Interactieve workshop TNO en Zynyo op Post-Quantum Cryptography Conference

9 december 2025

Tijdens de conferentie over post-kwantum cryptografie in Kuala Lumpur, oktober 2025, dompelden Sven Konings (Zynyo), Stefan van den Berg en Alessandro Amadori (TNO) deelnemers onder in de wereld van kwantumveilige cryptografie. In een dynamische workshop ontdekten deelnemers hoe ze bestaande cryptografische methodes kunnen combineren met toekomstbestendige, kwantumveilige technieken.

Van theorie naar praktijk

Met een maximum van 20 deelnemers per workshop, werd diepgaand ingegaan op post-quantum cryptografie, hybride certificaten, digitale handtekeningen en validatieprocessen. Daarnaast kregen deelnemers de kans om zelf aan de slag te gaan. Door middel van uitdagende opdrachten ervoeren ze hoe het ondertekenen en valideren van digitale handtekeningen in de praktijk werkt.

Hybride certificaten: de brug tussen oud en nieuw

Na een korte kennismaking legde Stefan van den Berg de werking van hybride certificaten voor digitaal ondertekenen uit. Met deze certificaten kun je twee algoritmes in een enkel certificaat verwerken. Dit is handig omdat een algoritme soms vervangen moet worden, maar nog niet alle apparaten het nieuwe algoritme begrijpen. Door twee algoritmes te gebruiken, kunnen oude apparaten het oude algoritme controleren, terwijl nieuwe apparaten beide kunnen checken.

Stefan van den Berg (TNO) laat het verschil zien tussen een klassieke sleutel en een post-quantum sleutel

Stefan van den Berg (TNO) laat het verschil zien tussen een klassieke sleutel en een post-quantum sleutel. Die laatste is vele malen groter. Dit kan problemen opleveren voor opslag, uitwisselen van sleutels en snelheid

Voordelen hybride certificaten

Het gebruik van hybride certificaten maakt het makkelijker om nieuwe algoritmes te introduceren, bijvoorbeeld een algoritme dat bestand is tegen aanvallen van kwantumcomputers. Een ander voordeel is dat nieuwe algoritmes zich soms nog niet bewezen hebben. Door beide te gebruiken blijven de garanties van het oude algoritme behouden.

Varianten van hybride certificaten

Hybride certificaten kennen drie varianten: composite, catalyst en chameleon.
• Composite: twee algoritmes in 1 key samengevoegd
• Catalyst: het tweede algoritme in de extensies
• Chameleon: een tweede certificaat (delta-certificaat) met daarin het tweede algoritme in de extensies

Puzzelen voor een certificaat

De deelnemers werden opgedeeld in drie teams, met een uitdaging voor elke variant: het in elkaar zetten van een digitaal certificaat. Elk puzzelstukje stond voor een cruciaal onderdeel van het certificaat. Net als bij een echte puzzel moest alles precies op de juiste plek en in de goede volgorde liggen. Met wat strategisch overleg, creatief geschuif en de nodige humor wisten alle teams de puzzel te kraken. Een leuke, hands-on manier om te ervaren hoe certificaten eigenlijk in elkaar zitten.

Workshop-deelnemers maken een hybride certificaat door verschillende velden als puzzelstukjes aan elkaar te leggen

Workshop-deelnemers maken een hybride certificaat door verschillende velden als puzzelstukjes aan elkaar te leggen

Hoe is een certificaat te vertrouwen?

Stefan lichtte toe dat certificaten worden ondertekend met een ander certificaat. Hierdoor kunnen we bepalen of het certificaat van een betrouwbare bron afkomstig is. Er ontstaat een ketting die je kunt terugvolgen tot een root-certificaat. De laatste ondertekent zichzelf. Er bestaat een officiële lijst met betrouwbare root-certificaten. Alleen certificaten die via zo’n root zijn ondertekend, kunnen we vertrouwen.

Ondertekenproces hybride certificaten

Bij hybride certificaten hebben we twee algoritmes, waardoor het ondertekenproces anders loopt dan bij ’gewone’ certificaten. Het proces verschilt per variant:
• Catalyst: eerst ondertekent de extensie (het tweede algoritme) het certificaat, daarna ondertekent het eerste algoritme het volledige certificaat
• Composite: beide algoritmes ondertekenen los het certificaat, wat wordt samengevoegd tot 1 ondertekening
• Chameleon: eerst wordt het delta-certificaat ondertekend en in de extensie gezet, daarna wordt het certificaat ondertekend met het eerste algoritme

Kleurrijke simulering ondertekenproces

De deelnemers gingen aan de slag met het simuleren van het ondertekenproces. Weer in drie groepen, maar elk team kreeg nu een andere variant dan de vorige keer. Elk onderdeel van het certificaat kreeg een kleur. Een mapping (kleurenkaart) gaf aan dat een kraal met kleur A bij een kraal met kleur B hoort, enzovoort. Door de kleuren die bij de onderdelen stonden door de mapping te halen en vervolgens de bijbehorende kraal neer te leggen, konden de deelnemers het certificaat ondertekenen. Hierbij kwamen de verschilllen tussen de varianten Catalyst, Composite en Chameleon terug. Een interactieve en visuele manier om het ondertekenproces te begrijpen.

De kralen staan, samen met de mapping, symbool voor de ondertekening van een certificaat

De kralen staan, samen met de mapping, symbool voor de ondertekening van een certificaat. Een hybride certificaat bevat twee ondertekeningen. Hier wordt de tweede gemaakt

Deelnemers zetten een hybride certificaat in elkaar en voegen de ondertekening toe

Een hybride certificaat dat in elkaar is gezet door de deelnemers. Nu wordt de ondertekening toegevoegd door middel van de mapping (links) en de kralen die symbool staan voor de ondertekening

De omgekeerde puzzel: een handtekening valideren

Nu draaiden de deelnemers de puzzel om. Door de kralen via de mapping terug te volgen, kwamen de kleuren uit bij de certificaatonderdelen waar ze bij horen. Klopten de kleuren? Dan was de handtekening geldig. De teams pasten dit toe bij de variant waar ze nog niet mee hadden gewerkt. Na wat hersenwerk en een paar aha-momenten wisten alle groepen de handtekeningen succesvol te valideren.

Ondertekenen van PDF met hybride certificaat

Als afsluiter lichtte Sven toe hoe een ondertekening van een PDF werkt bij het gebruik van een hybride certificaat. Via een interactieve demo-webapp konden de deelnemers zelf een PDF ondertekenen met een hybride certificaat, om vervolgens te controleren of de handtekening geldig was. Digital Signature Services (DSS) is een software library van de EU waar Zynyo hybride certificaten aan toegevoegd heeft en met elkaar heeft vergeleken. Onder andere op het gebied van performance. Dit hebben we gedaan binnen het HAPKIDO-project. Dit project ontwikkelt een roadmap voor de overgang naar een quantum-safe PKI. Op de webpagina van de overheid over quantumveilige cryptografie wordt het HAPKIDO-project ook genoemd.

Tot volgend jaar!

Na een levendige vragenronde sloten de deelnemers de workshop af. Geïnspireerd en met nieuwe inzichten: op naar andere workshops. Zynyo is ook in 2026 weer present op de Post-Quantum Cryptography Conference, dan in München. Samen met partners zoals TNO willen we opnieuw een inspirerende workshop organiseren. Wie weet tot dan!

Stefan van den Berg (TNO), Michiel Marcus (TNO), Sven Konings (ZYNYO) en Alessandro Amadori (TNO)

Vlnr: Stefan van den Berg (TNO), Michiel Marcus (TNO), Sven Konings (ZYNYO) en Alessandro Amadori (TNO)