L2 BIO 09.01 ISO A.8.24 CIS 8.2

Quantum-Safe Cryptografie In Azure Key Vault

📅 2025-01-27
⏱️ 12 minuten lezen
🟢 Advanced

💼 Management Samenvatting

Quantum-safe cryptografie in Azure Key Vault waarborgt dat cryptografische sleutels en operaties beschermd blijven tegen toekomstige aanvallen door quantumcomputers. Deze maatregel richt zich op de implementatie van post-quantum cryptografische algoritmen die bestand zijn tegen zowel klassieke als quantum-aanvallen, waardoor organisaties toekomstbestendige beveiliging kunnen realiseren voor hun meest gevoelige gegevens en cryptografische materialen.

Aanbeveling
PLAN QUANTUM-SAFE CRYPTOGRAFIE
Risico zonder
High
Risk Score
9/10
Implementatie
100u (tech: 40u)
Van toepassing op:
Azure Key Vault
Azure Managed HSM

Traditionele cryptografische algoritmen zoals RSA en Elliptic Curve Cryptography (ECC) zijn gebaseerd op wiskundige problemen die moeilijk op te lossen zijn met klassieke computers, maar kwetsbaar worden wanneer quantumcomputers beschikbaar komen. Het algoritme van Shor toont aan dat quantumcomputers RSA en ECC kunnen kraken in polynomiale tijd, wat betekent dat alle gegevens die momenteel worden beschermd door deze algoritmen kwetsbaar worden zodra voldoende krachtige quantumcomputers beschikbaar zijn. Voor Nederlandse overheidsorganisaties is dit bijzonder zorgwekkend omdat zij verantwoordelijk zijn voor het beheren van gegevens met lange bewaartermijnen, zoals archieven, juridische documenten, en persoonlijke gegevens van burgers. Deze gegevens moeten vaak tientallen jaren worden bewaard, wat betekent dat organisaties moeten anticiperen op de beschikbaarheid van quantumcomputers gedurende de volledige levensduur van deze gegevens. Bovendien zijn er al 'harvest now, decrypt later' aanvallen waarbij kwaadwillende actoren versleutelde gegevens verzamelen en opslaan met het doel deze later te decoderen wanneer quantumcomputers beschikbaar komen. Zonder quantum-safe cryptografie lopen organisaties het risico dat hun cryptografische beveiliging plotseling kwetsbaar wordt wanneer quantumcomputers beschikbaar komen, wat kan leiden tot datalekken, compromittering van communicatie, en verlies van vertrouwen bij burgers en stakeholders.

PowerShell Modules Vereist
Primary API: Azure API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.KeyVault

Implementatie

Quantum-safe cryptografie in Azure Key Vault omvat het gebruik van post-quantum cryptografische algoritmen die bestand zijn tegen aanvallen door quantumcomputers. Deze algoritmen zijn gebaseerd op wiskundige problemen die moeilijk op te lossen zijn met zowel klassieke als quantumcomputers, waardoor zij toekomstbestendige beveiliging bieden. De implementatie omvat het evalueren van beschikbare post-quantum algoritmen die ondersteund worden door Azure Key Vault, het plannen van de transitie van klassieke naar post-quantum cryptografie, het implementeren van hybride benaderingen die zowel klassieke als post-quantum algoritmen gebruiken tijdens de transitieperiode, en het monitoren van de voortgang van de transitie. Azure Key Vault ondersteunt momenteel nog geen native post-quantum algoritmen, maar Microsoft werkt aan de integratie van NIST-geselecteerde post-quantum algoritmen in Azure-services. Totdat native ondersteuning beschikbaar is, kunnen organisaties werken met externe post-quantum cryptografische libraries en hybride implementaties die zowel klassieke als post-quantum cryptografie combineren. Deze aanpak voldoet aan aanbevelingen van het Nationaal Cyber Security Centrum (NCSC), NIST-richtlijnen voor post-quantum cryptografie, en BIO-vereisten voor toekomstbestendige beveiliging.

Vereisten en Voorkennis

Voordat organisaties quantum-safe cryptografie kunnen implementeren in Azure Key Vault, dienen zij te beschikken over een grondig begrip van post-quantum cryptografische concepten, de bedreigingen die quantumcomputers vormen voor huidige cryptografische systemen, en de beschikbare post-quantum algoritmen en implementaties. De implementatie vereist specifieke kennis van cryptografische best practices, Azure Key Vault functionaliteit, en de transitieprocessen die nodig zijn om van klassieke naar post-quantum cryptografie te migreren. Quantum-safe cryptografie vormt een geavanceerde beveiligingsmaatregel die organisaties toekomstbestendige beveiliging biedt voor hun cryptografische materialen, maar vereist zorgvuldige planning en implementatie om succesvol te zijn.

De primaire vereiste voor deze beveiligingsmaatregel is de aanwezigheid van Azure Key Vault instanties die zijn geconfigureerd met de juiste beveiligingsinstellingen, inclusief soft-delete en purge protection. Organisaties moeten beschikken over Azure-abonnementen met toegang tot Azure Key Vault, waarbij de specifieke configuratieopties kunnen variëren afhankelijk van het type Key Vault dat wordt gebruikt. Standaard Key Vaults bieden basis cryptografische functionaliteit, terwijl Premium Key Vaults of Azure Key Vault Managed HSM geavanceerde cryptografische features bieden zoals hardware security modules en uitgebreide key lifecycle management opties. Het is belangrijk om te begrijpen dat Azure Key Vault momenteel nog geen native ondersteuning biedt voor post-quantum cryptografische algoritmen, wat betekent dat organisaties moeten werken met externe libraries of hybride implementaties totdat Microsoft native ondersteuning toevoegt. Organisaties moeten monitoren op updates van Microsoft die post-quantum cryptografie ondersteunen, en moeten werken met Microsoft-partners en leveranciers om te zorgen dat alle gebruikte services compatibel zijn met post-quantum algoritmen.

Voor het uitvoeren van verificatie- en configuratietaken is toegang vereist tot de Azure Portal of Azure CLI, in combinatie met de juiste rolgebaseerde toegangscontrole machtigingen. Minimale vereiste rollen omvatten Key Vault Reader voor monitoring doeleinden, Key Vault Crypto Officer voor het beheren van cryptografische sleutels en cryptografische configuraties, en Key Vault Administrator voor het configureren van geavanceerde cryptografische instellingen. Daarnaast is het essentieel dat beheerders beschikken over kennis van PowerShell of Azure CLI voor geautomatiseerde verificatiescripts, waarbij de Az.KeyVault module voor PowerShell of de bijbehorende Azure CLI extensies noodzakelijk zijn. Organisaties moeten ook beschikken over kennis van post-quantum cryptografische libraries en implementaties, zoals de Open Quantum Safe library, die implementaties biedt van NIST-geselecteerde post-quantum algoritmen. Deze libraries kunnen worden geïntegreerd in applicaties en services, maar vereisen zorgvuldige implementatie en testen om te zorgen dat zij correct functioneren en compatibel zijn met bestaande systemen.

Organisaties dienen te beschikken over een duidelijk overzicht van alle cryptografische sleutels en materialen binnen hun Key Vault omgeving, inclusief welke sleutels momenteel in gebruik zijn, welke algoritmen worden gebruikt, en welke sleutels prioriteit hebben voor de transitie naar post-quantum cryptografie. Deze inventarisatie is cruciaal omdat de transitie naar quantum-safe cryptografie impact kan hebben op bestaande workloads en applicaties die afhankelijk zijn van cryptografische sleutels. Organisaties moeten de kritiekheid en gevoeligheid van elke sleutel beoordelen om prioriteiten te kunnen stellen voor de transitie, waarbij sleutels die zeer gevoelige gegevens beschermen of lange bewaartermijnen hebben de hoogste prioriteit krijgen. Bovendien moeten beheerders rekening houden met de kostenimplicaties, hoewel quantum-safe cryptografie zelf geen extra kosten met zich meebrengt, kunnen de onderliggende Azure Key Vault operaties en eventuele externe libraries wel kosten genereren. Het bijhouden van een accurate inventarisatie vereist regelmatige audits van alle Key Vaults binnen de organisatie, waarbij organisaties gebruik kunnen maken van Azure Resource Graph queries of geautomatiseerde inventarisatiescripts om alle cryptografische materialen te identificeren die quantum-safe cryptografie vereisen.

Naast technische vereisten moeten organisaties ook beschikken over duidelijke procedures en documentatie voor het beheren van quantum-safe cryptografie implementaties. Dit omvat het definiëren van verantwoordelijkheden voor verschillende rollen binnen de organisatie, het opstellen van transitieplanning voor de migratie naar post-quantum cryptografie, en het implementeren van monitoring en alerting mechanismen die beheerders waarschuwen wanneer nieuwe post-quantum implementaties beschikbaar komen of wanneer transitie-activiteiten moeten worden uitgevoerd. Organisaties moeten ook rekening houden met de integratie van quantum-safe cryptografie in hun bestaande security governance frameworks, waarbij post-quantum cryptografie wordt opgenomen als onderdeel van standaard security baselines en compliance verificatieprocessen. Het is aanbevolen om te werken met gespecialiseerde cryptografische experts en Microsoft-partners die ervaring hebben met post-quantum cryptografie implementaties, omdat dit een relatief nieuw gebied is dat specifieke kennis en vaardigheden vereist.

Voor organisaties die werken met gevoelige gegevens en strikte compliance vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO normen, is het essentieel om te beschikken over gedetailleerde kennis van post-quantum cryptografische best practices en transitieprocedures. Quantum-safe cryptografie vormt een kritieke component van deze procedures, maar moet worden geïntegreerd in een breder encryption framework dat ook aandacht besteedt aan data classification, encryption at rest en in transit, en key recovery scenario's. Organisaties moeten begrijpen hoe quantum-safe cryptografie zich verhoudt tot andere Azure encryption opties, zoals customer-managed keys voor Azure-services en Azure Disk Encryption voor virtuele machines, om een complete encryption strategie te ontwikkelen die alle aspecten van gegevensbescherming afdekt en toekomstbestendig is.

Implementatie

De implementatie van quantum-safe cryptografie in Azure Key Vault vereist een gestructureerde aanpak die begint met een grondige evaluatie van de huidige cryptografische situatie, gevolgd door planning van de transitie naar post-quantum cryptografie en implementatie van hybride benaderingen die zowel klassieke als post-quantum cryptografie ondersteunen. Het is belangrijk om te begrijpen dat Azure Key Vault momenteel nog geen native ondersteuning biedt voor post-quantum cryptografische algoritmen, wat betekent dat organisaties moeten werken met externe libraries of hybride implementaties totdat Microsoft native ondersteuning toevoegt. Deze situatie vereist een zorgvuldige balans tussen het voorbereiden op post-quantum cryptografie en het waarborgen van compatibiliteit met bestaande systemen en applicaties.

De eerste stap in het implementatieproces is het uitvoeren van een grondige inventarisatie van alle cryptografische sleutels en materialen die momenteel worden beheerd in Azure Key Vault. Deze inventarisatie moet informatie bevatten over welke sleutels worden gebruikt, welke algoritmen worden gebruikt voor het genereren en beheren van sleutels, welke applicaties en services toegang hebben tot deze sleutels, en wat de kritiekheid en gevoeligheid van de gegevens is die door deze sleutels worden beschermd. Organisaties moeten ook documenteren welke sleutels lange bewaartermijnen hebben of zeer gevoelige gegevens beschermen, omdat deze sleutels de hoogste prioriteit hebben voor de transitie naar post-quantum cryptografie. Deze inventarisatie vormt de basis voor het ontwikkelen van een gefaseerde transitieplanning die rekening houdt met de specifieke behoeften en beperkingen van de organisatie.

Na de inventarisatie moeten organisaties een transitiestrategie ontwikkelen die rekening houdt met de beschikbaarheid van post-quantum cryptografische implementaties, de compatibiliteit met bestaande systemen, en de performance-impact van post-quantum algoritmen. Een hybride benadering vormt de kern van een effectieve transitiestrategie, waarbij organisaties zowel klassieke als post-quantum cryptografische algoritmen gebruiken tijdens de transitieperiode. Deze hybride benadering zorgt ervoor dat gegevens beschermd blijven tegen zowel klassieke als quantum-aanvallen, terwijl backward compatibility wordt gewaarborgd met bestaande systemen die nog niet zijn gemigreerd. In de praktijk betekent dit dat organisaties gegevens versleutelen met zowel een klassiek algoritme als een post-quantum algoritme, waarbij beide versleutelingen nodig zijn om de gegevens te decoderen. Dit biedt organisaties de flexibiliteit om de transitie geleidelijk uit te voeren zonder de beveiliging in gevaar te brengen.

Voor organisaties die willen beginnen met het implementeren van quantum-safe cryptografie, is het aanbevolen om te starten met externe post-quantum cryptografische libraries zoals de Open Quantum Safe library, die implementaties biedt van NIST-geselecteerde post-quantum algoritmen zoals CRYSTALS-Dilithium voor digitale handtekeningen en CRYSTALS-Kyber voor key encapsulation. Deze libraries kunnen worden geïntegreerd in applicaties en services die gebruik maken van Azure Key Vault, waarbij de post-quantum cryptografische operaties worden uitgevoerd naast de klassieke cryptografische operaties. Organisaties moeten uitgebreide testen uitvoeren om te verifiëren dat deze libraries correct functioneren en compatibel zijn met bestaande systemen, en moeten rekening houden met de performance-impact van post-quantum algoritmen, die over het algemeen grotere sleutels en meer rekenkracht vereisen dan klassieke algoritmen.

Organisaties moeten ook monitoren op updates van Microsoft die post-quantum cryptografie ondersteunen in Azure Key Vault en andere Azure-services. Microsoft werkt aan het integreren van NIST-geselecteerde post-quantum algoritmen in Azure-services, en organisaties moeten bereid zijn om over te stappen naar native ondersteuning zodra deze beschikbaar komt. Tot die tijd moeten organisaties een plan ontwikkelen voor het migreren van externe libraries naar native Azure-ondersteuning, waarbij rekening wordt gehouden met compatibiliteit, performance, en de impact op bestaande systemen. Het is belangrijk om regelmatig te evalueren en bij te werken van de transitieplanning op basis van nieuwe ontwikkelingen, feedback van implementaties, en veranderende behoeften, zodat organisaties altijd beschikken over een actueel en effectief plan voor de transitie naar quantum-safe cryptografie.

Monitoring en Verificatie

Gebruik PowerShell-script quantum-safe-crypto.ps1 (functie Invoke-Monitoring) – Monitort de status van quantum-safe cryptografie planning en implementatie binnen Azure Key Vault omgevingen.

Het monitoren van quantum-safe cryptografie in Azure Key Vault vormt een essentieel onderdeel van een volwassen post-quantum cryptografie transitieprogramma. Organisaties moeten regelmatig monitoren op de voortgang van de transitie, de status van verschillende cryptografische systemen, en de beschikbaarheid van nieuwe post-quantum cryptografische implementaties en updates. Monitoring helpt organisaties om te identificeren waar de transitie goed verloopt en waar extra aandacht nodig is, en maakt het mogelijk om tijdig bij te sturen wanneer problemen worden geïdentificeerd. Voor Azure Key Vault omgevingen betekent dit dat organisaties moeten monitoren op updates van Microsoft die post-quantum cryptografie ondersteunen, moeten controleren of alle cryptografische systemen correct zijn geconfigureerd voor post-quantum cryptografie, en moeten verifiëren dat alle gebruikte services en applicaties compatibel zijn met post-quantum algoritmen. Het PowerShell-script dat beschikbaar is voor deze controle kan helpen bij het automatisch monitoren van de status van quantum-safe cryptografie planning en implementatie, door te controleren welke cryptografische materialen gebruik maken van kwetsbare algoritmen, welke systemen nog moeten worden gemigreerd, en welke updates beschikbaar zijn voor verschillende Azure-services.

De verificatieprocedure begint met het inventariseren van alle Azure Key Vaults binnen de organisatie en het controleren van de cryptografische algoritmen die worden gebruikt voor het genereren en beheren van sleutels. Voor elke Key Vault dient de cryptografische configuratie te worden gecontroleerd via Azure Portal, Azure CLI of PowerShell, waarbij expliciet moet worden geverifieerd welke algoritmen worden gebruikt, welke sleutels kwetsbaar zijn voor quantum-aanvallen, en welke sleutels prioriteit hebben voor de transitie naar post-quantum cryptografie. Het inventarisatieproces moet systematisch worden uitgevoerd voor alle Azure-abonnementen en resourcegroepen waar de organisatie toegang toe heeft, waarbij gebruik wordt gemaakt van Azure Resource Graph queries om een compleet overzicht te verkrijgen van alle Key Vaults en cryptografische materialen. Deze inventarisatie moet regelmatig worden herhaald, bij voorkeur maandelijks voor productieomgevingen, om ervoor te zorgen dat nieuwe Key Vaults die zijn aangemaakt tussen verificatiecycli ook worden gecontroleerd en dat de transitieplanning actueel blijft.

Geautomatiseerde monitoring scripts gebruiken de Azure Resource Manager API of Azure Key Vault management APIs om programmatisch de cryptografische configuratiestatus te controleren voor alle Key Vaults binnen een abonnement of resourcegroep. Deze scripts kunnen worden geïntegreerd in bestaande monitoring frameworks en compliance tooling, waardoor organisaties continu zicht hebben op de naleving van deze beveiligingsvereiste. Het is aanbevolen om maandelijks verificaties uit te voeren voor productieomgevingen, waarbij eventuele afwijkingen direct worden geëscaleerd naar beveiligingsteams voor remediatie. Geavanceerde monitoring oplossingen kunnen ook gebruik maken van Azure Policy compliance evaluaties, die automatisch de cryptografische configuratiestatus van alle Key Vaults controleren en rapporten genereren die aangeven welke Key Vaults nog kwetsbare algoritmen gebruiken en welke prioriteit hebben voor de transitie naar post-quantum cryptografie.

Naast het monitoren van de cryptografische configuratie zelf, moeten organisaties ook aandacht besteden aan de beschikbaarheid van nieuwe post-quantum cryptografische implementaties en updates van Microsoft en andere leveranciers. Monitoring omvat tevens het bijhouden van ontwikkelingen in het post-quantum cryptografie landschap, zoals nieuwe NIST-aanbevelingen, updates van post-quantum cryptografische libraries, en de beschikbaarheid van native ondersteuning voor post-quantum algoritmen in Azure-services. Organisaties moeten regelmatig evalueren of nieuwe implementaties beschikbaar zijn die de transitie kunnen versnellen of vereenvoudigen, en moeten bereid zijn om hun transitieplanning bij te werken wanneer nieuwe mogelijkheden beschikbaar komen. Deze evaluatie moet worden uitgevoerd in overleg met cryptografische experts, Microsoft-partners, en andere relevante stakeholders die kunnen helpen bij het identificeren van nieuwe ontwikkelingen en het evalueren van de impact op de transitieplanning.

Het implementeren van effectieve monitoring voor quantum-safe cryptografie vereist ook aandacht voor logging en audit trails. Alle verificatieactiviteiten moeten worden vastgelegd in Azure Monitor logs of externe SIEM systemen, waarbij informatie wordt bijgehouden over wanneer verificaties zijn uitgevoerd, welke Key Vaults zijn gecontroleerd, en welke cryptografische materialen zijn geïdentificeerd voor transitie. Deze audit logs zijn niet alleen belangrijk voor compliance doeleinden, maar bieden ook waardevolle informatie voor het analyseren van trends en het identificeren van patronen in cryptografische configuraties. Organisaties moeten alerting mechanismen implementeren die beheerders waarschuwen wanneer nieuwe Key Vaults worden aangemaakt met kwetsbare algoritmen, wanneer Microsoft updates beschikbaar komen die post-quantum cryptografie ondersteunen, of wanneer nieuwe post-quantum implementaties beschikbaar zijn die kunnen bijdragen aan de transitie. Deze proactieve alerting zorgt ervoor dat beveiligingsafwijkingen snel worden geïdentificeerd en dat organisaties altijd beschikken over de nieuwste informatie over beschikbare post-quantum cryptografische oplossingen.

Compliance en Auditing

De implementatie van quantum-safe cryptografie in Azure Key Vault vormt een kritieke component van compliance met meerdere beveiligingskaders die van toepassing zijn op Nederlandse overheidsorganisaties en publieke sector instellingen. Deze beveiligingsmaatregel adresseert specifieke vereisten uit diverse internationale en nationale standaarden die gericht zijn op het beschermen van gevoelige gegevens en het waarborgen van toekomstbestendige beveiliging tegen quantum-bedreigingen. Voor Nederlandse overheidsorganisaties is het essentieel om proactief te plannen voor de transitie naar post-quantum cryptografie om te voldoen aan compliance-vereisten en best practices.

Binnen het CIS Microsoft Azure Foundations Benchmark framework wordt quantum-safe cryptografie aanbevolen voor Key Vaults die gevoelige gegevens bevatten, waarbij de nadruk ligt op het plannen en voorbereiden van de transitie naar post-quantum cryptografie. CIS Benchmarks benadrukken het belang van toekomstbestendige beveiliging en het anticiperen op nieuwe bedreigingen zoals quantumcomputers. Deze controle behoort tot Level 2 vereisten voor Key Vaults die gevoelige of geclassificeerde gegevens bevatten, wat betekent dat deze als geavanceerde beveiligingsmaatregel wordt beschouwd voor productieomgevingen met hoge beveiligingsvereisten.

De Baseline Informatiebeveiliging Overheid, beter bekend als BIO, eist via controle 09.01 en 09.02 dat organisaties beschikken over adequate mechanismen voor cryptografische beveiliging en toekomstbestendige beveiliging tegen nieuwe bedreigingen zoals quantumcomputers. BIO 09.01 legt de nadruk op het waarborgen van cryptografische beveiliging, waarbij quantum-safe cryptografie een directe bijdrage levert aan deze doelstellingen door organisaties in staat te stellen om cryptografische materialen te beschermen tegen toekomstige quantum-aanvallen. Nederlandse overheidsorganisaties moeten aantonen dat zij beschikken over procedures en technische maatregelen die het mogelijk maken om cryptografische materialen toekomstbestendig te beheren, waarbij quantum-safe cryptografie de technische basis vormt voor dergelijke procedures.

ISO 27001:2022 controle A.8.24 behandelt cryptografie en eist dat organisaties passende cryptografische controles implementeren voor de bescherming van informatie, inclusief mechanismen voor het beheren van cryptografische sleutels gedurende hun volledige levenscyclus. Quantum-safe cryptografie draagt bij aan deze vereiste door te waarborgen dat organisaties toekomstbestendige cryptografische beveiliging hebben die beschermd blijft tegen nieuwe bedreigingen zoals quantumcomputers. De controle vereist tevens dat organisaties regelmatig hun beveiligingsmaatregelen evalueren en bijwerken om te zorgen dat zij effectief blijven in het licht van nieuwe bedreigingen, wat betekent dat organisaties moeten monitoren op de ontwikkeling van quantumcomputers en moeten anticiperen op de impact op hun cryptografische systemen.

Het Nationaal Cyber Security Centrum (NCSC) heeft richtlijnen gepubliceerd die organisaties aanbevelen om te beginnen met de voorbereiding op de quantum-transitie, waarbij wordt benadrukt dat de transitie een langdurig proces is dat zorgvuldige planning en implementatie vereist. NCSC-richtlijnen benadrukken het belang van proactieve voorbereiding en het ontwikkelen van een gestructureerde aanpak voor de transitie naar post-quantum cryptografie. Nederlandse overheidsorganisaties moeten deze richtlijnen opvolgen en moeten kunnen aantonen dat zij werken aan de voorbereiding op de quantum-transitie, inclusief het ontwikkelen van transitieplannen, het uitvoeren van inventarisaties, en het monitoren op beschikbare post-quantum cryptografische implementaties.

Voor audit doeleinden moeten organisaties documentatie bijhouden die aantoont dat zij werken aan de voorbereiding op de quantum-transitie, inclusief transitieplannen, inventarisaties van cryptografische materialen, en evaluaties van beschikbare post-quantum cryptografische oplossingen. Deze audit evidence dient minimaal zeven jaar te worden bewaard conform algemene archiveringsvereisten voor beveiligingsconfiguraties, waarbij organisaties kunnen gebruik maken van Azure Policy compliance rapporten, Azure Monitor logs of externe compliance tooling om deze documentatie te genereren en te onderhouden. Daarnaast moeten organisaties documentatie bijhouden over hun transitiestrategie, inclusief prioriteiten, tijdlijnen, en gekozen post-quantum algoritmen, om aan te tonen dat zij proactief werken aan toekomstbestendige cryptografische beveiliging volgens de aanbevelingen van NCSC, NIST, en andere relevante standaarden.

Remediatie en Herstel

Gebruik PowerShell-script quantum-safe-crypto.ps1 (functie Invoke-Remediation) – Genereert overzichten van quantum-safe cryptografie planning-hiaten en biedt handvatten voor gerichte verbeteracties.

Remediatie binnen het quantum-safe cryptografie domein betekent in de praktijk dat organisaties gaten dichten tussen de gewenste staat van post-quantum voorbereiding en de werkelijkheid. In veel organisaties bestaat er nog geen formele planning voor de transitie naar post-quantum cryptografie, ontbreekt een inventarisatie van cryptografische systemen, of zijn er geen concrete stappen gezet om de transitie voor te bereiden. Het remediatieproces begint met het identificeren van deze hiaten en het ontwikkelen van een concreet actieplan om deze te adresseren. Het PowerShell-script dat beschikbaar is voor remediatie kan helpen bij het identificeren van hiaten door te controleren welke cryptografische materialen gebruik maken van kwetsbare algoritmen, welke systemen nog niet zijn geïnventariseerd, en welke stappen nog moeten worden genomen om de transitie voor te bereiden. Op basis van deze inventarisatie kunnen gerichte verbeteracties worden gepland en uitgevoerd, waarbij prioriteit wordt gegeven aan de meest kritieke cryptografische materialen die de grootste impact hebben op beveiliging en compliance.

Een volwassen quantum-safe cryptografie raamwerk groeit stap voor stap door continue verbetering. Na elke evaluatie worden de belangrijkste verbeterpunten vastgelegd, van een eigenaar voorzien en ingepland in het reguliere change- of verbeterportfolio. Denk aan het opzetten van een formele transitieplanning, het uitvoeren van een grondige inventarisatie van cryptografische materialen, het ontwikkelen van een gefaseerde implementatiestrategie, het opzetten van testomgevingen voor post-quantum algoritmen, en het implementeren van hybride cryptografische systemen. Door de resultaten van het monitoring-script te combineren met de uitkomsten van gespecialiseerde evaluaties ontstaat een integraal beeld van de voortgang. Uiteindelijk wordt quantum-safe cryptografie zo niet alleen een set van technische maatregelen en processen, maar een aantoonbaar beheerst en verantwoord ingericht raamwerk dat continu wordt geëvalueerd en verbeterd om te blijven voldoen aan veranderende eisen, dreigingen en regelgeving. Dit helpt organisaties om toekomstbestendige beveiliging te waarborgen en proactief te anticiperen op de komst van quantumcomputers.

Het implementeren van effectieve remediatieprocedures vereist ook aandacht voor change management en communicatie met stakeholders. Wanneer quantum-safe cryptografie wordt geïmplementeerd of wanneer transitieplannen worden ontwikkeld, moeten organisaties alle betrokken partijen informeren over de wijziging, inclusief applicatie-eigenaren, security teams, compliance officers, en cryptografische experts. Deze communicatie moet duidelijk maken wat de impact is van de wijziging, welke voordelen het biedt voor beveiliging en compliance, en wat de verwachte impact is op bestaande systemen. Organisaties moeten ook een rollback plan opstellen voor het geval de remediatie onverwachte problemen veroorzaakt, hoewel het belangrijk is om te begrijpen dat de implementatie van quantum-safe cryptografie een langetermijninvestering is die zorgvuldige planning en implementatie vereist. In plaats daarvan moet het rollback plan zich richten op het herstellen van eventuele problemen die ontstaan door de wijziging, zoals het oplossen van compatibiliteitsproblemen of het aanpassen van transitieplannen op basis van nieuwe inzichten.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Quantum-Safe Cryptografie in Azure Key Vault .DESCRIPTION Controleert en monitort de status van quantum-safe cryptografie planning en implementatie binnen Azure Key Vault omgevingen. Deze controle richt zich op het identificeren van cryptografische materialen die kwetsbaar zijn voor quantum-aanvallen en het ondersteunen van de transitie naar post-quantum cryptografische algoritmen. .NOTES Filename: quantum-safe-crypto.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 CIS Control: 8.2 Related JSON: content/azure/key-vault/quantum-safe-crypto.json .EXAMPLE .\quantum-safe-crypto.ps1 -Monitoring Controleert de status van quantum-safe cryptografie planning en implementatie .EXAMPLE .\quantum-safe-crypto.ps1 -Remediation Genereert overzichten van planning-hiaten en biedt handvatten voor verbeteracties #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.KeyVault [CmdletBinding()] param( [Parameter(Mandatory = $false)] [switch]$Monitoring, [Parameter(Mandatory = $false)] [switch]$Remediation, [Parameter(Mandatory = $false)] [switch]$Revert, [Parameter(Mandatory = $false)] [switch]$WhatIf ) $ErrorActionPreference = 'Stop' $PolicyName = "Quantum-Safe Cryptografie in Azure Key Vault" Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan function Connect-RequiredServices { if (-not (Get-AzContext)) { Write-Host "Connecting to Azure..." -ForegroundColor Gray Connect-AzAccount | Out-Null } } function Get-KeyVaultCryptographicMaterials { <# .SYNOPSIS Inventariseert alle cryptografische materialen in Key Vaults #> try { $vaults = Get-AzKeyVault -ErrorAction SilentlyContinue if ($null -eq $vaults -or $vaults.Count -eq 0) { return @{ TotalVaults = 0 Vaults = @() } } $result = @{ TotalVaults = $vaults.Count Vaults = @() } foreach ($vault in $vaults) { try { $vaultDetail = Get-AzKeyVault -VaultName $vault.VaultName -ResourceGroupName $vault.ResourceGroupName -ErrorAction SilentlyContinue if ($null -eq $vaultDetail) { continue } $keys = @() $secrets = @() # Probeer keys op te halen try { $keyList = Get-AzKeyVaultKey -VaultName $vault.VaultName -ErrorAction SilentlyContinue if ($keyList) { foreach ($key in $keyList) { $keys += @{ Name = $key.Name KeyType = $key.KeyType KeyCurve = if ($key.KeyCurve) { $key.KeyCurve } else { "N/A" } KeySize = if ($key.KeySize) { $key.KeySize } else { "N/A" } } } } } catch { # Geen toegang tot keys of geen keys aanwezig } # Probeer secrets op te halen (voor informatie, niet voor analyse) try { $secretList = Get-AzKeyVaultSecret -VaultName $vault.VaultName -ErrorAction SilentlyContinue if ($secretList) { $secrets = $secretList | ForEach-Object { $_.Name } } } catch { # Geen toegang tot secrets } $result.Vaults += @{ Name = $vault.VaultName ResourceGroup = $vault.ResourceGroupName Location = $vault.Location Keys = $keys KeyCount = $keys.Count SecretCount = $secrets.Count HasSoftDelete = $vaultDetail.EnableSoftDelete HasPurgeProtection = $vaultDetail.EnablePurgeProtection } } catch { Write-Verbose "Fout bij ophalen van Key Vault details: $($_.Exception.Message)" } } return $result } catch { Write-Host " [ERROR] Fout bij inventarisatie: $_" -ForegroundColor Red throw } } function Test-QuantumVulnerableAlgorithms { <# .SYNOPSIS Identificeert cryptografische algoritmen die kwetsbaar zijn voor quantum-aanvallen #> param( [array]$Keys ) $vulnerableAlgorithms = @() foreach ($key in $Keys) { $isVulnerable = $false $reason = "" # RSA-algoritmen zijn kwetsbaar voor quantum-aanvallen if ($key.KeyType -like "*RSA*") { $isVulnerable = $true $reason = "RSA-algoritme is kwetsbaar voor quantum-aanvallen (Shor's algoritme)" } # Elliptic Curve Cryptography is kwetsbaar voor quantum-aanvallen if ($key.KeyType -like "*EC*" -or $key.KeyType -like "*ECDSA*" -or $key.KeyType -like "*ECDH*") { $isVulnerable = $true $reason = "Elliptic Curve Cryptography is kwetsbaar voor quantum-aanvallen (Shor's algoritme)" } # AES met kleine sleutellengtes (128-bit) wordt als kwetsbaar beschouwd if ($key.KeyType -like "*AES*" -and $key.KeySize -lt 256) { $isVulnerable = $true $reason = "AES met sleutellengte kleiner dan 256-bit wordt als kwetsbaar beschouwd voor quantum-aanvallen" } if ($isVulnerable) { $vulnerableAlgorithms += @{ KeyName = $key.Name KeyType = $key.KeyType KeySize = $key.KeySize KeyCurve = $key.KeyCurve Reason = $reason } } } return $vulnerableAlgorithms } function Invoke-Monitoring { <# .SYNOPSIS Monitort de status van quantum-safe cryptografie planning en implementatie #> try { Connect-RequiredServices Write-Host "Inventariseren van cryptografische materialen in Key Vaults..." -ForegroundColor Gray $cryptoMaterials = Get-KeyVaultCryptographicMaterials Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Resultaten" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "Totaal Key Vaults: $($cryptoMaterials.TotalVaults)" -ForegroundColor White if ($cryptoMaterials.TotalVaults -eq 0) { Write-Host " [INFO] Geen Key Vaults gevonden in het abonnement" -ForegroundColor Yellow Write-Host "`n[OK] Geen verificatie nodig" -ForegroundColor Green exit 0 } $totalKeys = 0 $totalVulnerableKeys = 0 $vaultsWithVulnerableKeys = @() foreach ($vault in $cryptoMaterials.Vaults) { $totalKeys += $vault.KeyCount if ($vault.KeyCount -gt 0) { $vulnerableKeys = Test-QuantumVulnerableAlgorithms -Keys $vault.Keys if ($vulnerableKeys.Count -gt 0) { $totalVulnerableKeys += $vulnerableKeys.Count $vaultsWithVulnerableKeys += @{ VaultName = $vault.Name ResourceGroup = $vault.ResourceGroupName VulnerableKeys = $vulnerableKeys } } } } Write-Host "Totaal cryptografische sleutels: $totalKeys" -ForegroundColor White Write-Host "Kwetsbare sleutels (quantum-aanvallen): $totalVulnerableKeys" -ForegroundColor $(if ($totalVulnerableKeys -eq 0) { 'Green' } else { 'Yellow' }) if ($totalVulnerableKeys -eq 0 -and $totalKeys -gt 0) { Write-Host " [OK] Geen kwetsbare algoritmen gevonden" -ForegroundColor Green Write-Host " Let op: Azure Key Vault ondersteunt momenteel nog geen native post-quantum algoritmen" -ForegroundColor Cyan Write-Host " Overweeg het ontwikkelen van een transitieplan voor wanneer native ondersteuning beschikbaar komt" -ForegroundColor Cyan } elseif ($totalVulnerableKeys -gt 0) { Write-Host "`nKey Vaults met kwetsbare algoritmen:" -ForegroundColor Yellow foreach ($vaultInfo in $vaultsWithVulnerableKeys) { Write-Host "`n Key Vault: $($vaultInfo.VaultName) ($($vaultInfo.ResourceGroup))" -ForegroundColor Yellow foreach ($vulnKey in $vaultInfo.VulnerableKeys) { Write-Host " - Sleutel: $($vulnKey.KeyName)" -ForegroundColor Red Write-Host " Type: $($vulnKey.KeyType)" -ForegroundColor Gray if ($vulnKey.KeySize -ne "N/A") { Write-Host " Grootte: $($vulnKey.KeySize) bits" -ForegroundColor Gray } if ($vulnKey.KeyCurve -ne "N/A") { Write-Host " Curve: $($vulnKey.KeyCurve)" -ForegroundColor Gray } Write-Host " Reden: $($vulnKey.Reason)" -ForegroundColor Gray } } } Write-Host "`nBelangrijke informatie:" -ForegroundColor Cyan Write-Host " • Azure Key Vault ondersteunt momenteel nog geen native post-quantum algoritmen" -ForegroundColor Gray Write-Host " • Microsoft werkt aan integratie van NIST-geselecteerde post-quantum algoritmen" -ForegroundColor Gray Write-Host " • Overweeg externe libraries zoals Open Quantum Safe voor post-quantum implementaties" -ForegroundColor Gray Write-Host " • Ontwikkel een transitieplan voor wanneer native ondersteuning beschikbaar komt" -ForegroundColor Gray Write-Host " • Monitor Microsoft-updates voor post-quantum cryptografie ondersteuning" -ForegroundColor Gray if ($totalVulnerableKeys -eq 0) { Write-Host "`n[OK] Geen kwetsbare algoritmen gevonden" -ForegroundColor Green Write-Host " Let op: Dit betekent niet dat post-quantum cryptografie is geïmplementeerd" -ForegroundColor Yellow Write-Host " Overweeg het ontwikkelen van een transitieplan voor post-quantum cryptografie" -ForegroundColor Yellow exit 0 } else { Write-Host "`n[WARNING] Kwetsbare algoritmen gevonden" -ForegroundColor Yellow Write-Host "Sommige cryptografische sleutels gebruiken algoritmen die kwetsbaar zijn voor quantum-aanvallen" -ForegroundColor Yellow Write-Host "Gebruik -Remediation om een transitieplan te ontwikkelen" -ForegroundColor Cyan exit 1 } } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Remediation { <# .SYNOPSIS Genereert overzichten van quantum-safe cryptografie planning-hiaten en biedt handvatten voor verbeteracties #> try { Connect-RequiredServices Write-Host "Analyseren van huidige cryptografische situatie..." -ForegroundColor Gray $cryptoMaterials = Get-KeyVaultCryptographicMaterials if ($cryptoMaterials.TotalVaults -eq 0) { Write-Host " [INFO] Geen Key Vaults gevonden om te analyseren" -ForegroundColor Yellow Write-Host "`n[OK] Geen actie nodig" -ForegroundColor Green exit 0 } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Remediatieplanning: Quantum-Safe Cryptografie" -ForegroundColor Cyan Write-Host "========================================`n" -ForegroundColor Cyan $totalKeys = 0 $totalVulnerableKeys = 0 $vaultsWithVulnerableKeys = @() foreach ($vault in $cryptoMaterials.Vaults) { $totalKeys += $vault.KeyCount if ($vault.KeyCount -gt 0) { $vulnerableKeys = Test-QuantumVulnerableAlgorithms -Keys $vault.Keys if ($vulnerableKeys.Count -gt 0) { $totalVulnerableKeys += $vulnerableKeys.Count $vaultsWithVulnerableKeys += @{ VaultName = $vault.Name ResourceGroup = $vault.ResourceGroupName VulnerableKeys = $vulnerableKeys } } } } Write-Host "Analyse overzicht:" -ForegroundColor Cyan Write-Host " • Totaal Key Vaults: $($cryptoMaterials.TotalVaults)" -ForegroundColor White Write-Host " • Totaal cryptografische sleutels: $totalKeys" -ForegroundColor White Write-Host " • Kwetsbare sleutels: $totalVulnerableKeys" -ForegroundColor $(if ($totalVulnerableKeys -eq 0) { 'Green' } else { 'Yellow' }) if ($totalVulnerableKeys -gt 0) { Write-Host "`nAanbevolen acties voor Key Vaults met kwetsbare algoritmen:" -ForegroundColor Yellow foreach ($vaultInfo in $vaultsWithVulnerableKeys) { Write-Host "`n Key Vault: $($vaultInfo.VaultName) ($($vaultInfo.ResourceGroup))" -ForegroundColor Yellow Write-Host " Kwetsbare sleutels: $($vaultInfo.VulnerableKeys.Count)" -ForegroundColor Red Write-Host "`n Aanbevolen stappen:" -ForegroundColor Cyan Write-Host " 1. Documenteer alle kwetsbare sleutels en hun gebruik" -ForegroundColor Gray Write-Host " 2. Bepaal prioriteiten op basis van gevoeligheid en bewaartermijn" -ForegroundColor Gray Write-Host " 3. Ontwikkel een transitieplan voor post-quantum cryptografie" -ForegroundColor Gray Write-Host " 4. Monitor Microsoft-updates voor native post-quantum ondersteuning" -ForegroundColor Gray Write-Host " 5. Overweeg externe libraries (bijv. Open Quantum Safe) voor vroege adoptie" -ForegroundColor Gray Write-Host " 6. Implementeer hybride cryptografie (klassiek + post-quantum) tijdens transitie" -ForegroundColor Gray } } Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Algemene aanbevelingen" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "1. Ontwikkel een post-quantum cryptografie transitieplan" -ForegroundColor White Write-Host " - Inventariseer alle cryptografische materialen" -ForegroundColor Gray Write-Host " - Bepaal prioriteiten op basis van kritiekheid en bewaartermijn" -ForegroundColor Gray Write-Host " - Definieer tijdlijn en milestones" -ForegroundColor Gray Write-Host "`n2. Monitor Microsoft-updates" -ForegroundColor White Write-Host " - Microsoft werkt aan integratie van NIST-geselecteerde algoritmen" -ForegroundColor Gray Write-Host " - Volg Azure-updates en Microsoft Learn documentatie" -ForegroundColor Gray Write-Host "`n3. Overweeg externe libraries voor vroege adoptie" -ForegroundColor White Write-Host " - Open Quantum Safe: https://openquantumsafe.org/" -ForegroundColor Gray Write-Host " - Integreer in applicaties die gebruik maken van Key Vault" -ForegroundColor Gray Write-Host "`n4. Implementeer hybride cryptografie" -ForegroundColor White Write-Host " - Combineer klassieke en post-quantum algoritmen" -ForegroundColor Gray Write-Host " - Waarborg backward compatibility tijdens transitie" -ForegroundColor Gray Write-Host "`n5. Train en bewustword IT-personeel" -ForegroundColor White Write-Host " - Post-quantum cryptografie vereist specifieke kennis" -ForegroundColor Gray Write-Host " - Investeer in training en bewustwording" -ForegroundColor Gray Write-Host "`n6. Compliance en audit" -ForegroundColor White Write-Host " - Voldoe aan NCSC- en NIST-richtlijnen" -ForegroundColor Gray Write-Host " - Documenteer transitieplanning en voortgang" -ForegroundColor Gray Write-Host "`n[OK] Remediatieplanning voltooid" -ForegroundColor Green Write-Host "Gebruik deze informatie om een concreet transitieplan te ontwikkelen" -ForegroundColor Cyan exit 0 } catch { Write-Host "`n[FAIL] ERROR: $_" -ForegroundColor Red Write-Host "Error Details: $($_.Exception.Message)" -ForegroundColor Red exit 2 } } function Invoke-Revert { <# .SYNOPSIS Deze functie is niet van toepassing voor quantum-safe cryptografie planning #> try { Write-Host "WARNING: Revert is niet van toepassing voor quantum-safe cryptografie planning" -ForegroundColor Yellow Write-Host "Quantum-safe cryptografie planning is een langetermijnproces dat niet kan worden teruggedraaid" -ForegroundColor Yellow Write-Host "Focus op het ontwikkelen en implementeren van een transitieplan voor post-quantum cryptografie" -ForegroundColor Yellow exit 0 } catch { Write-Host "ERROR: $_" -ForegroundColor Red exit 2 } } try { if ($Revert) { Invoke-Revert } elseif ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { Invoke-Remediation } else { Write-Host "Usage:" -ForegroundColor Yellow Write-Host " -Monitoring Controleer status van quantum-safe cryptografie planning" -ForegroundColor Gray Write-Host " -Remediation Genereer overzichten van planning-hiaten en verbeteracties" -ForegroundColor Gray Write-Host " -Revert Niet van toepassing voor quantum-safe cryptografie planning" -ForegroundColor Gray Write-Host "`nVoorbeeld:" -ForegroundColor Yellow Write-Host " .\quantum-safe-crypto.ps1 -Monitoring" -ForegroundColor Gray } } catch { throw } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog - Zonder adequate voorbereiding op quantum-safe cryptografie lopen organisaties het risico dat hun cryptografische beveiligingssystemen kwetsbaar worden wanneer quantumcomputers beschikbaar komen. Dit kan leiden tot datalekken, compromittering van communicatie, en niet-naleving van compliance-vereisten zoals BIO 09.01, NCSC-richtlijnen, en NIST-aanbevelingen.

Management Samenvatting

Quantum-Safe Cryptografie: Plan en bereid de transitie naar post-quantum cryptografie voor in Azure Key Vault om toekomstbestendige beveiliging te waarborgen. Essentieel voor Nederlandse overheidsorganisaties die verantwoordelijk zijn voor het beheren van kritieke gegevens met lange bewaartermijnen. Implementatietijd: 100 uur. Voldoet aan BIO 09.01, NCSC-richtlijnen, en NIST-aanbevelingen.