Na de opening door het PKI-consortium, vertegenwoordigd door Albert de Ruiter en Paul van Brouwershaven, begonnen we direct met de complexe materie van de algoritmes. De eerste presentatie die ik bijwoonde op het congres in november 2023, werd gegeven door Dr. Dustin Moody, wiskundige en projectleider post-quantum cryptografie bij NIST, en Bill Newhouse, Cybersecurity Engineer & Project Lead bij het National Cybersecurity Center of Excellence van NIST.
Het NIST is het nationale instituut van de Verenigde Staten voor het ontwikkelen van standaarden en technologieën en is altijd betrokken geweest bij het opstellen van cryptografische standaarden. Deze FIPS standaarden (Federal Information Processing Standards) zijn toonaangevende normen voor beveiliging. NIST richt zich volledig op post-quantum cryptografie en onderzoekt een antwoord op de algoritmes ontwikkeld door Dr. Peter Shor en Dr. Lov Grover. Deze algoritmes maken het mogelijk om, met behulp van een lange sleutel, terug te rekenen naar de geheime sleutel waarmee een document of verbinding is versleuteld. Het terugrekenen is precies wat kwantumcomputers kunnen doen. Elk certificaat bestaat uit een sleutelpaar met een publiek en privaat deel. Het publieke deel is openbaar en vindbaar. Door gebruik te maken van de publieke sleutel kan men de geheime sleutel achterhalen om vervolgens data te ontsleutelen.
Dr. Dustin Moody benadrukte dat de overgang naar post-quantum cryptografie de moeilijkste transitie is die ze tot nu toe hebben ondernomen. In zijn presentatie benoemde hij ook de vier algoritmes die in 2023 werden onderzocht: Crystals-Kyber, Crystal-Dilithium, Falcon en Sphincs+. Hoewel ik zelf geen wiskundige ben, werd mij duidelijk welke krachten en inspanningen worden geleverd om een antwoord te vinden op de kwantumdreiging.
We zijn geneigd te denken dat het uitsluitend een Amerikaanse aangelegenheid is, maar door de boodschap was duidelijk: deze inspanningen worden niet alleen voor Amerikanen gedaan. Ook hun economie, zorgstelsel en dagelijks leven kunnen getroffen worden door deze dreiging.
De informatie, meningen, standpunten en adviezen zijn gebaseerd op kennis van zaken in het algemeen en de publieke informatie. Het staat u vrij met informatie uw voordeel te doen, maar PKIpartners aanvaarden geen aansprakelijkheid voor mogelijke schade als gevolg van acties die u op basis van de inhoud van deze e-mail neemt. Wenst u een op maat gesneden advies voor uw specifieke situatie, dan kunt u uiteraard contact opnemen met ons.
Het congres van PKIconsortium – Post Quantum Cryptography in Austin is afgelopen.
Tijdens twee dagen waardevolle inzichten verkregen door presentaties en netwerken met vertegenwoordigers op het gebied van wetenschap, cryptografie, veiligheidsdiensten, banken, defensieleveranciers, gezondheidszorg, hardware ontwikkelaars en certificaatproducenten.
eIDAS en hackathons
Er is informatie gedeeld over de impact en voortgang van eIDAS, evenals de invloed op e-mail. Programmeurs hebben meerdere keren per jaar deelgenomen aan hackathons om theorie en eisen in technische toepassingen te testen.
NVIDIA/ TNO / TU Delft
Er werd een presentatie gegeven door NVIDIA waarin hun plannen en ideeën met betrekking tot Quantum & AI werden besproken. Ook was er gelegenheid voor rustige gesprekken met onderzoekers van TNO en TU Delft (mw Ini Kong) over ontwikkelingen in Nederland.
Harvest now
Verder is er kennis opgedaan over ‘Harvest now, decrypt later’ en zijn er relevante contacten gelegd met deskundigen.
Enkele conclusies en aanbevelingen:
Beveiligde, versleutelde verbindingen zijn wereldwijd alom vertegenwoordigd.
Certificaten en cryptografie spelen hierbij een cruciale rol.
Er is nog geen definitieve oplossing, en de technologie blijft complex en in ontwikkeling.
Een transitieperiode is reeds gestart, en er moet voorbereid worden op grootschalige veranderingen. Dit zonder paniek, maar ook zonder af te wachten op enkel de leveranciers.
PQC vereist directief leiderschap.
Bestuurders zoals SG, DG, gemeentesecretarissen en directeuren raad ik aan om regelmatig het gesprek aan te gaan met IT-collega’s en niet alleen via de CISO. Creëer een veilige werkomgeving voor IT-medewerkers om vrijuit te spreken. Wees bereid om te luisteren en te inventariseren. Wees nieuwsgierig en vraag door.
Daarnaast is het belangrijk dat de overheid het HAPKIDO-project van de TU Delft blijft ondersteunen, aangezien dit project essentieel gereedschap biedt voor de transitie naar nieuwe technologieën. Investering in onderzoeksmodules zoals WP1, WP2, WP3, WP7 en WP8 zijn noodzakelijk, met focus op eenvoud en toepasbaarheid.
Tot slot
Wil ik mijn dank uitspreken aan PKIconsortium, de vrijwilligers en hun werkgevers voor hun bijdrage aan dit evenement.
Bijzondere dank
Dank aan voorzitter Paul van Brouwershoven van Entrust en vice-voorzitter Albert de Ruiter van Logius voor hun inzet.
In één zin
Een functionaris van het Department of Homeland Defense merkte op: “We learned how the sausage is made”.
Verdere uitwerking volgt
Albert de Ruiter – Paul van Brouwershoven – Ton Oosterwijk
Te beginnen met een terugblik op het Post Quantum Cryptografie congres van november 2023 Amsterdam, achtergrond en onze motivatie.
Ik ben deze week in Austin, Texas USA voor een congres georganiseerd door het PKI Consortium aan de Universiteit van Texas over het onderwerp post-quantum cryptografie en de effecten daarvan op versleuteling en certificaten. Sommige van de onderwerpen zijn hoog-over en gaan over de algoritmes die een antwoord moeten bieden op snel ontsleutelen van de alle sleutels die we nu gebruiken voor encryptie van geheimen, beveiligde verbindingen, maar ook het kunnen ‘kraken’ van de sleutels die nodig zijn voor het onweerlegbaar digitaal ondertekenen van documenten. Met Quantum computers ben je dan in staat om niet alleen mee te lezen met berichtenverkeer, je kunt ook verkregen versleutelde informatie snel ontsleutelen… onder andere.
‘Onze’ Nederlandse juridische werkelijkheid – de basisregistraties
Deze twee laatste punten worden vooral in het publieke debat als de belangrijke punten benoemd en komen veelal voor in de kranten of als er over gesproken wordt onder het mom van Harvest now, decrypt later.
Maar wat ook speelt is dat je met een Quantum computer in staat bent om de sleutels (handtekeningen) te kopiëren die bijvoorbeeld gebruikt zijn voor het rechtsgeldig ondertekenen van aktes en bijschrijvingen in Kadaster en Kamer van Koophandel die gedaan worden door notarissen; ook dat wordt gedaan met een sleutelpaar bestaande uit een publieke en een private sleutel. Of dat je de sleutels van elektronische zegels van overheid, banken en verzekeraars kunt namaken en dus dat wat als waarheid wordt gezien, waar we op kunnen vertrouwen, mogelijk niet meer kunnen vertrouwen. Dat vertrouwen is voor elk land van belang en voor Nederland flink meer van essentieel belang. ‘Onze’ juridische werkelijkheid zit in 10 basisregistraties. Meer dan andere landen om ons heen en totaal met elkaar verknoopt door de koppelingen met alle systemen denkbaar door middel van bijvoorbeeld PKIoverheid Services TLS/SSL certificaten.
BRP – Basisregistratie personen (bestaat uit ingezetenen en niet-ingezetenen)
Austin is het derde congres; het tweede vond plaats in november 2023 in Amsterdam. Minder dan 14 maanden geleden. Het Amsterdam congres trok 250 fysieke aanwezigen uit vele landen en 1200 online deelnemers die meekeken naar de verschillende onderwerpen en sprekers. Een bijzonder aspect van deze bijeenkomst is dat alle sprekers en aanwezigen belangeloos deelnemen. Sprekers krijgen geen vergoeding en bezoekers betalen geen toegangsgeld. Het congres wordt gesponsord door leden van Airbus tot TNO en Visa. Niet om de commerciële belangen primair, maar om de relevantie van het onderwerp.
Sprekers moeten zich aan strikte regels houden bij het geven van presentaties. Dit betekent minimale vermelding van bedrijfsnamen en geen commerciële boodschappen. Het gaat om kennis krijgen en kennis delen. Dit onderwerp raakt alles wat gewoon is geworden. Internet, navigatie, zorg, onderwijs, communicatie, infrastructuur, satellieten, auto’s, telefoon, internet of things, maar ook wapentuig. Bedenk het,… en het heeft een certificaat met echtheidskenmerken en versleuteling. En in alles zitten chips en certificaten.
En of de huidige chips het aankunnen… dat is maar de vraag. Het antwoord is eigenlijk… nee. Maar waar moeten de nieuwe chips dan vandaan komen? En kunnen ze wel gebruikt of fysiek geplaatst worden in de huidige apparaten? Op Europees niveau vielen de woorden over Quantum weerbaarheid al wel bij de aankondiging dat Europa een eigen netwerk van 290 satellieten gaat bouwen in de aankomende jaren.
Twee Nederlanders in het bestuur
Ondanks deze regels en beperkingen omtrent spreker zijn, nemen professionals van allerlei gerenommeerde bedrijven deel om kennis te delen. Deelnemers begrijpen goed wat er speelt in hun vakgebied en erkennen dat mondiale problemen niet door één persoon, overheid of instantie kunnen worden opgelost. Het congres wordt georganiseerd door het PKIconsortium, een non-profitorganisatie die zich bezighoudt met vraagstukken rondom PKI-certificaatstructuren en organisaties. De voorzitter van het PKIconsortium is momenteel Paul van Brouwershaven van Entrust, met als vice-voorzitter Albert de Ruiter, de Policy Authoriteit PKIoverheid van Logius. Alle zaken rond het congres; van organisatie tot en met de dagelijkse zaken en het opnemen en monteren van alle spreekbeurten wordt gedaan door vrijwilligers.
Waarom is PKIpartners er? – De dagdagelijkse toepassing
Ook voor ons geldt: om kennis te verkrijgen om te kunnen delen. Ik, en ons bedrijf PKIpartners, zitten in de uitvoering van omgaan met certificaten. De dagdagelijkse toepassing van certificaten en handtekeningen is ons ding. Praten met onze klanten en meedenken over hoe je wilt regelen of inregelen.
Wij maken niets…we zijn geen wiskundigen, techneuten, chipbouwer of programmeurs. Wij zijn een dienstverlener met persoonlijk contact met onze klanten in begrijpelijke taal. Van boekhouders, accountants, software- en appontwikkelaars tot en met (lokale) overheden en overheidsdienstverleners en zelfstandige bestuursorganen. Door het bijstaan met certificaten managen en geven van spreekbeurten en les.
Naast het delen van mijn opgedane kennis en ervaringen van deze week (of eigenlijk 2 congresdagen), zal ik beginnen met terugkijken op het congres van november 2023. In de afgelopen 13 maanden zijn er aanzienlijke ontwikkelingen geweest op het gebied van de algoritmes en de doorzetting van AI, die nu in verschillende vormen aanwezig is en gebruikt wordt voor aanvallen op cryptografie. Dit retrospectief zal de hoogtepunten van de presentaties en sprekers opsommen en ik zal de rest van de week aanvullingen geven over wat ik heb geleerd.
Kennisdeling is het doel om hier te zijn hier, aangezien dit ons allemaal vroeg of laat zal raken. Om met de uitdagingen om te gaan vraagt om een gestructureerde en gecoördineerde aanpak door deskundige teams, bestaande uit zowel wetenschappers als mensen die hardware ontwikkelen en opereren. En zij die de brug gaan slaan naar de dagdagelijkse praktijk.
Paniek is ook niet nodig, maar we zullen actie moeten gaan ondernemen. En dat begint met leren en kennis delen… en nu komt ie… dat delen doen we in het Nederlands 😊.
De informatie, meningen, standpunten en adviezen zijn gebaseerd op kennis van zaken in het algemeen en de publieke informatie. Het staat u vrij met informatie uw voordeel te doen, maar PKIpartners aanvaarden geen aansprakelijkheid voor mogelijke schade als gevolg van acties die u op basis van de inhoud van deze e-mail neemt. Wenst u een op maat gesneden advies voor uw specifieke situatie, dan kunt u uiteraard contact opnemen met ons.
Op 14 november vond het Nextens Connect Event plaats, als platform voor ondernemers, accountants en fiscalisten die hun organisatie willen voorbereiden op de digitale toekomst. Het evenement bood een programma met sprekers en praktische workshops, waaronder de sessie van Ton Oosterwijk van PKIpartners: zó vergroot je jouw digitale rechtszekerheid en verklein je je aansprakelijkheid.
Focus op digitale rechtszekerheid
Met de toenemende digitalisering groeit ook de noodzaak voor digitale zekerheid. Hoe weet je bijvoorbeeld zeker dat een digitaal diploma, contract of handtekening écht betrouwbaar is? In zijn workshop gaf Ton Oosterwijk antwoord op deze vragen en liet hij zien hoe bedrijven kunnen investeren in digitale rechtszekerheid voor websites, e-mail en documentenondertekening.
Ton waarschuwt: “Bedrijven staan voor een keuze: blijven ze risico’s lopen met verouderde processen, of maken ze hun digitale werkwijze onweerlegbaar betrouwbaar? Mijn doel is om hen te laten zien dat investeren in digitale rechtszekerheid niet alleen de aansprakelijkheid verkleint,maar ook vertrouwen en efficiëntie creëert.”
Waarom digitale zekerheid nú belangrijk is
Digitaal zakendoen is meer en meer een drie-eenheid van rechtszekerheid aan het worden.
Als burger mogen we zorgplicht, aandacht en meldplicht verwachten en daar zullen organisaties in moeten voorzien. Daar horen de volgende vragen bij:
Is de website van de organisatie die je bezoekt legitiem en authentiek?
Is de e-mail die je van die organisatie ontvangt ook werkelijk authentiek?
Is de digitale informatie of overeenkomst (bijv .PDF) ook authentiek en onweerlegbaar?
Dus waar kunnen en mogen wij als burger/ondernemers op vertrouwen. Niet alleen nu, maar ook als je de informatie een paar jaar geleden hebt ontvangen?
“Tijdens de workshop heb ik benadrukt hoe essentieel het is om documenten en processen te beschermen tegen fraude en manipulatie. Ik heb praktijkvoorbeelden en concrete tools gedeeld die deelnemers direct konden toepassen. De sessie richtte zich op ondernemers en financiële professionals die hun digitale processen willen optimaliseren en zich bewust zijn van de risico’s van een onvolledig beveiligde digitale omgeving’, aldus Ton. “De workshop werd enthousiast ontvangen. Deelnemers waardeerden vooral de praktijkgerichte aanpak en de ruimte voor discussie. Naast de inhoudelijke sessies bood het evenement ook gelegenheid om te netwerken en ervaringen uit te wisselen.”
En dan zijn er nog de presentaties van Ton Oosterwijk tijdens de vaktechnische dagen georganiseerd door de Belastingdienst, gehouden in Egmond aan Zee. Ton: “Het was een boeiende én leerzame ervaring. Verspreid over twee dagen heb ik, samen met de tientallen andere sprekers aan auditoren voor te lichten te inspireren. En dat met een mix van vakinhoudelijke verdieping, praktijkvoorbeelden en discussie over digitale rechtszekerheid. Het evenement was geslaagd: het benadrukte niet alleen de technische aspecten van auditen, maar ook de menselijke betrokkenheid en de veranderende rol van digitale processen.”
Focus op digitale rechtszekerheid en fraudeopsporing
Een belangrijk thema tijdens deze dagen was de toenemende behoefte aan onweerlegbare juridische informatie. Auditoren, afkomstig van de Belastingdienst, FIOD, de Douane en de NVWA (Nederlandse Voedsel- en Warenautoriteit), bespraken de uitdagingen van het verifiëren van digitale gegevens. Voorbeelden varieerden van fraude met melkbrieven tot complexe processen in de Rotterdamse haven.
Hoogopgeleide professionals en brede kennis
De groep auditoren bestond uit registeraccountants, IT-auditoren en procesauditoren, allen met diepgaande vakkennis en ervaring. Ton: “Veel deelnemers hadden een dienstverband van tientallen jaren en toonden een enorme betrokkenheid. Het waren stuk voor stuk bijzonder aardige en professionele mensen, die écht het gesprek aan wilden gaan.”
Vaktechnische thema’s en maatschappelijke impact
Tijdens Tons’ presentatie werden onderwerpen als gekwalificeerde elektronische handtekeningen, e-mailverificatie (VMC en GMC), en de implementatie van digitale rechtszekerheid besproken. Ook toekomstige innovaties, zoals eWallets en digitale ondertekening, kwamen aan bod. Ook vermogen om met geavanceerde technieken, zoals het ontleden van PDF-documenten, digitale manipulatie op te sporen, kwam aan bod. “De genoemde ontwikkelingen vragen niet alleen om technische oplossingen, maar ook een duidelijke visie op samenwerking en borging”, zegt Ton.
Reacties uit het publiek
“Ik kan niet anders zeggen dan dat de presentatie tot veel interactie leidde. Auditoren stelden vragen over het waarmerken van informatie, het borgen van vertrouwelijkheid, en hoe de maatschappelijke veranderingen impact zullen hebben op digitale processen. Enkele deelnemers bleven zelfs ’s avonds hangen om verder te praten. Dit toont voor mij wel een bepaalde mate van interesse en betrokkenheid aan. De jaarlijkse vaktechnische dagen van de Belastingdienst blijken een belangrijk platform te zijn voor kennisdeling en discussie”, aldus Ton.
Succesvolle sessie in inspirerende omgeving
PKIpartners’ presentatie werd zeer goed ontvangen, met een beoordeling van 4,4 op een schaal van 5 én een plek in de top 10 van sprekers. Ton: “Ach, en zoals dat dan gaat: het entertainmentaspect speelde ook een rol. Mijn ervaring is dat een vleugje humor en relativering altijd helpt in dit type sessies. De locatie aan zee droeg overigens ook bij aan een ontspannen sfeer.”
Kortom, tijdens deze sessies werd niet alleen waardevolle kennis gedeeld, maar ook een sterke basis gelegd voor de toekomst van digitale rechtszekerheid en samenwerking binnen én buiten de Belastingdienst. En om gevraagd te worden om dit soort workshops en lezingen te mogen geven; is voor ons als PKIpartners eervol om te doen.
In de digitale wereld van vandaag is e-mail één van de belangrijkste communicatiemiddelen voor bedrijven. Ondanks het belang ervan, blijft e-mailbeveiliging vaak een onderbelicht aspect, wat grote risico’s met zich meebrengt. Mailhardener biedt bedrijven een krachtige oplossing om hun e-mailinfrastructuur te monitoren en optimaliseren, waarmee zij hun e-mails beter kunnen beschermen tegen frauduleuze aanvallen.
Wat doet Mailhardener?
Mailhardener is een software-as-a-service (SaaS) platform dat bedrijven helpt om hun e-mailverkeer veilig te houden. Het stelt organisaties in staat om hun e-maildomeinen te beschermen door te voorkomen dat kwaadwillenden e-mails kunnen versturen namens hun domein. Tegelijkertijd zorgt de software ervoor dat legitieme e-mails van bijvoorbeeld marketingplatformen als MailChimp correct worden afgeleverd. Dit helpt niet alleen om fraude te voorkomen, maar verbetert ook de betrouwbaarheid van e-mailaflevering.
Voor organisaties die verschillende e-mailtools gebruiken, biedt Mailhardener een oplossing om ervoor te zorgen dat alleen de geautoriseerde partijen namens het bedrijf kunnen e-mailen, terwijl ongewenste partijen worden geblokkeerd.
Uitleg: e-mail hardening: bescherming tegen misbruik
E-mail hardening is een term die verwijst naar het minimaliseren van kwetsbaarheden die hackers kunnen benutten. Omdat e-mailstandaarden al in de jaren 80 zijn ontwikkeld, toen veiligheid nog geen prioriteit had, zal e-mail nooit volledig veilig zijn. Daarom richt e-mail hardening zich op het beperken van de risico’s.
Omdat e-mail nooit geheel veilig kan zijn, wordt de term ‘hardening’ gebruikt om aan te geven dat de aanvalshoeken worden verkleind. Dit betekent dat organisaties actief maatregelen nemen om hun e-mailinfrastructuur minder kwetsbaar te maken voor aanvallen.
“In groot zakelijke omgevingen wordt een techniek toegepast die e-mailadressen en de inhoud van berichten over en weer met certificaten beveiligt.”
Ton Oosterwijk, PKIpartners
Zelfservice SaaS-oplossing
Mailhardener biedt een oplossing die eenvoudig zelf door bedrijven kan worden beheerd. Mailhardener waarschuwt wanneer er fouten zijn de inrichting van de e-mail-infrastructuur, waardoor het domein kwetsbaar kan zijn voor fraude of er problemen kunnen optreden met het afleveren van legitieme email. Dit maakt de oplossing niet alleen effectief, maar ook kostenefficiënt. Bedrijven hoeven geen grote investeringen te doen in dure consultancy, omdat het systeem is ontworpen voor selfservice. Deze aanpak maakt het voor organisaties mogelijk om hun e-mailverkeer te optimaliseren en te beveiligen zonder dat dit een grote belasting vormt op hun tijd en middelen. Het systeem werkt automatisch, wat betekent dat problemen snel kunnen worden geïdentificeerd en opgelost.
Gemeenten en de BIO2.0 en NIS2
In Nederland zijn overheidsinstellingen, zoals gemeenten, verplicht om hun e-mail te hardenen volgens de BIO2.0(Baseline Informatiebeveiliging Overheid). Hoewel de wet duidelijke richtlijnen geeft, is de uitvoering vaak gebrekkig. Veel organisaties zijn zich niet bewust van de wettelijke verplichtingen of hebben de middelen niet om hun e-mailsystemen effectief te beveiligen. Dit leidt tot onnodige risico’s, vooral binnen overheidsinstanties die veel gevoelige informatie verwerken.
Opvallend is dat hoewel Mailhardener in Nederland beschikbaar is en voldoet aan de Europese regelgeving, veel Nederlandse gemeenten nog geen gebruik maken van de software. Daarentegen kiezen overheidsinstanties uit andere landen vaak wel voor Mailhardener.
De kernboodschap
E-mail is een cruciaal onderdeel van de communicatie binnen bedrijven en overheidsinstanties, maar de beveiliging ervan wordt vaak over het hoofd gezien. Mailhardener biedt een betaalbare en toegankelijke oplossing om e-mailverkeer te beveiligen tegen frauduleuze aanvallen en te zorgen voor een betrouwbare aflevering van berichten. Het is een kleine investering die bedrijven kan helpen om hun e-mailinfrastructuur te optimaliseren en te beschermen.
Of het nu gaat om het voldoen aan wettelijke vereisten zoals de BIOof simpelweg om het waarborgen van de integriteit van bedrijfscommunicatie, e-mail hardening is essentieel. Bedrijven en overheidsinstellingen kúnnen niet langer het risico nemen om hun e-mailbeveiliging te verwaarlozen.
Meer informatie over hoe Mailhardener kan helpen met e-mail hardening is te vinden op de website van het bedrijf.
