werd gegeven door Dr. Dustin Moody, wiskundige en projectleider post-quantum cryptografie bij NIST, en Bill Newhouse, Cybersecurity Engineer & Project Lead bij het National Cybersecurity Center of Excellence van NIST.
Het NIST is het nationale instituut van de Verenigde Staten voor het ontwikkelen van standaarden en technologieën en is altijd betrokken geweest bij het opstellen van cryptografische standaarden. Deze FIPS standaarden (Federal Information Processing Standards) zijn toonaangevende normen voor beveiliging. NIST richt zich volledig op post-quantum cryptografie en onderzoekt een antwoord op de algoritmes ontwikkeld door Dr. Peter Shor en Dr. Lov Grover. Deze algoritmes maken het mogelijk om, met behulp van een lange sleutel, terug te rekenen naar de geheime sleutel waarmee een document of verbinding is versleuteld. Het terugrekenen is precies wat kwantumcomputers kunnen doen. Elk certificaat bestaat uit een sleutelpaar met een publiek en privaat deel. Het publieke deel is openbaar en vindbaar. Door gebruik te maken van de publieke sleutel kan men de geheime sleutel achterhalen om vervolgens data te ontsleutelen.
Dr. Dustin Moody benadrukte dat de overgang naar post-quantum cryptografie de moeilijkste transitie is die ze tot nu toe hebben ondernomen. In zijn presentatie benoemde hij ook de vier algoritmes die in 2023 werden onderzocht: Crystals-Kyber, Crystal-Dilithium, Falcon en Sphincs+. Hoewel ik zelf geen wiskundige ben, werd mij duidelijk welke krachten en inspanningen worden geleverd om een antwoord te vinden op de kwantumdreiging.
We zijn geneigd te denken dat het uitsluitend een Amerikaanse aangelegenheid is, maar door de boodschap was duidelijk: deze inspanningen worden niet alleen voor Amerikanen gedaan. Ook hun economie, zorgstelsel en dagelijks leven kunnen getroffen worden door deze dreiging.
De informatie, meningen, standpunten en adviezen zijn gebaseerd op kennis van zaken in het algemeen en de publieke informatie. Het staat u vrij met informatie uw voordeel te doen, maar PKIpartners aanvaarden geen aansprakelijkheid voor mogelijke schade als gevolg van acties die u op basis van de inhoud van deze e-mail neemt. Wenst u een op maat gesneden advies voor uw specifieke situatie, dan kunt u uiteraard contact opnemen met ons.
Het congres van PKIconsortium – Post Quantum Cryptography in Austin is afgelopen.
Tijdens twee dagen waardevolle inzichten verkregen door presentaties en netwerken met vertegenwoordigers op het gebied van wetenschap, cryptografie, veiligheidsdiensten, banken, defensieleveranciers, gezondheidszorg, hardware ontwikkelaars en certificaatproducenten.
Er is informatie gedeeld over de impact en voortgang van eIDAS, evenals de invloed op e-mail. Programmeurs hebben meerdere keren per jaar deelgenomen aan hackathons om theorie en eisen in technische toepassingen te testen.
NVIDIA/ TNO / TU Delft
Er werd een presentatie gegeven door NVIDIA waarin hun plannen en ideeën met betrekking tot Quantum & AI werden besproken. Ook was er gelegenheid voor rustige gesprekken met onderzoekers van TNO en TU Delft (mw Ini Kong) over ontwikkelingen in Nederland.
Harvest now
Verder is er kennis opgedaan over ‘Harvest now, decrypt later’ en zijn er relevante contacten gelegd met deskundigen.
Enkele conclusies en aanbevelingen:
Beveiligde, versleutelde verbindingen zijn wereldwijd alom vertegenwoordigd.
Certificaten en cryptografie spelen hierbij een cruciale rol.
Er is nog geen definitieve oplossing, en de technologie blijft complex en in ontwikkeling.
Een transitieperiode is reeds gestart, en er moet voorbereid worden op grootschalige veranderingen. Dit zonder paniek, maar ook zonder af te wachten op enkel de leveranciers.
PQC vereist directief leiderschap.
Bestuurders zoals SG, DG, gemeentesecretarissen en directeuren raad ik aan om regelmatig het gesprek aan te gaan met IT-collega’s en niet alleen via de CISO. Creëer een veilige werkomgeving voor IT-medewerkers om vrijuit te spreken. Wees bereid om te luisteren en te inventariseren. Wees nieuwsgierig en vraag door.
Daarnaast is het belangrijk dat de overheid het HAPKIDO-project van de TU Delft blijft ondersteunen, aangezien dit project essentieel gereedschap biedt voor de transitie naar nieuwe technologieën. Investering in onderzoeksmodules zoals WP1, WP2, WP3, WP7 en WP8 zijn noodzakelijk, met focus op eenvoud en toepasbaarheid.
Tot slot
Wil ik mijn dank uitspreken aan PKIconsortium, de vrijwilligers en hun werkgevers voor hun bijdrage aan dit evenement.
Bijzondere dank
Dank aan voorzitter Paul van Brouwershoven van Entrust en vice-voorzitter Albert de Ruiter van Logius voor hun inzet.
In één zin
Een functionaris van het Department of Homeland Defense merkte op: “We learned how the sausage is made”.
Verdere uitwerking volgt
Albert de Ruiter – Paul van Brouwershoven – Ton Oosterwijk
Te beginnen met een terugblik op het Post Quantum Cryptografie congres van november 2023 Amsterdam, achtergrond en onze motivatie.
Ik ben deze week in Austin, Texas USA voor een congres georganiseerd door het PKI Consortium aan de Universiteit van Texas over het onderwerp post-quantum cryptografie en de effecten daarvan op versleuteling en certificaten. Sommige van de onderwerpen zijn hoog-over en gaan over de algoritmes die een antwoord moeten bieden op snel ontsleutelen van de alle sleutels die we nu gebruiken voor encryptie van geheimen, beveiligde verbindingen, maar ook het kunnen ‘kraken’ van de sleutels die nodig zijn voor het onweerlegbaar digitaal ondertekenen van documenten. Met Quantum computers ben je dan in staat om niet alleen mee te lezen met berichtenverkeer, je kunt ook verkregen versleutelde informatie snel ontsleutelen… onder andere.
‘Onze’ Nederlandse juridische werkelijkheid – de basisregistraties
Deze twee laatste punten worden vooral in het publieke debat als de belangrijke punten benoemd en komen veelal voor in de kranten of als er over gesproken wordt onder het mom van Harvest now, decrypt later.
Maar wat ook speelt is dat je met een Quantum computer in staat bent om de sleutels (handtekeningen) te kopiëren die bijvoorbeeld gebruikt zijn voor het rechtsgeldig ondertekenen van aktes en bijschrijvingen in Kadaster en Kamer van Koophandel die gedaan worden door notarissen; ook dat wordt gedaan met een sleutelpaar bestaande uit een publieke en een private sleutel. Of dat je de sleutels van elektronische zegels van overheid, banken en verzekeraars kunt namaken en dus dat wat als waarheid wordt gezien, waar we op kunnen vertrouwen, mogelijk niet meer kunnen vertrouwen. Dat vertrouwen is voor elk land van belang en voor Nederland flink meer van essentieel belang. ‘Onze’ juridische werkelijkheid zit in 10 basisregistraties. Meer dan andere landen om ons heen en totaal met elkaar verknoopt door de koppelingen met alle systemen denkbaar door middel van bijvoorbeeld PKIoverheid Services TLS/SSL certificaten.
BRP – Basisregistratie personen (bestaat uit ingezetenen en niet-ingezetenen)
Austin is het derde congres; het tweede vond plaats in november 2023 in Amsterdam. Minder dan 14 maanden geleden. Het Amsterdam congres trok 250 fysieke aanwezigen uit vele landen en 1200 online deelnemers die meekeken naar de verschillende onderwerpen en sprekers. Een bijzonder aspect van deze bijeenkomst is dat alle sprekers en aanwezigen belangeloos deelnemen. Sprekers krijgen geen vergoeding en bezoekers betalen geen toegangsgeld. Het congres wordt gesponsord door leden van Airbus tot TNO en Visa. Niet om de commerciële belangen primair, maar om de relevantie van het onderwerp.
Sprekers moeten zich aan strikte regels houden bij het geven van presentaties. Dit betekent minimale vermelding van bedrijfsnamen en geen commerciële boodschappen. Het gaat om kennis krijgen en kennis delen. Dit onderwerp raakt alles wat gewoon is geworden. Internet, navigatie, zorg, onderwijs, communicatie, infrastructuur, satellieten, auto’s, telefoon, internet of things, maar ook wapentuig. Bedenk het,… en het heeft een certificaat met echtheidskenmerken en versleuteling. En in alles zitten chips en certificaten.
En of de huidige chips het aankunnen… dat is maar de vraag. Het antwoord is eigenlijk… nee. Maar waar moeten de nieuwe chips dan vandaan komen? En kunnen ze wel gebruikt of fysiek geplaatst worden in de huidige apparaten? Op Europees niveau vielen de woorden over Quantum weerbaarheid al wel bij de aankondiging dat Europa een eigen netwerk van 290 satellieten gaat bouwen in de aankomende jaren.
Twee Nederlanders in het bestuur
Ondanks deze regels en beperkingen omtrent spreker zijn, nemen professionals van allerlei gerenommeerde bedrijven deel om kennis te delen. Deelnemers begrijpen goed wat er speelt in hun vakgebied en erkennen dat mondiale problemen niet door één persoon, overheid of instantie kunnen worden opgelost. Het congres wordt georganiseerd door het PKIconsortium, een non-profitorganisatie die zich bezighoudt met vraagstukken rondom PKI-certificaatstructuren en organisaties. De voorzitter van het PKIconsortium is momenteel Paul van Brouwershaven van Entrust, met als vice-voorzitter Albert de Ruiter, de Policy Authoriteit PKIoverheid van Logius. Alle zaken rond het congres; van organisatie tot en met de dagelijkse zaken en het opnemen en monteren van alle spreekbeurten wordt gedaan door vrijwilligers.
Waarom is PKIpartners er? – De dagdagelijkse toepassing
Ook voor ons geldt: om kennis te verkrijgen om te kunnen delen. Ik, en ons bedrijf PKIpartners, zitten in de uitvoering van omgaan met certificaten. De dagdagelijkse toepassing van certificaten en handtekeningen is ons ding. Praten met onze klanten en meedenken over hoe je wilt regelen of inregelen.
Wij maken niets…we zijn geen wiskundigen, techneuten, chipbouwer of programmeurs. Wij zijn een dienstverlener met persoonlijk contact met onze klanten in begrijpelijke taal. Van boekhouders, accountants, software- en appontwikkelaars tot en met (lokale) overheden en overheidsdienstverleners en zelfstandige bestuursorganen. Door het bijstaan met certificaten managen en geven van spreekbeurten en les.
Naast het delen van mijn opgedane kennis en ervaringen van deze week (of eigenlijk 2 congresdagen), zal ik beginnen met terugkijken op het congres van november 2023. In de afgelopen 13 maanden zijn er aanzienlijke ontwikkelingen geweest op het gebied van de algoritmes en de doorzetting van AI, die nu in verschillende vormen aanwezig is en gebruikt wordt voor aanvallen op cryptografie. Dit retrospectief zal de hoogtepunten van de presentaties en sprekers opsommen en ik zal de rest van de week aanvullingen geven over wat ik heb geleerd.
Kennisdeling is het doel om hier te zijn hier, aangezien dit ons allemaal vroeg of laat zal raken. Om met de uitdagingen om te gaan vraagt om een gestructureerde en gecoördineerde aanpak door deskundige teams, bestaande uit zowel wetenschappers als mensen die hardware ontwikkelen en opereren. En zij die de brug gaan slaan naar de dagdagelijkse praktijk.
Paniek is ook niet nodig, maar we zullen actie moeten gaan ondernemen. En dat begint met leren en kennis delen… en nu komt ie… dat delen doen we in het Nederlands 😊.
De informatie, meningen, standpunten en adviezen zijn gebaseerd op kennis van zaken in het algemeen en de publieke informatie. Het staat u vrij met informatie uw voordeel te doen, maar PKIpartners aanvaarden geen aansprakelijkheid voor mogelijke schade als gevolg van acties die u op basis van de inhoud van deze e-mail neemt. Wenst u een op maat gesneden advies voor uw specifieke situatie, dan kunt u uiteraard contact opnemen met ons.
