Posted on by 1 Comment

Eerste Blog

Welkom bij de eerste uitleg blog van keyPact:

Post-Quantum Cryptografie: Implementatie en Protocol 

PQC is meer dan alleen wiskunde. Het vereist nauwkeurige implementatie om veilige communicatie te garanderen. Een protocol definieert de regels voor deze implementatie. 

Bij KeyPact hanteren we het KeyPact Protection Protocol (KPP). Dit is de instructiehandleiding voor onze beveiligingslaag. 

Het KPP zorgt ervoor dat uw gegevens altijd beschermd zijn, zelfs tegen de dreiging van toekomstige kwantumcomputers. 

Het KPP combineert meerdere geavanceerde algoritmen. Begrijp de drie cruciale componenten die de beveiliging waarborgen: 

  1. Sleuteluitwisseling (PQC): Gebruik de NIST-standaard ML-KEM-1024 (Kyber). Dit mechanisme creëert de geheime sessiesleutels die kwantumveilig zijn. 
  1. Symmetrische Versleuteling: Pas AES-256-GCM toe. Dit zorgt voor snelle en robuuste versleuteling van de bulkdata die u verzendt. 
  1. Sleutelbeheer: Implementeer de Double Ratchet. Dit garandeert ‘forward secrecy’ door constant nieuwe, tijdelijke sessiesleutels te genereren tijdens uw communicatie. 

Door deze strikte combinatie te volgen, wordt een end-to-end beveiligde tunnel gecreëerd. Dit is de basis voor PQC-Mail en real-time communicatie. 

U hoeft geen handmatige stappen te ondernemen. Het KPP voert deze processen automatisch uit en valideert de integriteit bij elke verbinding. 

Implementatie van Post-Quantum Cryptografie (PQC) 

De operationele capaciteit van grootschalige kwantumcomputers is een aanstaande dreiging. Organisaties die kritieke, langlevende gegevens verwerken, moeten nu anticiperen op dit risico. 

De overgang naar Post-Quantum Cryptografie (PQC) is een strategisch beveiligingsmandaat. Dit waarborgt de integriteit en vertrouwelijkheid van uw informatie in 2026 en daarna. 

PQC is noodzakelijk omdat huidige asymmetrische versleutelingsstandaarden, zoals RSA en Elliptische Curve Cryptografie (ECC), inherent kwetsbaar zijn. 

Deze standaarden worden gebroken door Shor’s algoritme, uitgevoerd op een functionele kwantumcomputer. PQC-algoritmen zijn daarentegen resistent tegen zowel klassieke als kwantumcomputergebaseerde aanvallen. 

Directe Dreiging: Harvest Now, Decrypt Later (HNDL) 

De dreiging van ‘Harvest Now, Decrypt Later’ (HNDL) is acuut. Tegenstanders slaan vandaag versleutelde communicatie op met de intentie deze later te decoderen. 

Dit scenario maakt de onmiddellijke implementatie van kwantumveilige protocollen noodzakelijk. 

KeyPact heeft deze migratie voltooid. Ons KeyPact Protection Protocol (KPP) is gestandaardiseerd op de NIST-gekozen PQC-algoritmen. 

Wij gebruiken specifiek ML-KEM-1024 (Kyber) voor sleutelkapseling en AES-256-GCM voor symmetrische versleuteling. 

Vereiste Methode: Hybride Implementatie 

De transitie naar PQC vereist een dubbele aanpak, bekend als de hybride modus

Handhaaf bewezen klassieke cryptografie, terwijl u tegelijkertijd PQC-primitieven integreert. 

Hybride implementatie zorgt ervoor dat de beveiliging niet verslechtert. Dit biedt bescherming, zelfs als er onvoorziene kwetsbaarheden in de nieuwe PQC-standaarden worden ontdekt. 

KeyPact past deze hybride benadering toe om de hoogste soevereiniteits- en beveiligingseisen te garanderen. 

Het KeyPact Protection Protocol (KPP) 

Het KeyPact Protection Protocol (KPP) definieert de architectuur voor het beveiligen van alle communicatie en opgeslagen data. 

KPP is een zero-knowledge systeem. Dit vereist strikte client-side versleuteling om data op de eindpunten te beschermen. 

De implementatie maakt gebruik van een gelaagd cryptografisch model om maximale kwantumresistentie te garanderen. 

Componenten van KPP 

KPP gebruikt de NIST-standaard ML-KEM-1024 (Kyber) voor sleuteluitwisseling. Dit is de meest kwetsbare fase in asymmetrische communicatie. 

Kyber functioneert als een Sleutelkapselingsmechanisme (KEM). Het is gebaseerd op roostergebaseerde cryptografie en is kwantumresistent. 

Selectie van Kyber is gebaseerd op bewezen veiligheid, efficiëntie en compacte sleutelgroottes ten opzichte van andere PQC-kandidaten. 

Voor de versleuteling van bulkdata, zoals e-mailinhoud of bestandsoverdrachten, gebruikt KPP de symmetrische standaard AES-256-GCM

Hoewel AES-256-GCM zelf robuust is tegen kwantumaanvallen, moet de sleuteloverdracht kwantumveilig zijn. 

Kyber verzorgt deze veilige, kwantumresistente uitwisseling van de AES-sleutel. 

Dit hybride model, het KeyPact Protection Protocol (KPP), combineert de volgende essentiële elementen: 

  • Asymmetrische Sleuteluitwisseling: ML-KEM-1024 (Kyber). 
  • Symmetrische Dataversleuteling: AES-256-GCM. 
  • Integriteitsborging: Double Ratchet Algoritme (voor real-time tunnels). 

De integratie van ML-KEM-1024 is een kritieke stap. Organisaties moeten PQC nu implementeren om toekomstige risico’s op data-exfiltratie te mitigeren. 

Implementatievereiste: Migratie van Primitieven 

Begrijp de functionele verschillen tussen traditionele en kwantumresistente standaarden. 

De PQC-migratie richt zich primair op de vervanging van asymmetrische sleuteluitwisselingsprotocollen. 

Cryptografische Primitieven en Toepassing 

Functie Klassieke Standaard (Verouderd) KeyPact PQC Standaard (2026) 
Asymmetrische Sleuteluitwisseling RSA-4096 / ECDH ML-KEM-1024 (Kyber) 
Symmetrische Dataversleuteling AES-256-GCM AES-256-GCM (Sleutel beheerd door Kyber) 
Basis van Algoritme Factorisatie / Discrete Logaritmes Roostergebaseerde Cryptografie 
Kwantumresistentie Nee (Kwetsbaar voor Shor’s) Ja (NIST-gevalideerd) 

Analyseer deze tabel om de noodzaak voor migratie van asymmetrische primitieven te valideren. 

Implementatiestappen voor PQC-Migratie 

Migratie naar Post-Quantum Cryptografie (PQC) vereist een gestructureerde aanpak. Volg deze stappen strikt om een succesvolle overgang van klassieke naar kwantumresistente protocollen te garanderen, met name voor KeyPact on-premise implementaties. 

  1. Beoordeling van de Infrastructuur: Identificeer alle eindpunten en diensten die momenteel afhankelijk zijn van klassieke asymmetrische cryptografie. Documenteer alle systemen die gebruikmaken van RSA of ECC (Elliptic Curve Cryptography). 
  1. Update KPP Module: Zorg ervoor dat de KeyPact-software draait op de meest recente versie. Deze moet de NIST-gestandaardiseerde ML-KEM-1024 implementatie bevatten. Navigeer naar Systeeminstellingen > Updates en voer de patch uit. 
  1. Activeer Hybride Modus: Configureer de communicatie-eindpunten om gelijktijdig zowel de klassieke als de PQC-sleuteluitwisseling te gebruiken. Activeer dit via de instelling Protocolbeheer > Hybride Activatie. Dit waarborgt terugvalbeveiliging tijdens de transitie. 
  1. Genereer Nieuwe PQC-Sleutels: Gebruik het KeyPact Key Management System (KMS). Genereer nieuwe sleutelparen die gebaseerd zijn op de roostergebaseerde algoritmen (Kyber). Klik op KMS > Sleutelbeheer > Nieuw PQC-paar genereren. Markeer oude sleutels als verouderd. 
  1. Validatie en Monitoring: Voer uitgebreide tests uit om te bevestigen dat de PQC-handshakes succesvol zijn. Controleer of de data-encryptie via AES-256-GCM correct plaatsvindt. Monitor systeemprestaties, aangezien PQC-sleutels groter kunnen zijn en latentie kunnen beïnvloeden. 
  1. Uitfasering van Klassieke Sleutels: Nadat de stabiliteit van de PQC-implementatie is geverifieerd (advies: minimaal 90 dagen stabiele operatie), trekt u de klassieke RSA/ECC-sleutels definitief in. Archiveer de ingetrokken sleutels volgens uw interne beveiligingsbeleid. 

Technische Componenten van PQC-Systemen 

De verschuiving naar PQC wordt technisch mogelijk gemaakt door de adoptie van nieuwe wiskundige grondslagen. 

Waar klassieke cryptografie (zoals RSA) vertrouwt op getaltheoretische problemen, gebruikt PQC, specifiek het KeyPact Protection Protocol (KPP), roostergebaseerde cryptografie

Deze methode is gebaseerd op de inherente moeilijkheid van het oplossen van problemen in hoogdimensionale roosters. 

Voorbeelden hiervan zijn het Shortest Vector Problem (SVP) of het Closest Vector Problem (CVP). Deze problemen zijn computationeel onoplosbaar, zelfs voor toekomstige kwantumcomputers. 

Roostergebaseerde Cryptografie (Lattices) 

Roosters zijn te visualiseren als oneindige reeksen discrete punten in een N-dimensionale ruimte. 

Het vinden van het kortste pad tussen twee punten, of het dichtstbijzijnde punt bij een willekeurig punt, is extreem moeilijk zonder de juiste sleutel. 

Deze complexe structuur vormt de basis voor de sleuteluitwisseling binnen de gekozen standaard: ML-KEM-1024 (Kyber). 

De implementatie van ML-KEM-1024 vereist nauwkeurige parameterinstellingen om zowel veiligheid als efficiëntie te waarborgen. 

KeyPact gebruikt het 1024-bit beveiligingsniveau. Dit komt overeen met het NIST Level 5 beveiligingsniveau. 

Dit niveau is bedoeld voor systemen die de hoogste mate van bescherming vereisen, zoals militaire of overheidstoepassingen. 

Het gebruik van PQC in de KeyPact-infrastructuur garandeert dat alle gevoelige communicatie, zoals PQC-Mail en real-time tunnels, beschermd blijft tegen de cryptografische dreigingen van de toekomst. 

Dit is cruciaal voor organisaties die data beheren met een vereiste bewaartermijn van meer dan 5 jaar. 

Wat is het verschil tussen Post-Quantum Cryptografie en Kwantumcryptografie? 

Post-Quantum Cryptografie (PQC) verwijst naar klassieke, op software gebaseerde algoritmen. Deze algoritmen zijn resistent tegen aanvallen door kwantumcomputers en draaien op conventionele hardware. 

Kwantumcryptografie (QKD, Quantum Key Distribution) is daarentegen een hardware-oplossing. QKD maakt gebruik van kwantummechanische eigenschappen, zoals fotonen, om sleutels uit te wisselen. 

PQC, zoals toegepast door KeyPact, is schaalbaarder en praktischer voor grootschalige netwerkimplementaties. 

Waarom is ML-KEM-1024 (Kyber) de gekozen standaard? 

ML-KEM-1024 is door NIST geselecteerd als de primaire standaard voor Sleutelkapselingsmechanismen (KEM’s). Dit volgt op grondige analyse door de cryptografische gemeenschap. 

De keuze is gebaseerd op de bewezen kwantumresistentie en de efficiëntie in termen van rekenkracht en bandbreedte. 

Het algoritme biedt een beveiligingsniveau dat voldoet aan Level 5. Dit garandeert een veilige overgang van ECC/RSA naar een kwantumveilige omgeving. 

Biedt KeyPact PQC voor zowel e-mail als bestandsoverdracht? 

Ja. Het KeyPact Protection Protocol (KPP) is uniform geïmplementeerd over alle KeyPact-diensten. 

Dit omvat PQC-Mail, real-time communicatietunnels en versleutelde bestandsopslag. 

Alle data die de client verlaat, wordt versleuteld met symmetrische AES-256-GCM. De sleuteluitwisseling wordt kwantumveilig uitgevoerd via ML-KEM-1024. 

Wat is het risico als ik PQC niet implementeer in 2026? 

Het risico is de compromittering van de vertrouwelijkheid van alle opgeslagen en verzonden historische gegevens. 

Dit staat bekend als de HNDL-dreiging (Harvest Now, Decrypt Later). Data die vandaag met RSA/ECC is versleuteld, kan in de toekomst door een kwantumcomputer worden gedecodeerd. 

Implementeer PQC nu. Dit beschermt de data effectief tegen dit toekomstige cryptografische faalmoment.