BIO 6.01.01 ISO A.8.24

Quantum-Resistant Cryptografie: Voorbereiding Op Post-Quantum Cryptografische Standaarden

đź“… 2025-01-27
•
⏱️ 40 minuten lezen
•
🟢 Advanced

đź’Ľ Management Samenvatting

Quantum-resistant cryptografie, ook wel post-quantum cryptografie (PQC) genoemd, vertegenwoordigt de volgende generatie cryptografische algoritmen die bestand zijn tegen aanvallen van zowel klassieke computers als toekomstige quantum computers. Met de opkomst van quantum computing technologieën die in staat zijn om veel huidige cryptografische algoritmen te breken, is het implementeren van quantum-resistant cryptografie een kritieke strategische investering voor organisaties die hun gegevens op de lange termijn willen beschermen. Voor Nederlandse overheidsorganisaties die moeten voldoen aan NIS2, BIO en andere compliance-frameworks, is het voorbereiden op post-quantum cryptografie essentieel omdat deze frameworks vereisen dat organisaties passende technische maatregelen implementeren die rekening houden met opkomende bedreigingen en technologische ontwikkelingen. Quantum-resistant cryptografie vormt een fundamentele component van toekomstbestendige beveiliging en is onmisbaar voor organisaties die hun cryptografische infrastructuur willen beschermen tegen zowel huidige als toekomstige bedreigingen.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
9/10
Implementatie
150u (tech: 100u)
Van toepassing op:
âś“ Azure Key Vault
âś“ Azure Key Vault Managed HSM
âś“ Azure Storage
âś“ Azure SQL Database
âś“ Azure Cosmos DB
âś“ Azure Virtual Machines
âś“ Alle Azure-services met cryptografie

Huidige cryptografische algoritmen zoals RSA, ECC (Elliptic Curve Cryptography) en Diffie-Hellman zijn kwetsbaar voor aanvallen van quantum computers die gebruik maken van algoritmen zoals Shor's algoritme en Grover's algoritme. Wanneer quantum computers op grote schaal beschikbaar komen, kunnen deze algoritmen veel van de huidige cryptografische beveiliging breken, waardoor gegevens die nu als veilig worden beschouwd in de toekomst kwetsbaar kunnen worden. Dit vormt een significant risico voor organisaties die gevoelige of geclassificeerde gegevens verwerken, omdat gegevens die nu worden versleuteld met klassieke algoritmen in de toekomst kunnen worden ontsleuteld wanneer quantum computers beschikbaar komen. Zonder quantum-resistant cryptografie lopen organisaties het risico dat hun gegevens op de lange termijn onveilig worden, wat kan leiden tot datalekken, compliance-overtredingen en onvoldoende bescherming tegen moderne en toekomstige bedreigingen. Voor Nederlandse overheidsorganisaties die moeten voldoen aan NIS2 en BIO is het onvoldoende voorbereiden op post-quantum cryptografie een significant compliance-risico, omdat deze frameworks vereisen dat organisaties passende technische maatregelen implementeren die rekening houden met opkomende bedreigingen zoals quantum computing.

PowerShell Modules Vereist
Primary API: Azure Key Vault API, Azure Resource Manager API
Connection: Connect-AzAccount
Required Modules: Az.Accounts, Az.KeyVault, Az.Resources, Az.Security

Implementatie

Dit artikel beschrijft een concrete implementatie van quantum-resistant cryptografie voor Azure-omgevingen, specifiek toegespitst op de context van Nederlandse overheidsorganisaties die zich moeten voorbereiden op post-quantum cryptografische standaarden. Het raamwerk is gebaseerd op vijf fundamentele pijlers: inventarisatie van huidige cryptografische implementaties, evaluatie en selectie van post-quantum algoritmen, hybride cryptografische implementaties, cryptografische flexibiliteit en migratieplanning, en compliance-documentatie en audit trails. De eerste pijler betreft een volledige inventarisatie van alle cryptografische implementaties binnen de Azure-omgeving, waarbij organisaties identificeren welke algoritmen momenteel worden gebruikt, welke gegevens worden beschermd, en welke services prioriteit hebben voor migratie naar post-quantum cryptografie. De tweede pijler richt zich op evaluatie en selectie van post-quantum algoritmen waarbij organisaties bepalen welke NIST-standaardiseerde post-quantum algoritmen geschikt zijn voor hun use cases, rekening houdend met factoren zoals prestaties, compatibiliteit, en beveiligingsgaranties. De derde pijler adresseert hybride cryptografische implementaties waarbij organisaties zowel klassieke als post-quantum algoritmen parallel gebruiken tijdens de transitieperiode, wat extra beveiliging biedt en organisaties in staat stelt om geleidelijk te migreren. De vierde pijler betreft cryptografische flexibiliteit en migratieplanning waarbij organisaties processen en architectuur hebben om cryptografische transities veilig te plannen, testen en uitvoeren. De vijfde pijler richt zich op compliance-documentatie en audit trails waarbij alle cryptografische beslissingen, configuraties en wijzigingen worden gedocumenteerd voor compliance en audit doeleinden. Het artikel beschrijft voor elke pijler concrete implementatiestappen, best practices, Azure-native services die kunnen worden ingezet, en hoe de pijlers onderling samenwerken om een robuuste quantum-resistant cryptografische omgeving te creëren. Daarnaast wordt uitgelegd hoe dit raamwerk aansluit bij NIS2-verplichtingen, BIO-normen en de voorbereiding op post-quantum cryptografie.

Vereisten

Een succesvolle implementatie van quantum-resistant cryptografie in Azure vereist een grondige voorbereiding op zowel technisch als organisatorisch vlak. De eerste vereiste is een volledige inventarisatie van alle cryptografische implementaties binnen de Azure-omgeving. Dit omvat niet alleen de identificatie van alle services die cryptografie gebruiken, maar ook de specifieke algoritmen, sleutellengtes, certificaten en configuraties die worden toegepast, en de classificatie en kritiekheid van de gegevens die worden beschermd. Zonder een compleet overzicht is het onmogelijk om te bepalen welke cryptografische transities nodig zijn, welke services prioriteit hebben voor migratie naar post-quantum cryptografie, en welke impact wijzigingen zullen hebben op de beschikbaarheid en functionaliteit van systemen. Deze inventarisatie moet zowel technische details bevatten – zoals welke TLS-versies worden gebruikt, welke cipher suites zijn geconfigureerd, welke algoritmen worden gebruikt voor data-encryptie, en welke certificaten en sleutels in gebruik zijn – als functionele context: welke services zijn kritiek voor de dienstverlening, welke data wordt verwerkt en wat is de classificatie daarvan, welke compliance-vereisten gelden per service, en wat zijn de beschikbaarheidseisen. Deze informatie vormt de basis voor het bepalen van de prioritering en de intensiteit van quantum-resistant cryptografie per service en applicatie.

Een tweede cruciale vereiste is het hebben van een duidelijk cryptografisch beleid en risicokader dat specifiek is uitgewerkt voor post-quantum cryptografie. Dit beleid moet definiëren welke post-quantum algoritmen zijn toegestaan en welke niet, welke hybride benaderingen worden gebruikt tijdens transities, wanneer organisaties willen overschakelen naar post-quantum algoritmen, welke tijdlijnen gelden voor verschillende soorten data en services, en wat de acceptabele restrisico's zijn na implementatie. Het beleid moet ook expliciet rekening houden met de NIST Post-Quantum Cryptography Standardization process en de geselecteerde algoritmen, waarbij organisaties moeten definiëren hoe zij willen omgaan met de transitieperiode waarin zowel klassieke als post-quantum algoritmen parallel worden gebruikt. Binnen Nederlandse overheidsorganisaties moet dit beleid expliciet aansluiten bij het BIO-raamwerk, NIS2-verplichtingen en AVG-vereisten, en moet het rekening houden met specifieke eisen voor verschillende data-classificaties. Het beleid moet schriftelijk zijn vastgelegd, door het bestuur zijn goedgekeurd en regelmatig worden herzien op basis van nieuwe cryptografische standaarden, opkomende bedreigingen en wijzigingen in compliance-vereisten. Zonder een dergelijk kader bestaat het risico dat quantum-resistant cryptografie ad hoc wordt geïmplementeerd zonder duidelijke samenhang of dat bepaalde aspecten worden overgeslagen omdat de noodzaak niet duidelijk is.

Technisch gezien vereist quantum-resistant cryptografie de beschikbaarheid van de juiste Azure-licenties en services. Voor centrale sleutelbeheer zijn Azure Key Vault Premium en Azure Key Vault Managed HSM nodig voor het beheren van cryptografische sleutels met ondersteuning voor post-quantum algoritmen wanneer deze beschikbaar komen, automatische sleutelrotatie, en versiebeheer. Voor cryptografische abstractie zijn cryptografische libraries nodig die algoritme-selectie abstract maken en ondersteuning bieden voor post-quantum algoritmen, zoals Microsoft Azure Cryptography Library, Azure Key Vault Client Libraries, en platform-native cryptografische APIs met post-quantum ondersteuning. Voor cryptografische inventarisatie en monitoring zijn Azure Monitor, Log Analytics en Azure Sentinel nodig voor het verzamelen en analyseren van cryptografische configuraties en events. Voor transitieplanning en testomgevingen zijn Azure DevOps, Azure Test Plans en geĂŻsoleerde Azure-omgevingen nodig voor het plannen, testen en uitvoeren van cryptografische transities naar post-quantum algoritmen. Voor compliance-documentatie en audit trails zijn Azure Policy, Azure Blueprints en documentatie-platforms nodig voor het documenteren en afdwingen van cryptografische configuraties. Organisaties moeten ervoor zorgen dat zij over de benodigde licenties beschikken voordat zij beginnen met de implementatie, anders kunnen zij niet alle pijlers volledig inrichten.

Daarnaast is er een duidelijke rol- en verantwoordelijkheidsverdeling nodig tussen verschillende teams en functies. De CISO of security officer is verantwoordelijk voor het opstellen van het cryptografisch beleid en het toezicht op de implementatie van quantum-resistant cryptografie, maar individuele teams blijven verantwoordelijk voor de concrete implementatie van cryptografische configuraties binnen hun eigen services en applicaties. Cryptografische experts zijn verantwoordelijk voor het adviseren over post-quantum algoritmen, het evalueren van nieuwe cryptografische standaarden zoals NIST PQC standaarden, en het ondersteunen bij cryptografische transities. Cloud architects zijn verantwoordelijk voor het ontwerpen van de cryptografische abstractielaag en het zorgen dat quantum-resistant cryptografie wordt geĂŻntegreerd in de algehele cloud-architectuur. Security engineers zijn verantwoordelijk voor de technische implementatie en configuratie van cryptografische services en libraries met post-quantum ondersteuning. DevOps engineers zijn verantwoordelijk voor het integreren van quantum-resistant cryptografie in CI/CD-pipelines en het zorgen dat cryptografische configuraties worden gedocumenteerd en gemonitord. Operations teams zijn verantwoordelijk voor het dagelijks beheer en monitoring van cryptografische configuraties. Zonder deze duidelijke verdeling ontstaat verwarring over wie verantwoordelijk is voor welke aspecten, wat kan leiden tot gaten in de quantum-resistant cryptografie-implementatie of overlappende inspanningen.

Tot slot vereist quantum-resistant cryptografie een volwassen proces voor continue monitoring, evaluatie en verbetering. Cryptografische configuraties zijn niet statisch maar moeten regelmatig worden geëvalueerd op effectiviteit, bijgewerkt op basis van nieuwe cryptografische standaarden zoals NIST PQC standaarden en opkomende bedreigingen zoals quantum computing, en getest om te verifiëren dat zij nog steeds functioneren zoals bedoeld. Dit vereist vaste planningsmomenten in de governancekalender, waarin cryptografische configuraties worden gereviewd, nieuwe cryptografische standaarden worden geëvalueerd, en cryptografische transities naar post-quantum algoritmen worden gepland. Daarnaast moeten er processen zijn voor het reageren op cryptografische kwetsbaarheden waarbij wordt geanalyseerd welke configuraties moeten worden gewijzigd en hoe cryptografische transities snel kunnen worden uitgevoerd. Alleen met een dergelijk continu verbeterproces blijft quantum-resistant cryptografie effectief in de tijd en kunnen organisaties proactief reageren op nieuwe cryptografische ontwikkelingen en bedreigingen zoals quantum computing.

Implementatie

Gebruik PowerShell-script quantum-resistant-cryptography.ps1 (functie Invoke-Implementation) – Valideert en implementeert quantum-resistant cryptografie controles in Azure-omgevingen.

De implementatie van quantum-resistant cryptografie in Azure begint met het opstellen van een gedetailleerd implementatieplan dat alle vijf pijlers omvat en prioriteert op basis van risico en kritiekheid van services. Het plan moet per pijler beschrijven welke Azure-services worden ingezet, welke configuraties worden toegepast, welke services worden beschermd en in welke volgorde de implementatie plaatsvindt. In de praktijk wordt vaak begonnen met de fundamenten – cryptografische inventarisatie en evaluatie van post-quantum algoritmen – omdat deze pijlers de basis vormen voor alle andere quantum-resistant cryptografie. Vervolgens worden hybride cryptografische implementaties en cryptografische flexibiliteit geïmplementeerd, gevolgd door compliance-documentatie om alle pijlers te kunnen documenteren en auditen.

De eerste pijler – cryptografische inventarisatie – wordt geïmplementeerd door alle cryptografische implementaties binnen de Azure-omgeving te inventariseren en te documenteren. Organisaties gebruiken Azure Resource Graph queries om alle services te identificeren die cryptografie gebruiken, Azure Policy om cryptografische configuraties te detecteren en af te dwingen, en geautomatiseerde scripts om cryptografische algoritmen, sleutellengtes en configuraties te inventariseren. De inventarisatie moet worden opgeslagen in een centrale documentatie-repository en regelmatig worden bijgewerkt wanneer nieuwe services worden geconfigureerd of wanneer cryptografische configuraties worden gewijzigd. Deze pijler vormt de eerste verdedigingslinie voor quantum-resistant cryptografie en is essentieel omdat cryptografische inventarisatie het mogelijk maakt om te bepalen welke services prioriteit hebben voor migratie naar post-quantum cryptografie en welke impact wijzigingen zullen hebben op de beschikbaarheid en functionaliteit van systemen.

De tweede pijler – evaluatie en selectie van post-quantum algoritmen – wordt geïmplementeerd door organisaties te laten evalueren welke NIST-standaardiseerde post-quantum algoritmen geschikt zijn voor hun use cases. Organisaties moeten rekening houden met factoren zoals prestaties, compatibiliteit, beveiligingsgaranties, en ondersteuning in Azure-services en libraries. NIST heeft verschillende post-quantum algoritmen gestandaardiseerd, waaronder CRYSTALS-Kyber voor key encapsulation, CRYSTALS-Dilithium voor digitale handtekeningen, en SPHINCS+ voor digitale handtekeningen. Organisaties moeten deze algoritmen evalueren in testomgevingen voordat zij worden geïmplementeerd in productie, waarbij organisaties moeten verifiëren dat algoritmen correct functioneren, dat prestaties acceptabel zijn, en dat compatibiliteit met bestaande systemen wordt gewaarborgd. Deze pijler voorkomt dat organisaties post-quantum algoritmen implementeren zonder adequate evaluatie en maakt het mogelijk om de juiste algoritmen te selecteren voor verschillende use cases.

De derde pijler – hybride cryptografische implementaties – wordt geïmplementeerd door organisaties zowel klassieke als post-quantum algoritmen parallel te laten gebruiken tijdens de transitieperiode. Dit biedt extra beveiliging omdat gegevens worden beschermd door zowel klassieke als post-quantum algoritmen, waardoor organisaties beschermd blijven tegen zowel huidige als toekomstige bedreigingen. Hybride cryptografie kan worden geïmplementeerd op verschillende niveaus: op applicatieniveau waarbij applicaties zowel klassieke als post-quantum encryptie gebruiken, op protocolniveau waarbij protocollen zoals TLS hybride key exchange ondersteunen, en op infrastructuurniveau waarbij Azure-services hybride cryptografische configuraties ondersteunen. Deze pijler zorgt ervoor dat organisaties geleidelijk kunnen migreren naar post-quantum cryptografie zonder dat zij volledig afhankelijk zijn van nieuwe algoritmen die mogelijk nog niet volledig zijn getest of gestandaardiseerd.

De vierde pijler – cryptografische flexibiliteit en migratieplanning – wordt geïmplementeerd door processen en architectuur op te zetten voor het plannen, testen en uitvoeren van cryptografische transities naar post-quantum algoritmen. Azure DevOps wordt gebruikt voor het beheren van transitie-projecten, het documenteren van transitie-plannen, en het coördineren van wijzigingen tussen verschillende teams. Geïsoleerde testomgevingen worden ingericht in Azure waarin cryptografische transities kunnen worden getest zonder impact op productie-omgevingen. Test-scenarios worden ontwikkeld voor verschillende typen cryptografische transities, zoals het migreren naar post-quantum algoritmen, het implementeren van hybride cryptografie, of het upgraden van cryptografische libraries. Rollback-procedures worden gedocumenteerd zodat transities kunnen worden teruggedraaid indien problemen optreden. Deze pijler zorgt ervoor dat cryptografische transities veilig en gecontroleerd kunnen worden uitgevoerd zonder onnodige verstoringen van productie-services.

De vijfde pijler – compliance-documentatie en audit trails – wordt geïmplementeerd door alle cryptografische beslissingen, configuraties en wijzigingen te documenteren in een centrale documentatie-repository. Azure Blueprints wordt gebruikt voor het documenteren en afdwingen van cryptografische configuraties als onderdeel van compliance-frameworks. Azure Policy wordt gebruikt om cryptografische configuraties te valideren en te rapporteren over compliance-status. Diagnostische logging wordt ingeschakeld voor alle cryptografische services om volledige audit trails te creëren van alle cryptografische operaties. Compliance-rapportages worden gegenereerd die aantonen dat cryptografische configuraties voldoen aan NIS2, BIO en andere compliance-vereisten. Deze pijler zorgt ervoor dat organisaties kunnen aantonen dat zij quantum-resistant cryptografie hebben geïmplementeerd en dat cryptografische configuraties voldoen aan compliance-vereisten tijdens audits en assessments.

Compliance en Auditing

Quantum-resistant cryptografie is niet alleen een best practice voor toekomstbestendige beveiliging, maar een expliciete eis vanuit verschillende nationale en internationale kaders die gelden voor Nederlandse overheidsorganisaties en andere vitale of belangrijke entiteiten. De NIS2-richtlijn verlangt dat organisaties passende technische en organisatorische maatregelen treffen voor risicobeheersing en beveiliging, waarbij wordt benadrukt dat beveiliging moet worden toegepast op basis van risicoanalyse en dat organisaties moeten kunnen reageren op opkomende bedreigingen zoals quantum computing. Dit betekent concreet dat organisaties niet kunnen volstaan met statische cryptografische configuraties, maar moeten kunnen aantonen dat zij een proces hebben voor quantum-resistant cryptografie dat hen in staat stelt om snel te reageren op nieuwe cryptografische kwetsbaarheden en bedreigingen. Het hier beschreven quantum-resistant cryptografie-raamwerk levert precies dat aantoonbare spoor: van cryptografische inventarisatie via evaluatie en selectie van post-quantum algoritmen tot hybride implementaties en compliance-documentatie.

Het BIO-raamwerk benadrukt in thema 6 (Cryptografie) dat overheidsorganisaties structureel moeten bepalen welke cryptografische maatregelen nodig zijn en hoe deze worden geĂŻmplementeerd en gemonitord op basis van risicoanalyse. In moderne omgevingen betekent dit dat organisaties moeten kunnen aantonen dat zij quantum-resistant cryptografie hebben geĂŻmplementeerd die hen in staat stelt om snel te reageren op nieuwe cryptografische ontwikkelingen en bedreigingen zoals quantum computing. Door quantum-resistant cryptografie te integreren in hetzelfde beveiligingskader en dezelfde governancecyclus als andere beveiligingsmaatregelen, kan de organisatie aan auditors laten zien dat cryptografie niet als statische configuratie wordt behandeld, maar als een dynamisch en evoluerend aspect van de beveiligingsarchitectuur. Specifiek vereist BIO dat organisaties kunnen aantonen dat zij passende cryptografische maatregelen toepassen die rekening houden met de stand van de techniek en opkomende bedreigingen, wat zonder quantum-resistant cryptografie vrijwel onmogelijk is.

De AVG speelt ook een rol in quantum-resistant cryptografie, met name waar het gaat om verwerking van persoonsgegevens en de vereisten voor passende technische en organisatorische maatregelen. Artikel 32 verplicht organisaties tot het nemen van passende technische en organisatorische maatregelen op basis van een risicoanalyse, waarbij wordt benadrukt dat maatregelen moeten worden gelaagd en moeten kunnen worden aangepast aan nieuwe bedreigingen. In de context van cryptografie betekent dit onder meer dat organisaties moeten kunnen aantonen dat zij cryptografische configuraties kunnen aanpassen wanneer nieuwe kwetsbaarheden worden ontdekt of wanneer nieuwe cryptografische standaarden zoals post-quantum algoritmen beschikbaar komen. Quantum-resistant cryptografie maakt het mogelijk om snel te reageren op cryptografische kwetsbaarheden die kunnen leiden tot ongeautoriseerde toegang tot persoonsgegevens, wat essentieel is voor AVG-compliance. Bovendien vereist AVG dat organisaties kunnen aantonen dat zij passende maatregelen hebben getroffen om persoonsgegevens te beschermen, wat zonder quantum-resistant cryptografie moeilijk is wanneer cryptografische configuraties verouderd of kwetsbaar worden voor quantum computing aanvallen.

Auditors – zowel interne auditdiensten als externe toezichthouders – verwachten steeds vaker dat organisaties een proces hebben voor quantum-resistant cryptografie dat hen in staat stelt om te reageren op nieuwe cryptografische ontwikkelingen en bedreigingen zoals quantum computing. Het beschreven quantum-resistant cryptografie-raamwerk biedt hiervoor een duidelijke kapstok. Voor auditdoeleinden is het essentieel dat de organisatie kan laten zien dat: er een formeel vastgesteld cryptografisch beleid is dat quantum-resistant cryptografie adresseert; alle vijf pijlers zijn geïmplementeerd en gemonitord; cryptografische configuraties zijn gedocumenteerd en geïnventariseerd; transitieprocessen naar post-quantum algoritmen zijn gedocumenteerd en getest; en dat cryptografische beslissingen en wijzigingen traceerbaar zijn naar concrete besluiten en acties. Het gebruik van gestandaardiseerde formats, centrale opslag van configuraties en systematische koppeling met compliance-dashboards is hierbij onmisbaar. Het PowerShell-script uit dit artikel kan aanvullend worden gebruikt als bron van objectief bewijsmateriaal over de technische inrichting van quantum-resistant cryptografie in de Azure-tenant, bijvoorbeeld om te onderbouwen dat er daadwerkelijk quantum-resistant cryptografie-controles zijn geïmplementeerd en dat deze correct functioneren.

Monitoring

Gebruik PowerShell-script quantum-resistant-cryptography.ps1 (functie Invoke-Monitoring) – Monitort de status van quantum-resistant cryptografie controles en rapporteert cryptografische configuraties.

Effectieve monitoring van quantum-resistant cryptografie in Azure is essentieel om te waarborgen dat alle pijlers correct blijven functioneren en dat cryptografische configuraties tijdig kunnen worden aangepast aan nieuwe standaarden en bedreigingen zoals quantum computing. Monitoring richt zich niet alleen op individuele pijlers, maar vooral ook op de samenhang tussen pijlers en de algehele cryptografische postuur van de organisatie met betrekking tot post-quantum cryptografie. In de praktijk betekent dit dat de organisatie een beperkt aantal kernindicatoren definieert – Key Quantum-Resistant Cryptography Indicators (KQCI's) – die periodiek worden gemeten en gerapporteerd aan CISO, CIO en bestuur. Voor elke pijler worden specifieke metrics gedefinieerd die aangeven of de pijler effectief functioneert en of quantum-resistant cryptografie wordt bereikt.

Voor de cryptografische inventarisatiepijler worden metrics gemeten zoals het percentage services met gedocumenteerde cryptografische configuraties, het aantal services met geïdentificeerde klassieke algoritmen die kwetsbaar zijn voor quantum computing, het percentage services met prioritering voor migratie naar post-quantum cryptografie, en het aantal cryptografische configuraties dat regelmatig wordt bijgewerkt. Voor de evaluatie en selectiepijler worden metrics gemeten zoals het aantal geëvalueerde post-quantum algoritmen, het aantal geselecteerde post-quantum algoritmen voor verschillende use cases, het percentage services met post-quantum algoritmen geëvalueerd in testomgevingen, en het aantal post-quantum algoritmen dat is goedgekeurd voor productiegebruik. Voor de hybride cryptografische implementatiepijler worden metrics gemeten zoals het percentage services met hybride cryptografische configuraties, het aantal services met zowel klassieke als post-quantum algoritmen parallel, het percentage gegevens dat wordt beschermd door hybride cryptografie, en het aantal services met hybride key exchange geconfigureerd. Voor de cryptografische flexibiliteit en migratieplanningpijler worden metrics gemeten zoals het aantal geplande cryptografische transities naar post-quantum algoritmen, het aantal uitgevoerde cryptografische transities, het aantal geteste cryptografische transities, en de gemiddelde tijd voor cryptografische transities. Voor de compliance-documentatiepijler worden metrics gemeten zoals het percentage cryptografische beslissingen dat is gedocumenteerd, het aantal cryptografische configuratiewijzigingen met audit trails, het percentage services met compliance-rapportages, en het aantal cryptografische assessments die zijn uitgevoerd.

Een belangrijk onderdeel van monitoring is het creëren van geïntegreerde dashboards die de status van alle quantum-resistant cryptografie-pijlers samenbrengen in één overzichtelijk beeld. In plaats van afzonderlijke dashboards per pijler, wordt informatie samengebracht in een centraal quantum-resistant cryptografie-dashboard dat laat zien hoe de verschillende pijlers samenwerken en waar potentiële zwaktes bestaan. Dit dashboard moet niet alleen technische details tonen, maar vooral ook risico-indicatoren die begrijpelijk zijn voor bestuurders en niet-technische stakeholders. Binnen Nederlandse overheidsorganisaties sluit dit aan bij de behoefte aan overzichtelijke rapportages die voldoen aan NIS2- en BIO-verplichtingen voor security reporting. Het dashboard moet bijvoorbeeld duidelijk maken welke services gebruik maken van klassieke algoritmen die kwetsbaar zijn voor quantum computing, welke cryptografische transities naar post-quantum algoritmen zijn gepland, en wat de compliance-status is van cryptografische configuraties.

De monitoringfunctie moet ook concrete drempelwaarden en escalatiepaden definiëren. Voor elke KQCI wordt vastgelegd bij welke waarde het risiconiveau verandert – bijvoorbeeld van 'aanvaardbaar' naar 'zorgelijk' of 'onacceptabel' – en welke acties dan vereist zijn. Dit kan variëren van het verplicht opstellen van een verbeterplan binnen een maand, via het tijdelijk blokkeren van nieuwe services die niet voldoen aan quantum-resistant cryptografie-standaarden, tot het escaleren naar de CISO of het bestuurlijke crisisteam bij zeer ernstige cryptografische kwetsbaarheden. Deze drempelwaarden worden afgestemd op de bestaande risicobereidheid van de organisatie en op wettelijke vereisten vanuit NIS2 en BIO. Bijvoorbeeld, wanneer meer dan 20% van de services gebruik maakt van klassieke algoritmen die kwetsbaar zijn voor quantum computing zonder migratieplan, moet er een verplicht verbeterplan worden opgesteld. Wanneer meer dan 50% van de services gebruik maakt van kwetsbare algoritmen zonder migratieplan, moet dit worden geëscaleerd naar het bestuur.

Tot slot vereist monitoring een nauwe koppeling tussen de dagelijkse operationele securityprocessen – zoals cryptografische scanning, vulnerability assessments, en incident response – en de meerjarige cryptografische sturing met betrekking tot post-quantum cryptografie. Operationele teams leveren signalen over concrete cryptografische kwetsbaarheden, nieuwe cryptografische standaarden zoals NIST PQC standaarden, en ontdekt gebruik van klassieke algoritmen die kwetsbaar zijn voor quantum computing. Deze signalen moeten systematisch worden geanalyseerd om te bepalen of zij duiden op structurele tekortkomingen in quantum-resistant cryptografie of de configuratie daarvan. Wanneer bijvoorbeeld meerdere incidenten wijzen op onvoldoende quantum-resistant cryptografie of verouderde cryptografische configuraties, moet dit leiden tot een herziening van de relevante pijlers en verbetermaatregelen. Het PowerShell-script dat bij dit artikel hoort, kan dienen als technisch hulpmiddel om op vaste momenten kernstatistieken uit Azure op te halen – zoals het percentage services met post-quantum algoritmen, het aantal services met hybride cryptografie, de cryptografische compliance-status, en het aantal geplande transities – en die als bijlage toe te voegen aan periodieke security rapportages. Zo ontstaat een gesloten feedbacklus tussen monitoring, analyse en bijsturing.

Remediatie

Gebruik PowerShell-script quantum-resistant-cryptography.ps1 (functie Invoke-Remediation) – Identificeert en herstelt ontbrekende of zwakke quantum-resistant cryptografie-controles.

Wanneer uit audits, incidenten of periodieke assessments blijkt dat quantum-resistant cryptografie onvoldoende is geĂŻmplementeerd of dat bepaalde pijlers zwak zijn, is een gestructureerd remediatieproces noodzakelijk om het quantum-resistant cryptografie-niveau snel en gecontroleerd te verhogen. De eerste stap in dit proces is het uitvoeren van een gap-analyse ten opzichte van het gewenste quantum-resistant cryptografie-raamwerk: welke pijlers zijn al aanwezig en correct geconfigureerd, welke pijlers zijn gedeeltelijk geĂŻmplementeerd maar hebben tekortkomingen, en welke pijlers ontbreken volledig? Deze gap-analyse wordt idealiter uitgevoerd door een multidisciplinair team bestaande uit CISO, cryptografische experts, cloud architect, security engineers, DevOps engineers en vertegenwoordigers uit de business. Het resultaat is een overzicht van concrete tekortkomingen per quantum-resistant cryptografie-pijler, geprioriteerd op basis van risico en compliance-impact.

Vervolgens wordt per tekortkoming een gerichte remediatiestrategie bepaald. Ontbreekt bijvoorbeeld de cryptografische inventarisatiepijler volledig, dan is de remediatie het inrichten van een project waarin alle cryptografische implementaties worden geïnventariseerd, gedocumenteerd en geprioriteerd voor migratie naar post-quantum cryptografie. Is de evaluatie en selectiepijler gedeeltelijk aanwezig maar ontbreken geëvalueerde post-quantum algoritmen, dan ligt de nadruk op het evalueren en selecteren van geschikte post-quantum algoritmen voor verschillende use cases. In situaties waarin meerdere pijlers zwak zijn – wat zeker bij organisaties zonder eerdere focus op quantum-resistant cryptografie vaak voorkomt – moet een gefaseerde aanpak worden gevolgd waarbij eerst de fundamenten (cryptografische inventarisatie en evaluatie) worden versterkt, gevolgd door hybride implementaties en cryptografische flexibiliteit, en tot slot compliance-documentatie.

Een belangrijk remediatiepad betreft het herstellen van ontbrekende of zwakke hybride cryptografische implementaties. Wanneer de derde pijler onvoldoende is geĂŻmplementeerd, kunnen organisaties niet profiteren van de extra beveiliging die hybride cryptografie biedt en kunnen zij niet geleidelijk migreren naar post-quantum algoritmen. Remediatie betekent in dit geval het implementeren van hybride cryptografische configuraties waarbij zowel klassieke als post-quantum algoritmen parallel worden gebruikt, het configureren van hybride key exchange in protocollen zoals TLS, en het testen van hybride cryptografische configuraties in testomgevingen voordat zij in productie worden geĂŻmplementeerd. Zonder adequate hybride cryptografische implementaties blijven organisaties kwetsbaar voor toekomstige quantum computing aanvallen en kunnen zij niet profiteren van de extra beveiliging die hybride cryptografie biedt.

Technisch gezien kan remediatie ook bestaan uit het herstructureren van de cryptografische architectuur om quantum-resistant cryptografie beter te kunnen afdwingen. Denk aan het centraliseren van cryptografische operaties in shared libraries of microservices met post-quantum ondersteuning, het implementeren van Azure Policy om quantum-resistant cryptografische configuraties consistent af te dwingen, of het migreren van applicaties naar cryptografische abstractielibraries met post-quantum ondersteuning. Deze stappen moeten altijd worden uitgevoerd op basis van een gedetailleerd migratieplan, inclusief impactanalyse, fallbackscenario's en communicatie met betrokken teams. Quantum-resistant cryptografie betekent in dit verband dat herstructurering niet alleen wordt bekeken vanuit technische optimalisatie, maar vooral vanuit de vraag: vergroot dit de quantum-resistant cryptografie en stelt dit organisaties in staat om snel te reageren op nieuwe cryptografische ontwikkelingen en bedreigingen zoals quantum computing?

Tot slot moet elke remediatie-inspanning worden afgesloten met een expliciete evaluatie en bijstelling van het quantum-resistant cryptografie-raamwerk. De lessen uit incidenten en audits – bijvoorbeeld een cryptografische kwetsbaarheid die heeft geleid tot een security incident of onvoldoende quantum-resistant cryptografie die heeft geleid tot compliance-problemen – moeten structureel worden verwerkt in de cryptografische architectuur, configuraties en procedures. Het is raadzaam om na afronding van een remediatieprogramma een integrale cryptografische assessment te laten uitvoeren door een interne auditdienst of een onafhankelijke derde, zodat kan worden vastgesteld of het nieuwe niveau van quantum-resistant cryptografie daadwerkelijk in lijn is met NIS2, BIO en de verwachtingen van het bestuur. De uitkomsten hiervan worden vastgelegd in cryptografische documentatie en vormen het nieuwe vertrekpunt voor de reguliere cyclus van monitoring en verbetering.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# ================================================================================ AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud ================================================================================ .SYNOPSIS Quantum-Resistant Cryptografie: Voorbereiding op Post-Quantum Cryptografische Standaarden .DESCRIPTION Controleert en implementeert quantum-resistant cryptografie in Azure-omgevingen door te valideren dat cryptografische configuraties voorbereid zijn op post-quantum cryptografische standaarden en bescherming bieden tegen quantum computing aanvallen. .NOTES Filename: quantum-resistant-cryptography.ps1 Author: Nederlandse Baseline voor Veilige Cloud Version: 1.0 Related JSON: content/azure/security/quantum-resistant-cryptography.json CIS Control: 2.1.19 BIO Controls: 6.01.01, 6.02.01, 12.01.01 ISO 27001: A.8.24, A.12.1.1 NIS2 Article: 21 AVG Articles: 25, 32 #> #Requires -Version 5.1 #Requires -Modules Az.Accounts, Az.KeyVault, Az.Resources, Az.Security [CmdletBinding()] param( [Parameter()][switch]$WhatIf, [Parameter()][switch]$Monitoring, [Parameter()][switch]$Remediation, [Parameter()][switch]$Revert ) $ErrorActionPreference = 'Stop' $VerbosePreference = 'Continue' $PolicyName = "Quantum-Resistant Cryptografie" function Connect-RequiredServices { try { if (-not (Get-AzContext)) { Connect-AzAccount -ErrorAction Stop | Out-Null } Write-Verbose "Verbonden met Azure" } catch { throw "Failed to connect to Azure: $_" } } function Test-Compliance { Write-Verbose "Testing compliance for: $PolicyName..." $result = [PSCustomObject]@{ ScriptName = "quantum-resistant-cryptography" PolicyName = $PolicyName IsCompliant = $false TotalKeyVaults = 0 KeyVaultsWithPQCReadiness = 0 TotalKeys = 0 KeysInKeyVault = 0 KeysWithModernAlgorithms = 0 KeysWithHybridCrypto = 0 CryptographicInventory = @{ KeyVaults = 0 StorageAccounts = 0 SqlDatabases = 0 CosmosDbAccounts = 0 VMs = 0 } WeakCryptography = @{ OutdatedTLS = 0 WeakCiphers = 0 ShortKeyLengths = 0 DeprecatedAlgorithms = 0 QuantumVulnerableAlgorithms = 0 } PostQuantumReadiness = @{ InventoryCompleted = $false AlgorithmsEvaluated = 0 HybridCryptoConfigured = 0 MigrationPlansDocumented = 0 } Details = @() Recommendations = @() } try { # Check Azure Key Vaults for quantum-resistant cryptography readiness $keyVaults = Get-AzKeyVault -ErrorAction SilentlyContinue $result.TotalKeyVaults = $keyVaults.Count $result.CryptographicInventory.KeyVaults = $keyVaults.Count foreach ($vault in $keyVaults) { Set-AzContext -SubscriptionId $vault.ResourceId.Split('/')[2] -ErrorAction SilentlyContinue | Out-Null try { # Check if Key Vault is Premium SKU (required for advanced features and future PQC support) $vaultDetail = Get-AzKeyVault -VaultName $vault.VaultName -ResourceGroupName $vault.ResourceGroupName -ErrorAction SilentlyContinue $isPremium = $vaultDetail.Sku -eq 'Premium' # Get keys from Key Vault $keys = Get-AzKeyVaultKey -VaultName $vault.VaultName -ErrorAction SilentlyContinue $result.TotalKeys += $keys.Count foreach ($key in $keys) { $result.KeysInKeyVault++ try { $keyDetail = Get-AzKeyVaultKey -VaultName $vault.VaultName -Name $key.Name -ErrorAction SilentlyContinue # Check for modern algorithms (RSA-2048 or higher, ECDSA P-256 or higher) $keySize = if ($keyDetail.KeySize) { $keyDetail.KeySize } else { 0 } $keyType = $keyDetail.KeyType if (($keyType -eq 'RSA' -and $keySize -ge 2048) -or ($keyType -eq 'EC' -and $keySize -ge 256) -or ($keyType -like '*HSM*')) { $result.KeysWithModernAlgorithms++ } else { $result.WeakCryptography.ShortKeyLengths++ $result.WeakCryptography.QuantumVulnerableAlgorithms++ $result.Details += "⚠ Key '$($key.Name)' in vault '$($vault.VaultName)' heeft verouderde sleutellengte: $keyType $keySize (kwetsbaar voor quantum computing)" } # Note: Current Azure Key Vault doesn't yet support post-quantum algorithms natively # This check validates readiness for future PQC support if ($isPremium) { $result.Details += "✓ Key Vault '$($vault.VaultName)': Premium SKU - Gereed voor toekomstige post-quantum cryptografie ondersteuning" } } catch { Write-Verbose "Kon sleutel details niet ophalen voor '$($key.Name)' in '$($vault.VaultName)': $_" } } if ($isPremium -and $keys.Count -gt 0) { $result.KeyVaultsWithPQCReadiness++ $result.Details += "✓ Key Vault '$($vault.VaultName)': Premium SKU met $($keys.Count) sleutel(s) - Gereed voor post-quantum cryptografie" } elseif (-not $isPremium) { $result.Details += "✗ Key Vault '$($vault.VaultName)': Standard SKU - Upgrade naar Premium voor toekomstige post-quantum cryptografie ondersteuning" $result.Recommendations += "Upgrade Key Vault '$($vault.VaultName)' naar Premium SKU voor ondersteuning van geavanceerde cryptografische functies en toekomstige post-quantum cryptografie" } } catch { $result.Details += "✗ Key Vault '$($vault.VaultName)': Fout bij controleren - $($_.Exception.Message)" } } # Check Storage Accounts for cryptographic configuration $subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' } foreach ($sub in $subscriptions) { Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null try { $storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue $result.CryptographicInventory.StorageAccounts += $storageAccounts.Count foreach ($sa in $storageAccounts) { # Check for customer-managed keys (CMK) - indicator of cryptographic agility and PQC readiness if ($sa.Encryption.KeySource -eq 'Microsoft.Keyvault') { $result.Details += "✓ Storage Account '$($sa.StorageAccountName)': Gebruikt Customer-Managed Keys - Gereed voor post-quantum cryptografie migratie" } else { $result.Details += "⚠ Storage Account '$($sa.StorageAccountName)': Gebruikt Microsoft-Managed Keys - Overweeg CMK voor cryptografische flexibiliteit en post-quantum cryptografie voorbereiding" } } } catch { Write-Verbose "Kon storage accounts niet ophalen voor subscription '$($sub.Name)': $_" } } # Determine compliance $complianceScore = 0 $maxScore = 5 if ($result.TotalKeyVaults -gt 0) { if ($result.KeyVaultsWithPQCReadiness -eq $result.TotalKeyVaults) { $complianceScore++ } if ($result.KeysInKeyVault -gt 0) { $complianceScore++ } if ($result.KeysWithModernAlgorithms -gt ($result.KeysInKeyVault * 0.8)) { $complianceScore++ } if ($result.WeakCryptography.QuantumVulnerableAlgorithms -eq 0) { $complianceScore++ } if ($result.CryptographicInventory.KeyVaults -gt 0) { $complianceScore++ } } if ($complianceScore -ge 4 -and $result.TotalKeyVaults -gt 0) { $result.IsCompliant = $true } elseif ($result.TotalKeyVaults -eq 0) { $result.IsCompliant = $false $result.Recommendations += "Geen Key Vaults gevonden - Implementeer Azure Key Vault Premium voor quantum-resistant cryptografie voorbereiding" } else { $result.IsCompliant = $false $result.Recommendations += "Quantum-resistant cryptografie vereist verbetering - Zie details voor specifieke aanbevelingen" } # Add specific recommendations if ($result.WeakCryptography.QuantumVulnerableAlgorithms -gt 0) { $result.Recommendations += "$($result.WeakCryptography.QuantumVulnerableAlgorithms) sleutel(s) met algoritmen kwetsbaar voor quantum computing - Plan migratie naar post-quantum cryptografie" } if ($result.WeakCryptography.ShortKeyLengths -gt 0) { $result.Recommendations += "$($result.WeakCryptography.ShortKeyLengths) sleutel(s) met verouderde sleutellengte - Migreer naar moderne algoritmen (RSA-2048+, ECDSA P-256+)" } if ($result.KeyVaultsWithPQCReadiness -lt $result.TotalKeyVaults) { $result.Recommendations += "Upgrade alle Key Vaults naar Premium SKU voor toekomstige post-quantum cryptografie ondersteuning" } if (-not $result.PostQuantumReadiness.InventoryCompleted) { $result.Recommendations += "Voer een volledige cryptografische inventarisatie uit om alle services te identificeren die migratie naar post-quantum cryptografie vereisen" } } catch { $result.Details += "ERROR: $($_.Exception.Message)" $result.IsCompliant = $false } return $result } function Invoke-Monitoring { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "`nCryptografische Inventarisatie:" -ForegroundColor Yellow Write-Host " Key Vaults: $($result.CryptographicInventory.KeyVaults)" -ForegroundColor $(if ($result.CryptographicInventory.KeyVaults -gt 0) { 'Green' } else { 'Yellow' }) Write-Host " Storage Accounts: $($result.CryptographicInventory.StorageAccounts)" -ForegroundColor White Write-Host " SQL Databases: $($result.CryptographicInventory.SqlDatabases)" -ForegroundColor White Write-Host " Cosmos DB Accounts: $($result.CryptographicInventory.CosmosDbAccounts)" -ForegroundColor White Write-Host "`nKey Vault Status:" -ForegroundColor Yellow Write-Host " Totaal Key Vaults: $($result.TotalKeyVaults)" -ForegroundColor White Write-Host " Gereed voor post-quantum cryptografie: $($result.KeyVaultsWithPQCReadiness)/$($result.TotalKeyVaults)" -ForegroundColor $(if ($result.KeyVaultsWithPQCReadiness -eq $result.TotalKeyVaults -and $result.TotalKeyVaults -gt 0) { 'Green' } else { 'Yellow' }) Write-Host " Totaal sleutels: $($result.TotalKeys)" -ForegroundColor White Write-Host " Sleutels in Key Vault: $($result.KeysInKeyVault)" -ForegroundColor White Write-Host " Met moderne algoritmen: $($result.KeysWithModernAlgorithms)" -ForegroundColor $(if ($result.KeysWithModernAlgorithms -gt ($result.KeysInKeyVault * 0.8)) { 'Green' } else { 'Yellow' }) Write-Host "`nQuantum Computing Kwetsbaarheden:" -ForegroundColor Yellow Write-Host " Kwetsbare algoritmen: $($result.WeakCryptography.QuantumVulnerableAlgorithms)" -ForegroundColor $(if ($result.WeakCryptography.QuantumVulnerableAlgorithms -eq 0) { 'Green' } else { 'Red' }) Write-Host " Verouderde sleutellengtes: $($result.WeakCryptography.ShortKeyLengths)" -ForegroundColor $(if ($result.WeakCryptography.ShortKeyLengths -eq 0) { 'Green' } else { 'Red' }) Write-Host " Verouderde TLS-versies: $($result.WeakCryptography.OutdatedTLS)" -ForegroundColor $(if ($result.WeakCryptography.OutdatedTLS -eq 0) { 'Green' } else { 'Yellow' }) Write-Host "`nPost-Quantum Cryptografie Voorbereiding:" -ForegroundColor Yellow Write-Host " Inventarisatie voltooid: $($result.PostQuantumReadiness.InventoryCompleted)" -ForegroundColor $(if ($result.PostQuantumReadiness.InventoryCompleted) { 'Green' } else { 'Yellow' }) Write-Host " Algoritmen geëvalueerd: $($result.PostQuantumReadiness.AlgorithmsEvaluated)" -ForegroundColor White Write-Host " Hybride cryptografie geconfigureerd: $($result.PostQuantumReadiness.HybridCryptoConfigured)" -ForegroundColor White Write-Host " Migratieplannen gedocumenteerd: $($result.PostQuantumReadiness.MigrationPlansDocumented)" -ForegroundColor White Write-Host "`nDetails:" -ForegroundColor Yellow foreach ($detail in $result.Details) { if ($detail -like "✓*") { Write-Host " $detail" -ForegroundColor Green } elseif ($detail -like "✗*") { Write-Host " $detail" -ForegroundColor Red } elseif ($detail -like "⚠*") { Write-Host " $detail" -ForegroundColor Yellow } else { Write-Host " $detail" -ForegroundColor Gray } } if ($result.Recommendations.Count -gt 0) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow foreach ($rec in $result.Recommendations) { Write-Host " • $rec" -ForegroundColor Cyan } } Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green Write-Host "`nQuantum-resistant cryptografie is correct geïmplementeerd." -ForegroundColor Green } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red Write-Host "`nQuantum-resistant cryptografie vereist verbetering." -ForegroundColor Red } Write-Host "`nBest Practices:" -ForegroundColor Cyan Write-Host " • Gebruik Azure Key Vault Premium voor alle cryptografische sleutels" -ForegroundColor Gray Write-Host " • Gebruik moderne algoritmen: RSA-2048+ of ECDSA P-256+" -ForegroundColor Gray Write-Host " • Voer een volledige cryptografische inventarisatie uit" -ForegroundColor Gray Write-Host " • Evalueer en selecteer post-quantum algoritmen voor verschillende use cases" -ForegroundColor Gray Write-Host " • Implementeer hybride cryptografie voor geleidelijke migratie" -ForegroundColor Gray Write-Host " • Documenteer alle cryptografische configuraties en migratieplannen" -ForegroundColor Gray Write-Host " • Plan voorbereiding op post-quantum cryptografie" -ForegroundColor Gray return $result } function Invoke-Remediation { Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "Quantum-Resistant Cryptografie - Remediatie" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan $result = Test-Compliance Write-Host "`nHuidige Status:" -ForegroundColor Yellow Write-Host " Key Vaults gereed voor post-quantum cryptografie: $($result.KeyVaultsWithPQCReadiness)/$($result.TotalKeyVaults)" -ForegroundColor $(if ($result.KeyVaultsWithPQCReadiness -eq $result.TotalKeyVaults) { 'Green' } else { 'Yellow' }) Write-Host " Sleutels met moderne algoritmen: $($result.KeysWithModernAlgorithms)/$($result.KeysInKeyVault)" -ForegroundColor $(if ($result.KeysWithModernAlgorithms -eq $result.KeysInKeyVault -and $result.KeysInKeyVault -gt 0) { 'Green' } else { 'Yellow' }) Write-Host " Kwetsbare algoritmen: $($result.WeakCryptography.QuantumVulnerableAlgorithms)" -ForegroundColor $(if ($result.WeakCryptography.QuantumVulnerableAlgorithms -eq 0) { 'Green' } else { 'Red' }) if ($result.KeyVaultsWithPQCReadiness -lt $result.TotalKeyVaults -or $result.WeakCryptography.QuantumVulnerableAlgorithms -gt 0) { Write-Host "`nAanbevelingen voor implementatie:" -ForegroundColor Cyan Write-Host " 1. Upgrade alle Key Vaults naar Premium SKU" -ForegroundColor Gray Write-Host " 2. Voer een volledige cryptografische inventarisatie uit" -ForegroundColor Gray Write-Host " 3. Evalueer en selecteer post-quantum algoritmen (NIST PQC standaarden)" -ForegroundColor Gray Write-Host " 4. Migreer verouderde sleutels naar moderne algoritmen (RSA-2048+, ECDSA P-256+)" -ForegroundColor Gray Write-Host " 5. Implementeer hybride cryptografie voor geleidelijke migratie" -ForegroundColor Gray Write-Host " 6. Documenteer alle cryptografische configuraties en migratieplannen" -ForegroundColor Gray Write-Host " 7. Plan voorbereiding op post-quantum cryptografie" -ForegroundColor Gray Write-Host "`nPowerShell commando's voor implementatie:" -ForegroundColor Cyan Write-Host " # Upgrade Key Vault naar Premium" -ForegroundColor Gray Write-Host " Update-AzKeyVault -VaultName '<VaultName>' -Sku Premium" -ForegroundColor White Write-Host "`n # Voer cryptografische inventarisatie uit" -ForegroundColor Gray Write-Host " # Gebruik Azure Resource Graph queries om alle cryptografische configuraties te identificeren" -ForegroundColor White Write-Host "`n # Evalueer post-quantum algoritmen" -ForegroundColor Gray Write-Host " # Raadpleeg NIST PQC standaarden: https://csrc.nist.gov/projects/post-quantum-cryptography" -ForegroundColor White } else { Write-Host "`n[OK] Quantum-resistant cryptografie is correct geïmplementeerd." -ForegroundColor Green } Write-Host "`nVoor continue monitoring:" -ForegroundColor Cyan Write-Host " • Gebruik dit script in Azure Automation runbooks (maandelijks)" -ForegroundColor Gray Write-Host " • Sla cryptografische inventarisatiedata op in Azure Log Analytics" -ForegroundColor Gray Write-Host " • Configureer Azure Monitor alerts bij kwetsbare cryptografie" -ForegroundColor Gray Write-Host " • Genereer kwartaalrapportages voor bestuurders" -ForegroundColor Gray Write-Host " • Review cryptografische configuraties regelmatig" -ForegroundColor Gray Write-Host " • Monitor NIST PQC standaardisatie voor nieuwe algoritmen" -ForegroundColor Gray return $result } function Invoke-Revert { Write-Host "`n⚠️ Quantum-resistant cryptografie uitschakelen wordt NIET aanbevolen" -ForegroundColor Red Write-Host "Dit creëert aanzienlijke beveiligingsrisico's en compliance-problemen." -ForegroundColor Red Write-Host "`nAls u cryptografische configuraties moet wijzigen:" -ForegroundColor Yellow Write-Host " • Raadpleeg eerst het cryptografisch beleid" -ForegroundColor Gray Write-Host " • Test wijzigingen in testomgevingen" -ForegroundColor Gray Write-Host " • Documenteer alle wijzigingen" -ForegroundColor Gray Write-Host " • Overweeg impact op compliance-vereisten" -ForegroundColor Gray Write-Host "`nHet wordt sterk aanbevolen om quantum-resistant cryptografie actief te houden.`n" -ForegroundColor Red } try { Connect-RequiredServices if ($Monitoring) { Invoke-Monitoring } elseif ($Remediation) { if ($WhatIf) { Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow $result = Test-Compliance Write-Host "Zou quantum-resistant cryptografie status rapporteren voor $($result.TotalKeyVaults) Key Vault(s)" -ForegroundColor Yellow Write-Host "Huidige status: $($result.KeyVaultsWithPQCReadiness) Key Vault(s) gereed voor post-quantum cryptografie" -ForegroundColor Yellow if ($result.KeyVaultsWithPQCReadiness -lt $result.TotalKeyVaults) { Write-Host "`nKey Vaults zonder post-quantum cryptografie voorbereiding:" -ForegroundColor Yellow $result.Details | Where-Object { $_ -like "✗*" } | ForEach-Object { Write-Host " $_" -ForegroundColor Gray } } } else { Invoke-Remediation } } elseif ($Revert) { Invoke-Revert } else { $result = Test-Compliance Write-Host "`n========================================" -ForegroundColor Cyan Write-Host "$PolicyName" -ForegroundColor Cyan Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan Write-Host "========================================" -ForegroundColor Cyan Write-Host "`nStatus: " -NoNewline -ForegroundColor White if ($result.IsCompliant) { Write-Host "[OK] COMPLIANT" -ForegroundColor Green } else { Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red } Write-Host "Key Vaults gereed voor post-quantum cryptografie: $($result.KeyVaultsWithPQCReadiness)/$($result.TotalKeyVaults)" -ForegroundColor White Write-Host "Kwetsbare algoritmen: $($result.WeakCryptography.QuantumVulnerableAlgorithms)" -ForegroundColor White if ($result.Recommendations.Count -gt 0) { Write-Host "`nAanbevelingen:" -ForegroundColor Yellow $result.Recommendations | Select-Object -First 3 | ForEach-Object { Write-Host " • $_" -ForegroundColor Cyan } } Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray Write-Host "Gebruik -Remediation voor implementatie aanbevelingen`n" -ForegroundColor Gray } } catch { Write-Error $_ exit 1 } finally { Write-Host "`n========================================`n" -ForegroundColor Cyan }

Risico zonder implementatie

Risico zonder implementatie
High: Zonder quantum-resistant cryptografie kunnen organisaties niet snel reageren op cryptografische kwetsbaarheden die verband houden met quantum computing, nieuwe cryptografische standaarden zoals post-quantum algoritmen, en opkomende bedreigingen. Dit leidt tot verhoogde risico's op datalekken, compliance-overtredingen en onvoldoende bescherming tegen moderne en toekomstige bedreigingen. Het risico is hoog en betreft zowel operationele als strategische aspecten van beveiliging.

Management Samenvatting

Quantum-resistant cryptografie stelt organisaties in staat om snel en efficiënt te reageren op cryptografische kwetsbaarheden die verband houden met quantum computing, nieuwe cryptografische standaarden zoals post-quantum algoritmen, en opkomende bedreigingen. Het raamwerk bestaat uit vijf pijlers: cryptografische inventarisatie, evaluatie en selectie van post-quantum algoritmen, hybride cryptografische implementaties, cryptografische flexibiliteit en migratieplanning, en compliance-documentatie. Essentieel voor NIS2 en BIO compliance en voorbereiding op post-quantum cryptografie. Implementatie: 150 uur (100 technisch, 50 organisatorisch). Doorlopend: 12 uur per maand (0,3 FTE) voor monitoring, evaluatie en transities.