Technical Standards

Cryptografie Standards en Key Management voor Overheidsorganisaties

📊 Operationeel 👥 Security Architects, Cryptography Specialists ⏱️ 33 min lezen
App Connectors CONNECTED 12 app connectors | API integration | Real-time monitoring 12 Connected
Executive Summary

Cryptografie is het fundament onder de Nederlandse Baseline voor Veilige Cloud. Overheidsorganisaties die persoonsgegevens, staatsgeheime bronnen en interbestuurlijke ketendata verwerken, leggen vast dat elke datastroom wordt beschermd met AES-256 voor opslag, TLS 1.3 voor transport, ECDSA P-384 of RSA-3072 voor authenticatie en SHA-384 of SHA-3 voor integriteitsbewaking. Deze standaarden zijn verankerd in beleidsdocumenten die terug te herleiden zijn tot BIO hoofdstuk 9, AVG artikel 32 en de cryptografie-eisen die de NIS2-richtlijn oplegt aan essentiële en belangrijke entiteiten. Door ze vast te leggen in architectuurprincipes, 'design reviews' en changeprocedures kunnen auditors op ieder moment reconstrueren welk algoritme actief was, welke sleutel erbij hoorde en wie het gebruik heeft goedgekeurd.

Een volwassen cryptografieprogramma bestaat niet alleen uit algoritmen, maar ook uit gecontroleerde werkprocessen. Hardware Security Modules met FIPS 140-3 Level 3 certificering verzorgen de sleutelgeneratie, opslag en ontsleuteling, terwijl Azure Key Vault, Microsoft Purview of een on-premises Key Management System de distributie richting workloads automatiseren. De koppeling met Security Operations Centers en forensische logging zorgt ervoor dat elke sleutelactie wordt vastgelegd, geanalyseerd en gekoppeld aan dreigingsjachten of incidentresponsroutines. Zo kan men aantonen dat misbruik wordt gedetecteerd binnen de detectietermijn die AVG, BIO en ENSIA audits vragen.

Budgetten en competenties zijn eveneens onderdeel van de aanpak. Organisaties reserveren tussen de 30.000 en 120.000 euro per jaar voor licenties, beheercontracten en opleiding van cryptobeheerders. Dual-control procedures, noodsleutelkluizen en post-quantum pilots worden integraal getest tijdens crisis- en herstel oefeningen, zodat een encryptie-uitrol geen papieren werkelijkheid is maar een bewezen praktijk die schaalbaar is over rijksdiensten, uitvoeringsorganisaties en gemeenten.

Cryptographic Algorithm Standards

Een toekomstvast cryptografieprogramma start met normerende principes die rechtstreeks zijn gekoppeld aan de Nederlandse Baseline voor Veilige Cloud. Architecten vertalen deze principes naar referentieontwerpen waarin iedere gegevensstroom wordt geclassificeerd, de bijpassende algoritmen worden benoemd en de verantwoordelijke eigenaar wordt vastgelegd. Dat betekent dat data in rust standaard wordt versleuteld met AES-256 in XTS- of GCM-modus, dat sleutelafleiding uitsluitend via door het NCSC goedgekeurde Key Derivation Functions plaatsvindt en dat elk platform (SQL, SharePoint Online, Azure Files, back-ups) periodiek wordt gescand op afwijkende configuraties. Voor gegevens in transit is TLS 1.3 de harde norm, inclusief streng beheer van cipher suites zoals TLS_AES_256_GCM_SHA384, certificate pinning voor kritieke API's en automatische blokkade van TLS 1.0/1.1 en verouderde ciphers.

Authenticatie en onweerlegbaarheid vragen om krachtige sleutelparen. Waar mogelijk kiest de overheid voor elliptische-curvehandtekeningen met ECDSA P-384; legacy-ketens die nog niet kunnen migreren volgen RSA-3072 met duidelijke uitfaseringsdata. Het PKIoverheid-beleid wordt vertaald naar certificate practice statements waarin eisen voor sleutelbescherming, timestamping en OCSP-antwoordtijden zijn uitgewerkt. Hashfuncties vormen de ruggengraat van logging en integriteitscontrole, waardoor SHA-384 of SHA-3 de voorkeurskeuze zijn voor nieuwe implementaties. Voor wachtwoorden geldt dat Argon2id of PBKDF2 met minimaal 310.000 iteraties wordt toegepast en dat salts en peppers centraal worden beheerd. Tegelijkertijd wordt een uitfaseringsprogramma opgezet dat DES, 3DES, RC4, MD5, SHA-1 en RSA-1024 binnen twaalf maanden verwijdert uit alle workloads en leverancierscontracten.

Sleutelbeheer verbindt beleid met uitvoering. Nieuwe sleutelmaterialen worden uitsluitend gegenereerd binnen FIPS 140-3 Level 3 gecertificeerde HSM's of Azure Dedicated HSM's met aantoonbare datalocatie in de EU. Elk sleutelobject wordt geregistreerd in een Key Management System dat API-koppelingen heeft met Microsoft Purview, Azure Key Vault, AKV Managed HSM en eventuele on-premises Luna-clusters. Het register bevat metadata zoals classificatie, eigenaar, toepassingsdomein, rotatiefrequentie en escrow-positie, waardoor auditors binnen seconden kunnen zien welke sleutel in welke applicatie actief is. Rotatie-intervallen zijn vastgelegd (bijvoorbeeld twaalf maanden voor TLS-certificaten, zes maanden voor code signing en 36 maanden voor data-encryptiesleutels) en worden bewaakt door automatische workflows met dual-control vrijgave.

Operationeel toezicht is noodzakelijk om misbruik tijdig te detecteren. SOC-analisten beschikken over near-real-time logging van sleutelgebruik, mislukte HSM-calls, policywijzigingen en exportpogingen. Deze telemetrie wordt opgenomen in Microsoft Sentinel, Splunk of Elastic zodat er use cases bestaan voor sleutelklonen, ongeautoriseerde sleutelverplaatsingen en afwijkende certificaatuitgifte. Jaarlijkse penetratietesten en purple team-oefeningen controleren of TLS-configuraties niet verzwakken door downgrade- of man-in-the-middle-aanvallen en of sleutelmateriaal nergens als platte tekst wordt gecachet. Daarnaast bevat elke leveranciersovereenkomst clausules over FIPS-certificering, auditrechten en incidentrespons, zodat SaaS- en cloudleveranciers aantoonbaar voldoen aan BIO Thema Cryptografie, Wbni/NIS2 en de Rijksbrede Cloudstrategie.

Vooruitkijken is onderdeel van het programma. Een post-quantum werkgroep test NIST PQC-finalisten zoals CRYSTALS-Kyber, CRYSTALS-Dilithium en Falcon in sandboxomgevingen, beoordeelt de impact op bestaande protocollen (bijvoorbeeld S/MIME, VPN, TLS terminators) en stelt migratiescenario's op die modulaire cryptobibliotheken en upgradable HSM-firmware gebruiken. Hierdoor kan de organisatie binnen de wettelijke overgangstermijnen omschakelen zonder diensten te onderbreken. De werkgroep rapporteert elk kwartaal aan de CIO en de CISO over cryptoperformance, hash-tussentijden en de mate waarin PQC-ready bibliotheken al in CI/CD-pijplijnen zijn opgenomen.

Governance zorgt ervoor dat cryptografie geen losstaand project blijft. CIO's en provinciale of gemeentelijke informatiemanagers reserveren budget voor licenties, onderhoud, lifecycle tooling en opleiding van cryptobeheerders. Change boards krijgen een vast cryptografisch beoordelingssjabloon waarin impact op ketenpartners, compliance-eisen en beschikbaarheid wordt beschreven. Tijdens jaarplannen worden KPI's zoals het percentage systemen met TLS 1.3, het aantal succesvolle sleutelrotaties, het aandeel FIPS 140-3 modules en de tijd tot revocation besproken in stuurgroepen. Door deze bestuurlijke borging kan een organisatie bij audits van de Autoriteit Persoonsgegevens, de Algemene Rekenkamer of een ENSIA-review exact aantonen welke controles draaien, waar uitzonderingen zitten en hoe die worden opgelost.

Organisaties die deze integrale aanpak volgen, bouwen een cryptografisch fundament dat niet alleen technisch hoogwaardig is maar ook bestuurbaar blijft tijdens crisis- en veranderportfolio's. Het programma sluit direct aan op de Nederlandse Baseline voor Veilige Cloud en maakt het mogelijk om innovaties zoals vertrouwelijke computing, homomorfe encryptie of post-quantum algoritmen stapsgewijs toe te voegen zonder de kern van de beveiligingsarchitectuur te verstoren.

Conclusie

Een overheid die cryptografie beschouwt als strategische voorziening borgt dat beleid, techniek en operatie elkaar versterken. Door standaarden in architectuurprincipes vast te leggen, sleutelbeheer te automatiseren met FIPS 140-3 HSM's en SOC-monitoring te koppelen aan duidelijke KPI's, ontstaat een controleerbare keten waarin geen enkel onderdeel afhankelijk is van improvisatie. Tijdens audits kan men hierdoor snel aantonen welk systeem met welke sleutel is versleuteld, hoe revocation plaatsvindt en welke controles afwijkingen binnen de voorgeschreven detectietijd signaleren.

De beschreven aanpak biedt directe ondersteuning voor BIO paragraaf 9.3, AVG artikel 32, de cryptografieparagrafen uit de NIS2-richtlijn en de Nederlandse Baseline voor Veilige Cloud. Door nu al te investeren in lifecycle tooling, dual-control procedures en post-quantum pilots bouwen organisaties aan een cryptografisch fundament dat morgen zonder frictie kan worden uitgebreid met vertrouwelijke computing, PQC en strengere ketenborging. Zo blijft gevoelige overheidsinformatie beschermd, zelfs wanneer dreigingen en regelgeving verder versnellen.

Executive Aanbevelingen
  • Publiceer in het informatiebeveiligingsbeleid dat AES-256, TLS 1.3, ECDSA P-384 en SHA-384 de verplichte standaarden zijn binnen de Nederlandse Baseline voor Veilige Cloud.
  • Implementeer uitsluitend FIPS 140-3 Level 3 HSM's of gelijkwaardige dedicated cloud-HSM's voor root- en masterkeys en borg dual-control op sleuteluitgifte.
  • Koppel het Key Management System aan SOC-platformen zodat afwijkend sleutelgebruik binnen minuten wordt gesignaleerd en kan leiden tot revoke-acties.
  • Zorg dat sleutelrotaties, escrow, vernietiging en noodherstel jaarlijks worden getest tijdens technische oefeningen en bestuurlijke crisis-simulaties.
  • Leg cryptografie-eisen vast in aanbestedingen en verwerkersovereenkomsten, inclusief auditrechten en eisen voor datalocatie binnen de EU.
Cryptography Encryption Key Management PKI HSM