Volgens DigiCert zullen eens kwantumcomputers werkelijkheid worden, Internet of Things (IoT) apparaten een van de meest kwetsbare verticale sectoren worden. De gevolgen zullen significant zijn als post-kwantum cryptografie een aanvaller in staat stelt om apparaten die slimme steden, gezondheidsapparaten, connected voertuigen of de woning van een gebruiker beheren, te hacken.
Kwantumcomputers zullen de manier waarop vele industrieën opereren veranderen en de impact van kwantumcomputing zal alle aspecten van de samenleving beïnvloeden. Kwantumcomputers zouden complexe problemen sneller en nauwkeuriger kunnen oplossen dan traditionele computers, wat zou kunnen leiden tot nieuwe ontdekkingen en doorbraken in verschillende sectoren. Echter, kwantumcomputers zouden veel van de huidige encryptie-algoritmes kunnen breken die worden gebruikt om digitale veiligheid te waarborgen.
Naar verwachting zullen in 2024 voordelen zichtbaar worden naarmate kwantumcomputing wordt toegepast in diverse computationele vakgebieden, waaronder cryptografie, meteorologie, geneesmiddelen, genoom-sequencing, optimalisatie van complexe systemen zoals verkeersstromen in grote steden, enz.
Heden ten dage dompelt de samenleving zich onder in het Internet of Things (IoT), oftewel alle fysieke apparaten die met elkaar verbonden zijn via het internet. IoT is een brede categorie die zowel consumenten- (CIoT) als industriële IoT (IIoT) omvat, variërend van slimme huishoudelijke apparaten zoals thermostaten, spraakassistenten en camera’s tot productie-, transport- en gezondheidszorgapparaten. Zodra kwantumcomputers werkelijkheid worden, zullen IoT-apparaten, die al kwetsbaar zijn voor aanvallen, een van de meest kwetsbare verticale sectoren worden. De gevolgen zijn significant als post-kwantumcryptografie (PQC) een aanvaller in staat stelt om apparaten die slimme steden mogelijk maken, verbonden gezondheidsapparaten, verbonden voertuigen of zelfs het slimme huis van een individu te hacken.
De realiteit: IoT is altijd al kwetsbaar geweest
Aanvallers richten zich vaak op IoT-apparaten, die worden beschouwd als het gemakkelijkste doelwit of het meest kwetsbare deel van een netwerk voor aanvallen. Hackers kunnen de kwetsbaarheden van IoT-apparaten gebruiken om toegang te krijgen tot andere apparaten of netwerken, waardoor ze een aantrekkelijk doelwit worden. In de eerste twee maanden van 2023 was er een toename van 41% in aanvallen op IoT-apparaten sinds 2022, en het aantal is verdrievoudigd sinds 2021. Dit is bijzonder verontrustend gezien de verwachting dat er in 2025 75 miljard IoT-apparaten zullen zijn.
“Een deel van de reden waarom IoT-apparaten bekend staan als gemakkelijke doelwitten is omdat ze beperkte reken- en geheugencapaciteit hebben. Veel IoT-apparaten zijn ontworpen om goedkoop en wegwerpbaar te zijn, waardoor het moeilijk kan zijn om software-updates te implementeren. Hoewel sommige IoT-apparaten meer middelen hebben dan andere (bijvoorbeeld in de industriële IoT-ruimte), zijn ze meestal erg duur en onvervangbaar. Sommige apparaten (zoals benzinepompen op afgelegen locaties) hebben mogelijk helemaal geen netwerkconnectiviteit”, aldus Dean Coclin, Senior Director of Business Development bij DigiCert.
Zodra kwantumcomputers werkelijkheid worden, kunnen de bestaande algoritmes die IoT beschermen kwetsbaar worden, waardoor vertrouwelijke gegevens die worden verzonden door IoT-apparaten worden blootgesteld en de vertrouwelijkheid en integriteit in het geding komen. Er kunnen ook risico’s zijn in de toeleveringsketen, omdat kwantumcomputing tegenstanders in staat kan stellen de firmware van het apparaat, cryptografische keys of het productieproces zelf te compromitteren, waardoor kwetsbaarheden moeilijk te detecteren en te beperken zijn.
Lange levenscycli en het risico van PQC-aanvallen
IoT-apparaten hebben meestal een relatief lange levensduur en worden snel kwetsbaar zonder een duidelijke manier om software-updates te implementeren. Voor apparaten met een levensduur van 10 tot 20 jaar of langer, moeten fabrikanten van apparaten nu algoritmes voor post-kwantumcryptografie implementeren. Hoewel het niet precies bekend is wanneer kwantumcomputers relevant zullen zijn voor aanvallen op apparaten, zullen op zijn minst sommige vandaag geïmplementeerde apparaten met langere levensduur al PQC-algoritmes nodig hebben vóór het einde van hun levensduur. Op zijn minst zal elk langdurig apparaat dat momenteel niet is geïmplementeerd met PQC-algoritmes in de toekomst een upgradeplan nodig hebben.
“Er zijn echter regelgevende ontwikkelingen om de veiligheid en transparantie van IoT te verhogen, zelfs voordat kwantumcomputing een rol speelt. De Europese Cyberresilience Act zal bijvoorbeeld waarschijnlijk eisen dat fabrikanten van apparaten vertrouwelijke gegevens versleutelen, regelmatige updates van apparaten uitvoeren en meer informatie verstrekken aan consumenten om geïnformeerde aankoopbeslissingen te nemen. In dit laatste punt worden in de Verenigde Staten en andere landen IoT-veiligheidslabels geïmplementeerd, vergelijkbaar met voedingslabels. Het Amerikaanse National Institute of Standards and Technology (NIST) heeft een raamwerk geleverd voor IoT-labeling dat informatie zal bevatten over zowel het apparaat zelf als de ondersteunende software”, voegde Dean Coclin toe.
Deze regelgevende veranderingen zullen nu van pas komen wanneer kwantumcomputers worden geïntroduceerd, aangezien consumenten meer transparantie zullen hebben over de veiligheid van hun apparaten en er waarschijnlijk meer beveiliging zal worden toegepast in IoT, waardoor IoT hopelijk minder gemakkelijk toegankelijk wordt voor aanvallers.
Hoe IoT te beschermen tegen PQC
Omdat het NIST post-kwantumcryptografische algoritmes heeft geselecteerd om de bestaande traditionele cryptografische algoritmes op internet te vervangen, is er speciale aandacht besteed aan ervoor zorgen dat de geselecteerde PQC-algoritmes gebruikt kunnen worden door IoT-apparaten. IoT-apparaten hebben een breed scala aan cryptografische services nodig, waaronder:
- TLS/SSL-certificaten voor web-UI en webservice.
- Authenticiteitscertificaten die de fabrikant van het apparaat accrediteren.
- Softwareondertekening voor applicaties en firmware-updates.
- Protocol- en toepassingsspecifieke beveiligingsmechanismen, afhankelijk van het gebruiksscenario.
Fabrikanten van apparaten moeten daarom nu de geselecteerde PQC-algoritmes van het NIST beoordelen en een plan maken om ze op te nemen in hun producten en software. Helaas zijn deze algoritmes geen snelle vervanging voor de huidige traditionele algoritmes en kan de overgang naar PQC tijd kosten,