De urgente rol van de financiële sector bij de voorbereiding op de kwantumdreiging

De Nationaal Cyber ​​Security Centrum (NCSC) heeft gewaarschuwd dat hoewel het verzamelen en opslaan van enorme hoeveelheden data gedurende jaren kostbaar is, de komst van quantumcomputers in het volgende decennium dergelijke inspanningen waardevol zou kunnen maken voor hackers. "Gezien de kosten van het decennialang opslaan van enorme hoeveelheden oude data, is een dergelijke aanval waarschijnlijk alleen de moeite waard voor zeer waardevolle informatie", aldus de NCSC verklaarde.  

Anne Neuberger, plaatsvervangend nationaal veiligheidsadviseur van de VS voor cyber- en opkomende technologie, benadrukte het volgende: “Er zijn natuurlijk ook gegevens die tijdgevoelig zijn, zoals een schip dat wapens vervoert naar een land waar sancties tegen gelden. Over acht jaar interesseren die gegevens ons waarschijnlijk niet meer.” Op dezelfde manier worden de kaartgegevens verzonden wanneer u een online betaling doet, en banken de transactie vrijwel direct goedkeuren of afwijzenZelfs als iemand deze gegevens nu vastlegt, zijn ze later niet meer waardevol, omdat de transactie direct wordt verwerkt.

Dit beperkt het risico van een “Nu oogsten, later ontcijferen” aanval. Echter, voor persoonlijke betalingen met chip en pincode, soms de terminal maakt geen realtime verbinding met de bank (bijvoorbeeld in vliegtuigen of in afgelegen gebieden). Deze zijn afhankelijk van de eigen authenticatie van de kaart, die RSA/ gebruiktECCIn de toekomst zouden quantumcomputers vervals deze authenticatiewaardoor het mogelijk is om de beveiliging te omzeilen zonder toestemming van de bank. 

Gezien het belang van gevoelige gegevens moet de financiële sector het voortouw nemen bij het invoeren van post-kwantumcryptografieOmdat de inzet uitzonderlijk hoog is, zou een succesvolle cyberaanval met kwantumtechnologie biljoenen dollars aan activa kunnen schenden, markten kunnen verstoren en kaartbetalingen of PCI-gegevens kunnen compromitteren. In de financiële sector duren beveiligingsupgrades jaren. Kaarten, terminals en back-endsystemen moeten allemaal tegelijk worden aangepast, een proces dat niet van de ene op de andere dag kan worden uitgevoerd.  

Inzicht in bestaande bankprotocollen

De meeste kaarttransacties wereldwijd zijn gebaseerd op de EMV-standaard, die bijna 90% van de betalingen met kaarten in fysieke winkels dekt. ​​Deze standaard maakt gebruik van asymmetrische cryptografie (RSA) om kaarten te verifiëren en symmetrische cryptografie om transactiecertificaten te genereren, zodat de transactie veilig is. 

EMV-kaarten gebruiken drie belangrijke authenticatiemethoden. Statische data-authenticatie (SDA) stelt een kaart in staat om ondertekende statische gegevens te verzenden om de authenticiteit te bewijzen, maar is kwetsbaar voor klonen. Dynamische data-authenticatie (DDA) verbetert de beveiliging door de kaart tijdens een transactie een 'challenge' te laten ondertekenen, hoewel latere transactiestappen hierdoor minder beschermd zijn. Gecombineerde data-authenticatie (CDA) versterkt dit proces door extra ondertekening toe te voegen, waardoor het momenteel de veiligste methode is. Offline transacties, waarbij geen live internetverificatie mogelijk is, zijn sterk afhankelijk van deze authenticatiemethoden die beveiligd zijn met openbare-sleutelcryptografie, wat een potentieel risico vormt, aangezien quantumcomputers deze cryptografische beveiliging uiteindelijk zouden kunnen vervalsen. 

Om deze systemen toekomstbestendig te maken, hebben onderzoekers Post-Quantum (PQ) Cryptografie getest. Deze technologie maakt gebruik van nieuwe encryptietechnieken die bestand zijn tegen aanvallen van quantumcomputers.

Real-world testen van PQ-beveiliging

In testen in de praktijk, NIST-onderzoekers gericht op het beschermen van kaartbetalingen tegen toekomstige bedreigingen door quantumcomputers door bestaande EMV-betaalprotocollen te verbeteren. Ze hebben twee standaardprotocollen aangepast om post-quantum (PQ) cryptografische algoritmen te integreren. Dit zijn geavanceerde encryptiemethoden die bestand zijn tegen quantumaanvallen. Om een ​​soepele overgang en blijvende bruikbaarheid te garanderen, zijn deze nieuwe protocollen ontworpen om in een hybride modus te werken, waarbij bestaande RSA/ECC-encryptie wordt gecombineerd met PQ-algoritmen. Deze aanpak behoudt achterwaartse compatibiliteit, waardoor oudere kaarten en betaalterminals zonder onderbreking kunnen functioneren tijdens de overgang naar PQC. 

De bijgewerkte protocollen werden geïmplementeerd op fysieke bankpassen met chips, en onderzoekers testten de prestaties ervan tijdens live betalingstransacties. Ze maten kritische factoren zoals het benodigde geheugen op de kaart, de transactieverwerkingstijd en de extra communicatieoverhead die PQ-encryptie met zich meebrengt. 

De kaart en de terminal stellen eerst een verbinding tot stand gedeelde geheime sleutel via PQ-algoritmen. Vervolgens gebruiken ze symmetrische encryptie (snel) voor pincodeverificatie en transactiecertificaten. Hybride modus ondertekent en versleutelt gegevens met zowel RSA/ECC- als PQ-algoritmen. Deze dubbele bescherming zorgt ervoor dat kaarttransacties veilig en functioneel blijven, zelfs als PQ-cryptografie op onvoorziene betrouwbaarheidsproblemen stuit. 

Uitdagingen gevonden

Tijdens het testen van kwantumveilige betaalpassen stuitten onderzoekers op verschillende uitdagingen. 

Een van de grootste problemen is dat post-kwantumcryptografie veel grotere sleutels en digitale handtekeningen vereist dan de huidige encryptiemethoden. Dit resulteert in tragere transactietijden en een aanzienlijk hoger geheugengebruik op smartcards. 

Een andere belangrijke beperking is hardware. Bestaande kaarten en betaalterminals hebben een beperkte opslagcapaciteit en verwerkingskracht, waardoor het moeilijk is om PQ-algoritmen efficiënt te verwerken. Het vervangen of upgraden van deze hardware is een complexe taak, vooral gezien de omvang van het wereldwijde banksysteem. Met miljarden kaarten en betaalterminals in gebruik wereldwijd, kunnen banken niet van de ene op de andere dag overschakelen naar PQ-ready systemen. 

Ondanks deze obstakels bevestigde het onderzoek dat het technisch haalbaar is om betaalpassen te beveiligen tegen kwantumaanvallen met behulp van PQ-cryptografie. Prestatieknelpunten en hardwarebeperkingen blijven echter belangrijke obstakels. De bevindingen benadrukken de urgentie om nu te beginnen met de voorbereiding en upgrade van hardware, zodat de financiële sector klaar is voordat kwantumcomputers geavanceerd genoeg zijn om de huidige RSA- en ECC-cryptografiesystemen te kraken. 

Voorbereiding op PQC

Volgend stappenplan, gemaakt in samenwerking met de Department of Homeland Security (DHS) en NIST (Nationaal instituut voor normen en technologie) om organisaties te begeleiden bij de voorbereiding op Post-kwantumcryptografie (PQC). Het benadrukt de noodzaak om over te stappen van huidige cryptografische methoden (zoals RSA/ECC) naar kwantumresistente algoritmen voordat kwantumcomputers krachtig genoeg zijn om bestaande encryptie te kraken. 

1. Betrokkenheid bij standaardisatie-organisaties

   Organisaties wordt geadviseerd hun belangrijkste stakeholders aan te sporen hun betrokkenheid bij de normontwikkelingsorganisaties te vergroten, zoals NIST, PCI DSS voor de laatste ontwikkelingen met betrekking tot noodzakelijke algoritme- en afhankelijke protocolwijzigingen.

2. Inventarisatie van kritieke gegevens

   Elke organisatie beschikt over gegevens die, indien ze in de toekomst worden ontsleuteld, ernstige schade kunnen veroorzaken. Dit omvat gevoelige persoonlijke informatie (geheimschrift wordt gebruikt in hun infrastructuur. Dit omvat het inventariseren van alle software, hardware en applicaties die afhankelijk zijn van encryptie. Zodra deze inventarisatie is voltooid, kunnen teams evalueren welke cryptografische methoden kwetsbaar zijn voor kwantumaanvallen en de kosten en inspanningen inschatten die nodig zijn om deze te vervangen door kwantumveilige alternatieven. Zonder deze stap lopen organisaties het risico verborgen kwetsbaarheden over het hoofd te zien.

3. Identificatie van interne standaarden

   Interne cryptografische standaarden en beleidslijnen definiëren hoe een organisatie omgaat met encryptie, koopt technologie aan en onderhoudt gegevensbeschermingsbeleid. Deze regels zijn gebaseerd op huidige encryptiemethoden zoals RSA en ECC. Met de overstap naar post-kwantumcryptografie zullen deze interne standaarden moeten worden bijgewerkt om te voldoen aan toekomstige beveiligingseisen. Dit betekent dat cryptografische controles, beleidsregels, standaarden, SLA's en interne nalevingsmaatregelen moeten worden herzien om ervoor te zorgen dat PQC, wanneer het wordt geïmplementeerd, volledig wordt ondersteund binnen de organisatieprocessen.

4. Identificatie van openbare sleutelcryptografie

   Vanuit de inventarisatie moeten organisaties identificeren waar en met welk doel publieke sleutelcryptografie wordt gebruikt en beoordeelt welke systemen het meest kwetsbaar zijn voor kwantumbedreigingen.

5. Prioritering van systemen voor vervanging

   Niet elk systeem hoeft onmiddellijk te worden geüpgraded, dus prioritering is cruciaal. De prioriteit die het ene systeem krijgt boven het andere voor cryptografische transitie is sterk afhankelijk van de functies, doelen en behoeften van de organisatie. Om prioritering te ondersteunen, moeten organisaties rekening houden met de volgende factoren bij de evaluatie van een kwantumkwetsbaar systeem:

   • Is het systeem op basis van de organisatorische vereisten een waardevol bezit?
   • Wat beschermt het systeem (bijvoorbeeld sleutelopslag, wachtwoorden, rootsleutels, ondertekeningssleutels, persoonlijk identificeerbare informatie, gevoelige persoonlijk identificeerbare informatie)?
   • Met welke andere systemen communiceert het systeem?
   • In hoeverre deelt het systeem informatie met federale entiteiten?
   • In hoeverre deelt het systeem informatie met andere entiteiten buiten uw organisatie?
   • Ondersteunt het systeem een ​​kritieke infrastructuursector?
   • Hoe lang moeten de gegevens beschermd worden?
6. Plan voor transitie

   Met behulp van de inventarisatie- en prioriteringsinformatie zouden organisaties een strategie moeten ontwikkelen voor systeemtransities na de publicatie van de nieuwe post-kwantum cryptografische standaard. Transitieplannen zouden rekening moeten houden met het creëren van cryptografische flexibiliteit om toekomstige aanpassingen te vergemakkelijken en flexibiliteit te bieden in geval van onverwachte veranderingen. Cybersecurityfunctionarissen zouden richtlijnen moeten bieden voor het opstellen van transitieplannen.

Huidige schatting van het benodigde financieringsbedrag

Federale agentschappenIn samenwerking met het Office of Management and Budget (OMB) en het Office of the National Cyber ​​Director (ONCD), CISA en NIST, nemen ze gestructureerde maatregelen om de informatietechnologie van de Amerikaanse overheid te beveiligen tegen toekomstige bedreigingen door quantumcomputing. De inspanningen richten zich op drie hoofdactiviteiten. 

1. Het ontwikkelen van een eerste inventarisatie van cryptografische systemen die aanwezig zijn in de informatiesystemen van de agentschappen (anders dan nationale veiligheidssystemen (NSS));  
2. Het ontwikkelen van kostenramingen voor de overgang; en 
3. Prioriteitscriteria ontwikkelen voor de transitie. 

Elk jaar moeten de agentschappen een bijgewerkte inventaris indienen bij het OMB en het ONCD, waarin kwantum-kwetsbare cryptografie op hun geprioriteerde systemen samen met schattingen van de migratiekostenOp basis van de meest recente gegevens voorspelt ONCD dat de totale kosten voor de overgang van geprioriteerde federale systemen naar PQC tussen 2025 en 2035 zal bereiken ongeveer $ 7.1 miljard (in dollars van 2024). Ondertussen schatten het Ministerie van Defensie, het Office of the Director of National Intelligence en de National Manager for NSS afzonderlijk de financieringsbehoeften voor de migratie van geheime en defensiesystemen. 

Deze vroege prognoses gaan gepaard met een hoge mate van onzekerheid, aangezien instanties hun inventarissen en kostenmodellen nog aan het verfijnen zijn. De schattingen zijn momenteel een ruwe orde van grootte, geen exacte berekeningen. Agentschappen zullen deze cijfers jaarlijks blijven herzien naarmate ze meer ervaring opdoen en hun methodologieën verbeteren. 

Een belangrijke uitdaging die is geïdentificeerd, is dat sommige federale systemen kunnen niet gemakkelijk nieuwe cryptografische algoritmen adopteren Omdat ze vastgeschroefd zitten in hardware of firmware, of omdat ze niet de capaciteit hebben om vervangingen te verwerken. Het volledig vervangen van deze systemen draagt ​​aanzienlijk bij aan de totale verwachte migratiekosten. 

Hoe kan Encryption Consulting de PQC-overgang ondersteunen?

Als u zich afvraagt ​​waar en hoe u uw post-kwantumreis kunt beginnen, Encryptie Consulting staat voor u klaar. U kunt op ons rekenen als uw vertrouwde partner en wij begeleiden u bij elke stap met helderheid, vertrouwen en praktische expertise.   

Cryptografische ontdekking en inventarisatie

Dit is de fundamentele fase waarin we inzicht creëren in uw bestaande cryptografische infrastructuur. We identificeren welke systemen risico lopen door kwantumdreigingen en beoordelen hoe gereed uw huidige configuratie is, inclusief uw PKI, HSM's en applicaties. Het doel is om te identificeren welke cryptografische activa er zijn, waar ze worden gebruikt en hoe kritisch ze zijn. Uitgebreide scan van certificaten, cryptografische sleutels, algoritmen, bibliotheken en protocollen in uw IT-omgeving, inclusief eindpunten, applicaties, API's, netwerkapparaten, databases en embedded systemen. 

Identificatie van alle systemen (on-premises, cloud, hybride) die gebruikmaken van cryptografie, zoals authenticatieservers, HSM's, load balancers, VPN's en meer. Verzamelen van belangrijke metadata, zoals algoritmetypen, sleutelgroottes, vervaldata, uitgiftebronnen en certificaatketens. Het opzetten van een gedetailleerde inventarisatiedatabase van alle cryptografische componenten als basis voor risicobeoordeling en -planning. 

PQC-beoordeling

Zodra de zichtbaarheid is vastgesteld, voeren we interviews uit met belangrijke stakeholders om het cryptografische landschap voor kwantumkwetsbaarheid te beoordelen en te evalueren hoe goed uw omgeving is voorbereid op de PQC-transitie. We analyseren cryptografische elementen op blootstelling aan kwantumbedreigingen, met name die welke afhankelijk zijn van RSA, ECC en andere algoritmen die binnenkort zullen worden gekraakt. We bekijken hoe Public Key Infrastructure en Hardwarebeveiligingsmodules zijn geconfigureerd en of ze post-quantum algoritme-integratie ondersteunen. Applicaties analyseren op hardgecodeerde cryptografische afhankelijkheden en de afhankelijkheden identificeren die refactoring vereisen. Een gedetailleerd rapport leveren met een inventarisatie van kwetsbare cryptografische assets, risico-ernstclassificaties en prioritering voor migratie. 

PQC-strategie en routekaart

Nadat de risico's zijn geïdentificeerd, werken we samen met u aan de ontwikkeling van een op maat gemaakte, gefaseerde migratiestrategie die aansluit bij uw zakelijke, technische en wettelijke vereisten. We creëren een op maat gemaakte PQC-implementatiestrategie die uw risicobereidheid, best practices in de sector en toekomstbestendige behoeften weerspiegelt. We ontwerpen systemen en workflows die eenvoudige overstap van cryptografische algoritmen ondersteunen naarmate standaarden evolueren. We actualiseren beveiligingsbeleid, procedures voor sleutelbeheer en interne complianceregels om te voldoen aan de eisen van NIST en NSA (CNSA 2.0) aanbevelingen. Het opstellen van een stapsgewijze migratieroadmap met korte-, middellange- en langetermijndoelen, opgesplitst in beheersbare fasen zoals pilot, hybride implementatie en volledige implementatie. 

Leveranciersevaluatie en proof of concept

In deze fase helpen we u bij het identificeren en testen van de juiste tools, technologieën en partners die uw post-quantumdoelen kunnen ondersteunen. We helpen u bij het definiëren van technische en zakelijke vereisten voor RFI's/RFP's, inclusief algoritmeondersteuning, integratiecompatibiliteit, prestaties en leveranciersvolwassenheid. We identificeren topleveranciers die PQC-compatibele PKI, sleutelbeheer en cryptografische oplossingen aanbieden. We voeren PoC-tests uit in geïsoleerde omgevingen om de prestaties, het integratiegemak en de algehele geschiktheid voor uw use cases te evalueren. We leveren een matrix met leveranciersvergelijkingen en een aanbevelingsrapport op basis van praktijkgerichte PoC-bevindingen. 

Pilottesten en opschaling

Vóór de volledige implementatie valideren we alles via gecontroleerde pilots om de haalbaarheid in de praktijk te garanderen en de verstoring van de bedrijfsvoering te minimaliseren. We testen de nieuwe cryptografische modellen in een sandbox- of niet-productieomgeving, meestal voor één of twee applicaties. We valideren de interoperabiliteit met bestaande systemen, afhankelijkheden van derden en legacy-componenten. We verzamelen feedback van IT-teams, beveiligingsarchitecten en business units om het plan te verfijnen. Zodra alles succesvol is getest, ondersteunen we een soepele, schaalbare uitrol, waarbij we legacy-cryptografische algoritmen stapsgewijs vervangen, verstoringen minimaliseren en ervoor zorgen dat systemen veilig en compliant blijven. We blijven de prestaties monitoren en bieden continue optimalisatie om uw quantumverdediging sterk, efficiënt en toekomstbestendig te houden. 

PQC-implementatie

Zodra het plan klaar is, is het tijd om het in de praktijk te brengen. Dit is de laatste fase waarin we de volledige migratie uitvoeren en PQC integreren in uw live-omgeving, terwijl we compliance en continuïteit garanderen. We implementeren hybride modellen die klassieke en kwantumveilige algoritmen combineren om achterwaartse compatibiliteit tijdens de transitie te behouden. We implementeren PQC-ondersteuning voor uw PKI, applicaties, infrastructuur, cloudservices en API's. We bieden praktische training voor uw teams en gedetailleerde technische documentatie voor doorlopend onderhoud. We zetten monitoringsystemen en levenscyclusbeheerprocessen op om de cryptografische status te volgen, afwijkingen te detecteren en toekomstige upgrades te ondersteunen. 

De overstap naar kwantumveilige cryptografie is een grote stap, maar u hoeft deze niet alleen te zetten. Met Encryption Consulting aan uw zijde beschikt u over de juiste begeleiding en expertise die nodig zijn om een ​​veerkrachtige, toekomstbestendige beveiligingspositie op te bouwen.  

Neem contact met ons op via [e-mail beveiligd] en laten we een op maat gemaakt stappenplan opstellen dat aansluit bij de specifieke behoeften van uw organisatie. 

Conclusie

Concluderend wordt de overgang naar post-kwantumcryptografie cruciaal voor de financiële sector, aangezien toekomstige quantumcomputers de huidige encryptiemethoden die kaartbetalingen, banksystemen en digitale transacties beveiligen, zouden kunnen doorbreken. Onderzoek heeft al aangetoond dat het technisch haalbaar is om quantumresistente betalingsprotocollen te ontwikkelen, maar er blijven uitdagingen bestaan ​​zoals grotere cryptografische sleutels, lagere verwerkingssnelheden en kostbare hardware-upgrades. Vroegtijdige voorbereiding, door systemen te inventariseren, hybride encryptiemodellen te testen en af ​​te stemmen op de toekomstige NIST-normen, is essentieel om gevoelige financiële gegevens te beschermen en een ononderbroken vertrouwen in wereldwijde betalingsnetwerken te garanderen wanneer quantumcomputing werkelijkheid wordt.