Dirk Doesburg won de tweede prijs in de categorie KHMW Responsible Internet Scriptieprijzen. In zijn masterscriptie onderzocht hij hoe het internet ook in de toekomst veilig kan blijven, wanneer kwantumcomputers de huidige beveiliging dreigen te doorbreken.
Je scriptie gaat over post-quantumcryptografie voor de Resource Public Key Infrastructure (RPKI). Wat doet de RPKI precies, en waarom is die zo belangrijk?
Het internet bestaat uit duizenden kleinere netwerken – van providers als Ziggo tot techreuzen als Google – die elkaar voortdurend vertellen welke adressen via wie bereikbaar zijn. Dat systeem heet BGP, en dat is eigenlijk de routeplanner van het internet. Alleen kunnen netwerken daarin liegen: een land of bedrijf kan beweren dat het een bepaald adres beheert, waardoor al het verkeer verkeerd wordt doorgestuurd. De RPKI is een beveiligingslaag die zulke manipulaties voorkomt.
Hoe realistisch is het risico dat kwantumcomputers die beveiliging straks kunnen breken?
Daar wordt verschillend over gedacht. De meeste experts verwachten dat het binnen tien tot dertig jaar zover kan zijn. Het is dus niet morgen, maar ook niet ver weg. Omdat de overstap naar nieuwe, kwantumveilige cryptografie tijd kost, moeten we nu al nadenken over die transitie.
En hoe ziet zo’n overstap eruit?
In principe vervang je de huidige cryptografie door algoritmes die bestand zijn tegen kwantumaanvallen. Ik heb onderzocht welke algoritmes daarvoor het meest geschikt zijn en hoe de migratie het best kan worden uitgevoerd. Als nieuw cryptografisch algoritme komt Falcon-512 goed uit de test. Een bestaande – maar nooit uitgeprobeerde – standaard voor de migratie naar een ander algoritme, RFC6916, blijkt onpraktisch. Ik stel een eenvoudiger alternatief voor dat beter aansluit bij de werkelijkheid van netwerkbeheerders.
Wie moet die overstap uitvoeren, en wie beslist daarover?
Het beheer van de RPKI ligt bij vijf regionale internetregisters, zoals RIPE NCC in Amsterdam. Dat zijn verenigingen van netwerken die in een hiërarchie samenwerken. Zij beheren de software en nemen uiteindelijk de besluiten. Boven hen staat geen overheid, maar verschillende ngo’s zoals ICANN en de Internet Engineering Task Force spannen zich samen in om het internet draaiende te houden. Overheden zouden kunnen ingrijpen, maar dat gebeurt zelden: het internet wordt vooral vanuit de gemeenschap zelf bestuurd.
Dat klinkt idealistisch. Kunnen we zulke NGO’s en techbedrijven wel vertrouwen?
Ik vertrouw bedrijven als Google of Meta niet zomaar – ze hebben hun eigen commerciële belangen. Maar zij zijn slechts enkele van de duizenden spelers in dit systeem. De RPKI regelt juist dat geen enkele partij de boel kan domineren. De organisaties die de standaarden beheren, werken open en transparant. Iedereen kan meelezen en meediscussiëren via openbare mailinglijsten. Omdat beslissingen op basis van consensus worden genomen, is het moeilijk voor één bedrijf of persoon om iets door te drukken.
Dus er is een vorm van sociale controle ingebouwd?
Precies. Het internet is in de kern een vriendelijk, samenwerkend systeem van mensen die willen dat het werkt. Maar er zijn altijd uitzonderingen – netwerken die verkeerde intenties hebben. Voor die situaties is de RPKI ontworpen: om te zorgen dat zelfs als iemand vals speelt, de schade beperkt blijft.
Je werkt ook samen met de Internet Engineering Task Force (IETF), waar internetstandaarden worden ontwikkeld. Wordt er naar je geluisterd?
Ik heb een voorstel voor een standaard geschreven. Of dat echt wordt opgepakt, is afwachten; dat kan jaren duren. Het hangt sterk af van de prioriteiten binnen de gemeenschap. Maar men weet nu in elk geval dat dit onderwerp eraan komt.
Welke persoonlijke eigenschappen hebben je geholpen bij dit onderzoek?
Nieuwsgierigheid, vooral. Ik lees veel, graaf in oude mailarchieven van de IETF om te zien hoe besluiten ooit zijn genomen. Zo leer je begrijpen waarom iets werkt zoals het werkt. En ik onthoud die informatie makkelijk, dat helpt.
Wat doe je nu, en hoe zie je je toekomst?
Ik werk bij een bedrijf dat AI toepast op long-CT-scans – iets heel anders dus. Een loopbaan in de wetenschap zie ik niet voor me: ik zou mezelf niet kunnen tegenhouden om tachtig uur per week aan één onderwerp te werken. En juist die balans tussen werk en privé vind ik belangrijker.
