— NL —
Circom is een raamwerk voor programmeerbare zero-knowldge bewijzen. Het laat toe om op een efficiënte wijze kennis of eigenschappen te bewijzen, terwijl de achterliggende data waar die kennis of eigenschappen uit afgeleid zijn, verborgen blijven.

— FR —
Circom est un framework pour les preuves à divulgation nulle de connaissance programmables. Il permet de prouver efficacement des connaissances ou des propriétés, tout en gardant secrètes les données sous-jacentes à partir desquelles ces connaissances ou propriétés sont dérivées.

Cryptography is essential in our society. Much of it is at risk of becoming insecure in the future due to powerful quantum computers. The current cryptography will have to be replaced by quantum-resistant alternatives. And even then, the crypto migrations will continue.

Experience has taught us that such migrations are difficult, slow and expensive processes. Organisations must therefore build crypto agility into their systems: the flexibility to deal with this reality quickly and easily.

• Slides
• Recording

During our free webinar on Thursday 12th of June 2025, Kristof Verslype took a closer look at crypto agility: why is it necessary, what does it mean in practice and where do we stand today? Kristof is a researcher and cryptographer at Smals Research.

The session was held in English. The webinar is free but reserved for public sector employees and Smals staff.

Due to the threat of powerful quantum computers in the not so distant future, we need to replace our cryptography. We do this migration from old to new cryptography once, and then we are done, right? Not exactly. We have multiple cryptographic migrations behind us and, most likely, multiple in front of us.

A more generic approach is needed to make your organization more flexible such that cryptographic migrations cease to be slow and cumbersome. Cryptographic agility is the recommended as principle to increases your cryptographic maturity. But what does this mean in practice?

This technical talks discusses concrete examples from the Belgian public sector, going from securing communications, to signing documents and even more advanced cryptographic mechanisms. The talk displays cryptographic agility in practice and draws lessons from them. Furthermore, the role and shape of the cryptographic inventory is touched.

Slides of keynote given at Cybersec Europe 2025.

Public key cryptography is essential in our society. We use it constantly, for instance to secure digital communication. Powerful quantum computers could break this in the long term and are already a risk today. Someone who intercepts secure communication today may indeed be able to decipher it in the future with a powerful quantum computer.

We need to replace our cryptography. History has taught us that such a migration path is cumbersome and can take many years. Multiple new migrations may be ahead of us, not only due to the threat of cryptographically relevant quantum computers.

Cryptographic agility promises to drastically smoothen such migrations. But what does it mean in practice? This talks dives into the topic, inspired by concrete cases from the public sector.

This presentation discusses two concepts developed by Smals Research to de-identify and link personal data originating from multiple sources, in order to make them available for secondary use such as for scientific research.

This talks was part of the Webinar “Safeguarding Communications and Data in the Age of Quantum Computing”. This event, co-hosted by Beltug, EuroCC, Quantum Circle and the Flemish Supercomputer Centrum (VSC), brought together experts and professionals to deliver insights on the path to safe communications and data in the quantum computing age.

This webinar explores the emerging threat of quantum computing to encryption and its potential impact on data security. It introduces the new Post-Quantum Cryptography (PQC) standards and the concept of cryptographic agility, providing strategies for organizations to adapt to evolving security challenges. A real-world use case from Proximus showcases how a leading company is preparing its communications infrastructure for the quantum era, offering practical insights into future-proofing data and ensuring secure communications.

Talk given in 2024 at Devoxx Belgium, the biggest vendor-independent Java conference in the world which takes place in one of the biggest European cinema complexes, the Kinepolis, located in Antwerp, Belgium.

Masks are being used for thousands of years, all across the physical world, for reasons such as physical protection, rituals and hiding the identity of the bearer. Physical masks are probably the oldest privacy protection technology.

When writing and printing, authors of books and articles used pseudonyms to hide their identity. Voltaire, Lenin and Banksy are well known pseudonyms: modern, written versions of the physical mask. In the digital age we now replace citizens’ identifiers by unique codes – having remarkably powerful and even counter-intuitive properties when based on cryptography.

The public sector has two seemingly contradictory tasks: protecting citizens and their privacy, while maximizing value and efficiency for individuals and society. So should we minimize or maximize data?

The Belgian public sector increasingly adopts cryptography for pseudonymization – a crucial, and yet sufficiently practical element in realizing the seemingly impossible.

In this talk, Kristof introduces three practical cryptographic systems for pseudonymization. He has designed them, based on specific needs within social security and healthcare. If you live in Belgium, your personal data is probably already protected by one of these systems, today.

(Nederlandstalige tekst : zie onder)

Lors du webinaire, Kristof Verslype présente trois systèmes de pseudonymisation des numéros de registre national qu’il a lui-même conçus sur base des besoins concrets des secteurs de la sécurité sociale et des soins de santé:

– le service de pseudonymisation aveugle d’eHealth pour protéger les données médicales personnelles en production ;
– la pseudonymisation préservant la structure pour protéger les données à caractère personnel dans les environnements de non-production existants ;
– “Oblivious Join” pour le croisement distribué et la pseudonymisation des données fournies par différentes instances à des fins de recherche.

Articles de blog pertinents
– Introduction au nouveau service de pseudonymisation eHealth
– Protection des données par la pseudonymisation préservant la structure des numéros de registre national

• Slides
• Recording

In dit webinar presenteert Kristof Verslype drie systemen voor pseudonimisering van rijksregisternummers die hij zelf geconcipieerd heeft op basis van concrete behoeften binnen de sociale zekerheid en de gezondheidssector:

– De blinde eHealth pseudonimiseringsdienst voor het beschermen van medische persoonsgegevens in productie;
– Structuurbehoudende pseudonimisering voor de bescherming van persoonsgegevens in bestaande non-productieomgevingen;
– “Oblivious Join” voor het gedistribueerd kruisen en pseudonimiseren van gegevens aangeleverd door verschillende instanties voor onderzoeksdoeleinden.

Relevante blogposts
– Introductie tot de nieuwe eHealth pseudonimiseringsdienst
– Gegevensbescherming m.b.v. structuurbehoudende pseudonimisatie van rijksregisternummers

Smals Research has given a much-appreciated talk at Devoxx Belgium 2023 in a full cinema hall (capacity 500 persons) in Antwerp. The topic was quantum computers and their impact on modern cryptography. The abstract: Cryptography – securing data with mathematical principles – is crucial in today’s society, for instance to enable financial transactions, to secure medical records and to protect our national interests. In the future, computers could be built, based on principles from quantum physics. These computers threaten to undermine the foundations of modern cryptography. If we are to believe the popular media and a number of companies, this quantum age is rapidly approaching. Along with the ambiguity, anxiety also grows. This talk aims to clarify this complex matter. It discusses the basics of quantum computers, the complexity of building them, the threat they pose, and the preparations we need to make.

• Access to the slides
• Access to the recording

Smals Research has given a guest lecture on quantum computers and their impact on modern cryptography as part of the study program ‘Digital & IT Essentials’. This postgraduate programme is organised in cooperation with the Université Libre de Bruxelles. The main objective of this programme is to give enough holistic IT culture so you have less fear to enter IT and become a bridge builder between IT and business.

https://www.vub.be/en/studying-vub/all-study-programmes-vub/bachelors-and-masters-programmes-vub/postgraduate-digital-it-essentials

Presentatie gegeven door Kristof Verslype op Cybersec Europe getiteld Kwantumcomputers Vs. Cryptografie

Slides van de webinar voor Smals Academy op 21/12/2021
(texte français : voir ci-dessous)

Het wordt voor de overheid steeds makkelijker om grote hoeveelheden persoonsgegevens te verzamelen en te verwerken. Dit creëert enerzijds heel wat opportuniteiten maar tegelijkertijd moet echter rekening gehouden worden met de privacy van de burger, wat een juridische basis vindt in de GDPR.

Met traditionele aanpakken en technologieën kan het omslachtig tot zelfs onmogelijk zijn om functionele noden en privacyvereisten met elkaar in balans te brengen. Er is dan ook een toenemende behoefte aan Privacy-enhancing technologies (PETs): geavanceerde technologieën om de privacy te verbeteren.

Het webinar biedt antwoord op vragen zoals:
– Hoe vinden we onze weg in het brede scala aan privacybevorderende technologieën?
– Waar worden ze reeds toegepast?
– Wat zijn de toepassingsmogelijkheden in de publieke sector?
– Wat zijn de caveats?

• Slides
• Recording

Il est de plus en plus facile pour le gouvernement de collecter et de traiter de grandes quantités de données à caractère personnel. D’une part, cela crée de nombreuses opportunités, mais en même temps, cependant, la vie privée du citoyen doit être prise en compte, ce qui trouve une base légale dans le RGPD.

Avec les approches et les technologies traditionnelles, il peut être difficile, voire impossible, de trouver un équilibre entre les besoins fonctionnels et les exigences en matière de respect de la vie privée. Il y a donc un besoin croissant de technologies améliorant la confidentialité (TAC) ou Privacy-enhancing technologies (PETs), c’est-à-dire des technologies avancées destinées à améliorer le respect de la vie privée.

Le webinaire apporte des réponses à des questions telles que :
– Comment s’y retrouver dans le large éventail de technologies améliorant la confidentialité ?
– Où sont-elles déjà appliquées ?
– Quelles sont les possibilités d’application dans le secteur public ?
– Quelles sont les mises en garde ?

De termen “anonimisatie” en “pseudonimisatie” worden geregeld fout gebruikt, hoewel de GDPR ze wel scherp definieert. Deze verwarring bemoeilijkt niet enkel discussies, maar kan bovendien verregaande consequenties hebben. Er wordt bijvoorbeeld vaak over anonimisatie gesproken hoewel er nog steeds significante identificatierisico’s overblijven en de GDPR dus van toepassing blijft. Deze presentatie gaat uitgebreid in op anonimisering en pseudonimisering en werd positief onthaald door de DPO’s van de sociale zekerheid en de ziekenhuizen.

Les termes “anonymisation” et “pseudonymisation” sont régulièrement mal utilisés, bien que le RGPD les définisse de manière précise. Cette confusion complique les discussions et peut en outre être lourde de conséquences. Par exemple, on parle souvent d’anonymisation alors qu’il subsiste d’importants risques d’identification et que le RGPD reste donc d’application. Cette présentation traite en détail de l’anonymisation et de la pseudonymisation et a été bien accueillie par les DPO de la sécurité sociale et des hôpitaux.

— NL —
Voor wie wil proeven van de wondere wereld der quantum computing is er IBM Quantum Experience. Deze service laat toe om op een visuele wijze enkele qubits te manipuleren, dus om kleine algoritmes voor kwantumcomputers te schrijven en uit te voeren op een IBM kwantumcomputer.

— FR —
Pour ceux qui souhaitent un aperçu du monde merveilleux de l’informatique quantique, il y a l’IBM Quantum Experience. Ce service permet de manipuler visuellement quelques qubits, c’est-à-dire d’écrire et d’exécuter de petits algorithmes pour les ordinateurs quantiques sur un ordinateur quantique IBM.

Slides van de webinar voor Smals Academy op 24/11/2020.

Cryptografie – het beveiligen van gegevens m.b.v. wiskundige principes – is cruciaal in onze hedendaagse samenleving. In deze webinar wordt door Kristof Verslype, cryptograaf bij Smals Research,  dieper ingegaan op de problematiek en mythe van de kwantumcomputers en welke de gevolgen zijn voor de moderne cryptografie. Volgende aspecten komen aan bod:

– De basisprincipes van kwantumcomputers
– De complexiteit om ze te bouwen
– De bedreiging die ze vormen voor de moderne cryptografie
– De voorbereidingen de we kunnen/moeten treffen

• Slides
• Recording
• Research report

La cryptographie – la sécurisation des données fondée sur des principes mathématiques – est fondamentale dans notre société. Lors de ce webinaire, Kristof Verslype, cryptographe au sein de l’équipe Smals Research, explique la problématique et le mythe des ordinateurs quantiques, ainsi que les conséquences pour la cryptographie moderne. Divers aspects y sont abordés :

– Les principes de base des ordinateurs quantiques
– La complexité de leur construction
– La menace qu’ils représentent pour la cryptographie moderne
– Les mesures préparatoires que nous pouvons/devons prendre.

Bijlage (Research report) bij de slides van de webinar voor Smals Academy op 24/11/2020.

Cryptografie – het beveiligen van gegevens m.b.v. wiskundige principes – is cruciaal in onze hedendaagse samenleving. In deze webinar wordt door Kristof Verslype, cryptograaf bij Smals Research,  dieper ingegaan op de problematiek en mythe van de kwantumcomputers en welke de gevolgen zijn voor de moderne cryptografie. Volgende aspecten komen aan bod:

– De basisprincipes van kwantumcomputers
– De complexiteit om ze te bouwen
– De bedreiging die ze vormen voor de moderne cryptografie
– De voorbereidingen de we kunnen/moeten treffen

• Slides
• Recording
• Research report

La cryptographie – la sécurisation des données fondée sur des principes mathématiques – est fondamentale dans notre société. Lors de ce webinaire, Kristof Verslype, cryptographe au sein de l’équipe Smals Research, explique la problématique et le mythe des ordinateurs quantiques, ainsi que les conséquences pour la cryptographie moderne. Divers aspects y sont abordés :

– Les principes de base des ordinateurs quantiques
– La complexité de leur construction
– La menace qu’ils représentent pour la cryptographie moderne
– Les mesures préparatoires que nous pouvons/devons prendre.

Keynote given at workshop: “Tackling privacy challenges in software engineering – An SME perspective”, organized by KU Leuven on 21 January 2020

Government institutions inevitably process large amounts of – sometimes very sensitive – personal data as part of their mission. This must be done in an efficient and safe manner. Traditional approaches, including the use of classical cryptography, unfortunately do not always result in elegant solutions. This talk shows how advanced cryptographic building blocks can be used in real-world scenarios in the government field in order to take the protection of personal data ta a new level.

NL
ARX is een uitgebreide tool om gevoelige persoonsgegevens zo goed als mogelijk te anonimiseren. De tool richt zich op microdata, dus data met records op het niveau van het individu. De algoritmes die ARX ondersteunen, waaronder k-anonymity, l-diversity en t-closeness, zijn gebaseerd op wetenschappelijk & gepubliceerd onderzoek. Verder kan ofwel gebruik gemaakt worden van de grafische user interface, ofwel van de API.

FR
ARX est un vaste outil permettant d’anonymiser le plus possible des données personnelles sensibles. L’outil n’est pas axé sur les mégadonnées, mais sur ce qu’il appelle “microdonnées”, à savoir des lots de données qui contiennent relativement peu d’attributs. Les algorithmes que supportent ARX, notamment k-anonymity, l-diversity et t-closeness, reposent sur des recherches scientifiques et publiées. Il est à noter également que l’interface utilisateur graphique ou l’API peuvent être utilisées

NEDERLANDS

Overheidsinstellingen verwerken in het kader van hun opdracht onvermijdelijk grote hoeveelheden – soms erg gevoelige – persoonsgegevens. Dit dient zowel op een efficiënte als op een veilige manier te gebeuren. Traditionele benaderingen, waaronder het gebruik van klassieke cryptografie, zijn helaas niet steeds afdoende.

Stel, bij wijze van voorbeeld, dat de FOD justitie in het kader van een terrorismedossier aan verschillende bedrijven en overheidsinstellingen informatie over een specifieke burger opvraagt. De bevraagde entiteiten komen allen te weten dat er een onderzoek loopt naar deze persoon, wat zowel de privacy van de burger als de confidentialiteit van het onderzoek in het gedrang kan brengen.

Geavanceerde cryptografie kan hiervoor op een elegante manier een oplossing bieden en stelt ons zelfs in staat om zaken te realiseren die intuïtief gewoon onmogelijk lijken. Ondanks het potentieel zijn de mogelijkheden van geavanceerde cryptografie vandaag nog te weinig gekend.

Deze infosessie wil dan ook een bewustzijn rond de mogelijkheden van geavanceerde cryptografie creëren zodat u voortaan cases zult herkennen waarin deze aanpak een uitweg kan bieden. Diverse cryptografische bouwblokken worden op een toegankelijke manier besproken, alsook het – zowel theoretische als praktische – werk dat Smals Research hierrond verricht heeft. Verder komen mogelijke en concrete cases aan bod waar geavanceerde cryptografie toegepast kan worden.

FRANCAIS

Dans le cadre de leur mission, les institutions publiques traitent inévitablement de grandes quantités de données à caractère personnel, lesquelles sont parfois très sensibles. Ce traitement doit être à la fois sûr et efficace. Malheureusement, les approches traditionnelles, notamment l’usage de la cryptographie classique, ne sont pas toujours suffisantes.

Supposons, par exemple, que le SPF Justice demande des informations à diverses entreprises et institutions publiques à propos d’un citoyen dans le cadre d’un dossier de terrorisme. Toutes les entités interrogées sauront ainsi que cette personne fait l’objet d’une enquête, ce qui peut compromettre tant la vie privée du citoyen que la confidentialité de l’enquête.

La cryptographie avancée peut offrir une solution élégante à ce problème et nous permet même de réaliser des choses qui semblent a priori impossibles. En dépit de ce potentiel, les possibilités de la cryptographie avancée sont encore trop peu connues aujourd’hui.

L’objectif de cette séance est donc de vous sensibiliser aux possibilités de la cryptographie avancée pour vous permettre d’identifier les cas où cette approche peut s’avérer utile. Différents composants cryptographiques y seront abordés en des termes simples. Vous y découvrirez également les travaux – théoriques et pratiques – que Smals Research a réalisés en la matière. En outre, des cas potentiels et concrets où la cryptographie avancée peut être appliquée seront abordés.

Many blockchain Proof-of-Concepts have emerged in the last two-three years. In spite of the hype, very few went beyond the PoC-phase. Why is it so hard to get blockchain applications live? In 2018 Smals Research has been working on a blockchain project with a clear ambition to go beyond the PoC. This talk shares some valuable lessons from the field, based on our own hands-on experience.

NEDERLANDS
De afgelopen twee jaar schoten blockchainprojecten wereldwijd als paddenstoelen uit de grond. Ondertussen is de hype wat gaan liggen en kunnen we een balans opmaken. Smals Research werkte bovendien zelf concreet met de technologie in een realistische setting. Wat zijn daarbij onze bevindingen? Welke andere opvallende projecten werden binnen en buiten België opgezet en welke lessen kunnen we daaruit trekken? Deze infosessie geeft een zicht op de stand van zaken anno 2018.

De verwachtingen in de technologie zijn nog steeds enorm. Toch staan tussen droom en daad wetten en praktische bezwaren. Hoe zit het bijvoorbeeld met de GDPR en privacy? En wat met schaalbaarheid? Ondanks de vele open vragen kunnen vandaag reeds een aantal cruciale aspecten uitgeklaard worden.

Ook Smals Research is aan de slag gegaan met de technologie en ontwikkelde een werkende proof of concept. We hielden daarbij rekening met diverse aspecten die bij blockchainprojecten te vaak over het hoofd worden gezien. Tijdens de infosessie hoort u alles over onze aanpak en bevindingen.

Was u in maart 2017 erbij tijdens onze infosessie over blockchain en smart contracts? Deze infosessie is geen herhaling van de vorige! De focus lag toen op technologische principes. Dit keer nemen we concrete ervaringen en resultaten onder de loep.

Wat krijgt u te zien in deze infosessie?
– Een beknopte introductie tot blockchain en smart contracts
– Een aantal blockchainprojecten uit binnen- en buitenland en de lessons learned
– De blockchainstrategie van Smals Research
– Een concreet door Smals Research uitgewerkt blockchainproject
– Een aantal spanningsvelden tussen blockchaintechnologie en de realiteit, waaronder privacy

FRANCAIS
Ces deux dernières années, les projets blockchain ont poussé comme des champignons à travers le monde. L’engouement s’est estompé depuis et nous pouvons maintenant dresser le bilan. L’équipe Smals Research a en outre elle-même employé la technologie dans un contexte réaliste. Quelles sont nos constatations ? Quels autres projets marquants ont vu le jour en Belgique et à l’étranger et quelles leçons pouvons-nous en tirer ? Cette séance d’info a pour but de faire le point de l’année 2018.

Les attentes vis-à-vis de la technologie sont toujours énormes. Il n’en reste pas moins que des lois et des contraintes pratiques séparent le rêve de la réalité. Qu’en est-il par exemple du RGPD et de la vie privée ? Et quid de l’extensibilité ? Même si les questions ouvertes sont nombreuses, plusieurs aspects cruciaux peuvent aujourd’hui être clarifiés.

Smals Research s’est elle aussi lancée dans la technologie et a développé une preuve de concept opérationnelle. Nous avons ici tenu compte de divers aspects trop souvent négligés dans les projets blockchain. Lors de la séance d’info, vous découvrirez tout sur notre approche et nos constats.

Vous avez assisté à notre séance d’info de mars 2017 consacrée à la blockchain et aux smart contracts ? Cette séance d’info n’est pas une réédition de la précédente ! La précédente séance était axée sur les principes technologiques. Cette fois, nous examinerons des expériences et des résultats concrets.

Que vous réserve cette séance d’info ?
– Une introduction succincte à la blockchain et aux smart contracts.
– Divers projets blockchain belges et étrangers ainsi que les leçons retenues.
– La stratégie blockchain de Smals Research.
– Un projet blockchain concrètement élaboré par Smals Research.
– Un aperçu des facteurs de tension entre la technologie blockchain et la réalité, tels que la vie privée.

MultiChain is een blockchain technologie die toelaat om zelf permissioned (afgeschermde, private) blockchain netwerken op te zetten, te beheren en erin te participeren. MultiChain laat toe om snel tot concrete resultaten te komen en is bovendien vrij efficiënt. Anderzijds mankeert het meer geavanceerde features zoals ondersteuning voor smart contracts.

MultiChain est une technologie blockchain pour l’implémentation et l’exploitation d’un réseau blockchain privé. Cette technologie est relativement efficace et permet d’obtenir des résultats rapidement. Néanmoins, certaines fonctionnalités avancées telles que la gestion des “smart contract” sont absentes.

Bitcoin has obtained a mythical status. Its market value skyrocketed and traditional media all over the world are writing about it. Bitcoin believers present an overly positive image and appoach the technology all too often in an unscientific, almost religious, way. This talks reveals several severe issues by shedding a rare critical light on the cryptocurrency.

This presentation has been given at InfoSecurity Belgium 2018

Presentation given at Infosecurity Belgium by Kristof Verslype on 23 March 2017.

What if a research team wants to analyse large sets of personal data? Say it needs medical, financial and demographic data of all citizens with a wage of at least EURO 40.000, born after 1990 and who are self-employed as a secondary activity. Data sets managed by different government institutions would need to be linked together. Such requests are common, and any government should be able to answer them. Yet is it possible with due respect for the privacy of citizens in an era of big data? Smals Research examined the boundaries of what is technically possible.

— Nederlands —
Bitcoin stuurde een schokgolf door de financiële wereld. Voor het eerst was het mogelijk om geld snel te transfereren naar de andere kant van de wereld zonder dat daarbij een centrale, machtige bank betrokken was. De ruggengraat van Bitcoin is de blockchain-technologie.

Al snel werd ontdekt dat deze blockchain-technologie een veel ruimer potentieel had dan enkel financiële transacties. Het kan in allerlei processen de taken van en het vertrouwen in intermediaire of centrale partijen sterk reduceren. Soms worden deze partijen zelfs volledig overbodig. Dit laat toe deze processen efficiënter te organiseren. Wereldwijd experimenteren bedrijven en overheden dan ook met deze technologie.

Het potentieel van blockchain kreeg bovendien een enorme boost met de komst van smart contracts, die door middel van blockchain-technologie toelaten om regels tussen verschillende partijen af te dwingen zonder centrale, vertrouwde partij.

De verwachtingen in blockchain en smart contracts liggen dan ook hoog. Het is de meest gehypte technologie van de laatste jaren en er worden honderden miljoenen euro’s in geïnvesteerd. In de pers en op seminaries lezen en horen we meestal slechts echo’s van de hype en uitdagingen worden genegeerd. Weinigen weten hoe deze technologie echt werkt.

Deze infosessie
• gaat wel didactisch in op de achterliggende principes.
• biedt wel een gebalanceerde kijk op de technologie, haar potentieel en uitdagingen.
• geeft wel aan wanneer blockchain voor u een meerwaarde kan betekenen.
• bespreekt wel uitgebreid een overheidstoepassing, die zowel conceptueel als praktisch uitgewerkt werd. Daarbij worden uitdagingen zoals privacy niet onder de mat geveegd. Door middel van een proof-of-concept werd bovendien de praktische inzetbaarheid aangetoond.

Smals research deelt graag met u haar expertise. De infosessie focust op de technische kant van het verhaal. Er wordt dus niet ingegaan op juridische en maatschappelijke aspecten.

De sessie is hier te herbekijken.

— français —
Bitcoin a littéralement secoué le monde financier, en permettant pour la première fois de transférer de l’argent à l’autre bout du monde sans l’intervention d’une puissante banque centrale. Bitcoin repose sur la technologie blockchain.

Il est rapidement apparu que le potentiel de la technologie blockchain dépassait nettement les pures transactions financières. Dans divers processus en effet, elle permet de réduire considérablement les tâches des parties intermédiaires et centrales ainsi que la dépendance envers ces dernières. Parfois, ces parties deviennent même totalement superflues, de sorte que les processus peuvent être organisés plus efficacement. Pas étonnant dès lors que des entreprises et des administrations du monde entier s’essaient à cette technologie.

Le potentiel de blockchain a en outre grimpé en flèche avec l’arrivée des smart contracts qui, au moyen de la technologie blockchain, permettent d’imposer des règles entre différents intervenants sans l’entremise d’un tiers de confiance central.

Les attentes envers la technologie blockchain et les smart contracts sont par conséquent élevées. Cette technologie est au centre de toutes les attentions ces dernières années et fait l’objet d’investissements de plusieurs centaines de millions d’euros. Le hype suscite exclusivement des échos dans la presse et aux séminaires, tandis que les défis ne sont pas abordés. En effet, beaucoup ignorent comment cette technologie fonctionne réellement.

Cette séance d’info
• aborde les principes sous-jacents de manière didactique.
• offre un aperçu équilibré de la technologie, de son potentiel et de ses défis.
• indique quand le blockchain peut vous apporter une plus-value.
• présente en détail une application gouvernementale, élaborée sur les plans conceptuel et pratique… Les défis tels que le respect de la vie privée sont également traités. La faisabilité pratique a en outre été démontrée à l’aide d’une preuve de concept.

Smals Research partage volontiers son expertise. La séance d’info est axée sur l’aspect technique.
Les aspects juridiques et sociaux ne sont donc pas abordés.

La session peut être consultée à nouveau ici.

— Nederlands —
Data-anonimisatietechnieken hebben als doel om de link tussen de te analyseren gegevens en het individu onomkeerbaar te verwijderen, maar in deze “big data”-context hebben ze serieuze beperkingen. Ook het opzetten van een centraal datawarehouse, waar overheidsbedrijven persoonsgegevens aan bezorgen, biedt geen adequate oplossing. Hier kunnen immers veiligheidsrisico’s aan verbonden zijn. Bovendien kunnen overheden terughoudend zijn om hieraan mee te werken. Ze verliezen immers de controle op de persoonsgegevens waarvoor ze wettelijk verantwoordelijk blijven.

De centrale vraag van deze infosessie is dus: “Kunnen we met respect voor de privacywetgeving persoonsgegevens afkomstig van verschillende (overheids)bedrijven efficiënt en veilig kruisen, terwijl deze bedrijven de controle behouden over de door hen beheerde persoonsgegevens?”

De infosessie gaat in op de belangrijkste anonimisatietechnieken en de beperkingen ervan. Daarna wordt in primeur de “data archipel” voorgesteld: een flexibel en origineel concept, uitgedacht door Smals Research met medewerking van de KU Leuven. Het concept tracht een antwoord te bieden op de bovengestelde vraag. Op een begrijpelijke manier wordt ingegaan op aspecten zoals de achterliggende cryptografie, deanonimisatie en sleutelbeheer. Een korte demo van de proof-of-concept wordt toegelicht. Gezien het conceptuele karakter en de open uitdagingen van de data archipel willen we naast informatie overbrengen ook feedback verzamelen en meenemen in eventueel toekomstig onderzoek.

— français —
Les techniques d’anonymisation de données sont destinées à supprimer irrévocablement le lien entre les données à analyser et l’individu. Toutefois, ces techniques présentent clairement des limites dans ce contexte “Big Data”. Même la mise sur pied d’un datawarehouse central, auquel des entreprises publiques transmettent des données personnelles, n’offre pas de solution adéquate en raison des risques potentiels en termes de sécurité. Sans compter que les autorités peuvent y être réticentes. En effet, elles perdent ainsi le contrôle des données personnelles dont elles demeurent légalement responsables.

La question fondamentale de cette séance d’information est donc la suivante : “Dans le respect de la législation de la vie privée, pouvons-nous croiser de manière sûre et efficace des données personnelles issues de différentes entreprises (publiques) tout en veillant à ce que ces dernières gardent le contrôle de ces données ?”

La séance d’information sera consacrée aux principales techniques d’anonymisation et à leurs restrictions. Ensuite, le “data archipel” sera présenté en primeur : un concept flexible et original, pensé par l’équipe Smals Research en collaboration avec la KU Leuven. Le but de ce concept est de tenter de répondre à la question susmentionnée. Les aspects tels que le chiffrement sous-jacent, la désanonymisation et la gestion des clés cryptographiques seront abordés en termes clairs. Une courte démo du proof-of-concept sera commentée. Vu le caractère conceptuel et les défis ouverts du data archipel, nous souhaitons non seulement procurer des informations, mais aussi recueillir du feed-back que nous pourrons mettre à profit dans une éventuelle étude future.

Analytics op persoonsgegevens moet steeds in overeenstemming gebeuren met de privacywetgeving, waarbij principes zoals finaliteit, proportionaliteit, transparantie en information security practices gerespecteerd dienen te worden. De fragmentatie van de overheid levert een bijkomende uitdaging op. Wanneer namelijk persoonsgegevens uit verschillende bronnen gekruist worden in één centraal datawarehouse, blijven de aanleverende overheidsbedrijven enerzijds wel verantwoordelijk voor de persoonsgegevens, maar anderzijds verliezen ze alle controle erop.

Deze tekst presenteert op een toegankelijke manier het door Smals Research ontwikkelde concept van de data archipel, dat gebruikmakend van cryptografie drie moeilijk te combineren zaken realiseert: 1) het kruisen van persoonsgegevens voor analyse is vlot mogelijk, 2) de privacy van de betrokken burger wordt beschermd en 3) de aanleverende overheidsbedrijven behouden controle op de persoonsgegevens waar ze verantwoordelijk voor blijven.

L’analytique de données personnelles doit toujours s’effectuer en conformité avec la législation de la vie privée, qui impose le respect de principes tels que la finalité, la proportionnalité et la transparence mais aussi des pratiques de sécurisation de l’information. La fragmentation de l’État entraîne un défi supplémentaire. En effet, lorsque des données personnelles issues de sources diverses sont croisées dans un datawarehouse central, les entreprises publiques qui livrent des données personnelles demeurent responsables de ces données, mais elles en perdent totalement le contrôle.

Ce texte présente en termes clairs le concept de data archipel, que l’équipe Smals Research a développé et qui, au moyen de la cryptographie, permet d’atteindre trois objectifs difficilement combinables : 1) le croisement de données personnelles à des fins d’analyse est facilement réalisable, 2) la confidentialité du citoyen concerné est protégée et 3) les entreprises publiques gardent le contrôle des données qu’elles livrent et dont elles sont responsables.

Burgerparticipatie of citizen engagement is een brede term die gedefinieerd wordt als individuele of collectieve acties door burgers om zaken van algemeen belang te identificeren en aan te pakken. Dit kan onder meer gaan over cultuur, ontspanning, milieu, versterking van het sociale weefsel, verbetering van het publieke domein, economie en democratie.

Dit document heeft als doel om het concept “citizen engagement” van nabij te bekijken en te kijken hoe de overheid en IT hier een rol in kunnen spelen. Idealiter komen we tot een IT-platform voor burgerinitiatieven waar zowel burgers als overheid aan kunnen bijdragen, zonder echter uit het oog te verliezen dat IT op zich enkel een ondersteunende rol kan en mag spelen naast tal van andere (veel belangrijkere) factoren.

La participation citoyenne ou le citizen engagement est un vaste terme désignant la mise en œuvre d’actions individuelles ou collectives par les citoyens dans le but d’identifier et de traiter des matières d’intérêt général. Ces initiatives peuvent concerner entre autres la culture, le loisir, l’environnement, le renforcement du tissu social, l’amélioration du domaine public, l’économie et la démocratie.

Ce document a pour objet d’examiner le concept de “citizen engagement” et de voir le rôle que l’État et l’informatique peuvent y jouer. Idéalement, il s’agit d’aboutir à une plateforme IT d’initiatives citoyennes à laquelle tant les citoyens que l’État peuvent contribuer, sans toutefois perdre de vue que l’informatique en soi ne peut jouer qu’un rôle de soutien à côté d’une multitude d’autres facteurs (bien plus importants).

File sync & share (FSS) systemen zoals Dropbox, Box en OneDrive hebben bij gebruik in principe toegang tot je potentieel gevoelige gegevens. Server-side encryptie verandert hier niets aan gezien de dienstverleners zelf de bijhorende sleutels beheren. BoxCryptor wil deze kwestie verhelpen.

Les systèmes de File Sync & Share (FSS) tels que Dropbox, Box et OneDrive ont en principe accès aux données potentiellement sensibles que les utilisateurs sauvegardent sur leurs serveurs. Le chiffrement de ces données côté serveur ne change rien en soi étant donné que ces prestataires de service gèrent eux-mêmes les clés de chiffrement associées. BoxCryptor vise à remédier à ce problème.

ownCloud is een open source product voor Enterprise File Sharing. Het is een robuuste oplossing voor zgn. file sync & share (het delen en synchroniseren van bestanden tussen verschillende gebruikers en devices) en biedt een alternatief voor public cloud oplossingen zoals Dropbox, Box, OneDrive, Google Drive e.d.  ownCloud kan on-premise geïnstalleerd worden en biedt alle nodige functionaliteiten van een volwaardig FSS-systeem.

In deze open source review worden de functionaliteiten van ownCloud  overlopen samen met de uitgevoerde testen, waarna de oplossing getoetst wordt op maturiteit en kwaliteit via het open source maturiteitsmodel van de sectie Onderzoek. ownCloud is wat ons betreft een robuuste volwassen oplossing en behaalt een meer dan acceptabele score. Een aanrader indien u zelf FSS-functionaliteit wil aanbieden zonder naar de public cloud te willen gaan.

——————-

ownCloud est un produit open source de partage de fichiers d’entreprise. Il s’agit d’une solution robuste de « file sync & share » (partage et synchronisation de fichiers entre différents utilisateurs et appareils) qui offre une alternative aux solutions de cloud public telles que Dropbox, Box, OneDrive, Google Drive… ownCloud peut être installé sur site et offre toutes les fonctionnalités d’un système FSS à part entière.

Dans cette open source review, les fonctionnalités de ownCloud  sont passées en revue conjointement aux tests effectués, après quoi la solution est éprouvée en termes de maturité et de qualité à l’aide du modèle de maturité open source de la section Recherche de Smals. En ce qui nous concerne, ownCloud constitue une solution mature robuste qui obtient un score plus qu’honorable. Nous vous le recommandons si vous souhaitez vous-même proposer une fonctionnalité FSS sans vous diriger vers le cloud public.

Deze infosessie gaat na hoe overheden met de realiteit van cloud computing om kunnen gaan. Daarbij worden drie pistes verkend:

1. De gevaren die ontstaan bij het gebruik van publieke cloud-diensten en hoe een intermediaire partij (CSB – Cloud Services Broker) tussen aanbieder en consument van cloud-diensten hier in de toekomst verbetering in zou kunnen brengen.
2. Welke concrete cloud-initiatieven er genomen worden door buitenlandse overheden in een aantal referentielanden.
3. Wat zijn de mogelijkheden en beperkingen van het gebruik door overheden van publieke file sync & share diensten in de publieke cloud zoals Dropbox. Daarna wordt ingezoomd op de mogelijkheden voor een gelijkaardige dienst in een private cloud, waarbij getracht wordt de veiligheidsrisico’s zo goed mogelijk af te dekken.

Cette séance d’info a pour but d’examiner comment les autorités peuvent faire face à la réalité du cloud computing. Trois pistes sont ici explorées :

1. Les dangers qu’implique l’utilisation de services cloud publics et les moyens par lesquels un intermédiaire (CSB – Cloud Services Broker) entre le fournisseur et le consommateur de services cloud pourrait y remédier dans le futur.
2. Les initiatives cloud concrètes prises par les autorités étrangères de plusieurs pays de référence.
3. Les possibilités et limites de l’utilisation, par les autorités, de services de synchronisation et de partage de fichiers publics dans le cloud public tels que Dropbox. Ensuite, nous passerons à la loupe les possibilités d’un service comparable dans un cloud privé, où il est tenté de couvrir au maximum les risques à la sécurité.

De cloud eist een steeds prominentere rol op in het IT-landschap. Er kan relatief snel gebruik van gemaakt worden, biedt een ongekende flexibiliteit en dit tegen lage prijzen.
Voor overheden stelt zich dan de vraag welke houding aan te nemen tegenover het gebruik van de cloud.
Vooral met betrekking tot gevoelige gegevens kan dit vraagtekens oproepen.
In deze research nota overlopen wij de situatie in een aantal landen, zonder daarbij te claimen exhaustief te zijn.
Dit document is een update van de publicatie van juli 2013 (situatie Nederland, Frankrijk, UK, Singapore).

Le cloud occupe une place toujours plus importante dans le paysage informatique. Il peut être utilisé dans un délai relativement court et offre une flexibilité inédite, et ce à faible coût.
Pour l’administration publique, la question est de savoir quelle attitude adopter face à l’utilisation du cloud.
Notamment en ce qui concerne les données sensibles, il y a matière à s’interroger.
Dans cette research note, nous examinons la situation dans plusieurs pays, sans toutefois prétendre être exhaustifs.
Ce document est une update de la publication de juillet 2013 (situation aux Pays-Bas, en France, au Royaume-Uni, à Singapour).

De cloud eist een steeds prominentere rol op in het IT-landschap. Er kan relatief snel gebruik van gemaakt worden, biedt een ongekende flexibiliteit en dit tegen lage prijzen.
Voor overheden stelt zich dan de vraag welke houding aan te nemen tegenover het gebruik van de cloud.
Vooral met betrekking tot gevoelige gegevens kan dit vraagtekens oproepen.

In deze research nota overlopen wij de situatie in een aantal landen, zonder daarbij te claimen exhaustief te zijn.

Le cloud occupe une place toujours plus importante dans le paysage informatique. Il peut être utilisé dans un délai relativement court et offre une flexibilité inédite, et ce à faible coût.
Pour l’administration publique, la question est de savoir quelle attitude adopter face à l’utilisation du cloud.
Notamment en ce qui concerne les données sensibles, il y a matière à s’interroger.

Dans cette research note, nous examinons la situation dans plusieurs pays, sans toutefois prétendre être exhaustifs.

AlienVault est un précieux outil qui est parvenu à intégrer proprement de nombreux logiciels open source existants (Nessus, Snort, Nagios…) dans un outil SIEM (Security Informaton & Event Management) proposant des tableaux de bord assez synoptiques. S’il ne peut pas se mesurer aux meilleurs produits SIEM, il s’avère néanmoins intéressant pour une première prise de connaissance pratique avec le SIEM.

AlienVault is een waardevolle tool die erin geslaagd is heel wat reeds bestaande open source software (Nessus, Snort, Nagios, etc.) netjes te integreren in een SIEM (Security Informaton & Event Management) tool die vrij overzichtelijke dashboards aanbiedt. Desondanks kan hij niet tippen aan de top SIEM-producten. Wel interessant voor een eerste praktische kennismaking met SIEM.

De IT-gerelateerde veiligheidsrisico’s voor bedrijven en overheidsinstellingen kennen een stijgende trend. Er bestaan verschillende – vaak complementaire – methoden om hiermee om te gaan. Dit rapport focust op SIEM (Security Information and Event Management), waarbij veiligheidsgerelateerde logs naar een centraal systeem gestuurd worden voor analyse om security threats te detecteren. Een belangrijk aspect hierbij is de correlatie, waarbij verbanden tussen logs gezocht worden.

IT-infrastructuren worden complexer en dynamischer, de cyberaanvallen gesofisticeerder en de aanvallers professioneler. Zowel interne als externe aanvallen vormen een bedreiging.

In een moderne IT-infrastructuur van een bedrijf worden vandaag de dag al snel miljoenen security gerelateerde logs door honderden of meer devices gegenereerd, potentieel vanaf verschillende geografisch verspreide locaties. Typisch zijn er op een dag hoogstens enkele incidenten. De uitdaging is om aan de hand van die miljoenen logs die paar incidenten in real-time te extraheren. Indien nodig kan dan ingegrepen worden om de schade te minimaliseren of kunnen achteraf maatregelen genomen worden om dergelijke incidenten in de toekomst te voorkomen. Dergelijke reactieve maatregelen vallen echter buiten de basisfunctionaliteit van SIEM.

Het extraheren van incidenten uit logs is wat SIEM-systemen op een geautomatiseerde manier beloven te doen. Daarnaast bieden ze de mogelijkheid achteraf uitgebreide analyses op de verzamelde logs te doen.

IT-infrastructuren worden complexer en dynamischer, de cyberaanvallen gesofisticeerder en de aanvallers professioneler. Zowel interne als externe aanvallen vormen een bedreiging.

In een moderne IT-infrastructuur van een bedrijf worden vandaag de dag al snel miljoenen security gerelateerde logs door honderden of meer devices gegenereerd, potentieel vanaf verschillende geografisch verspreide locaties. Typisch zijn er op een dag hoogstens enkele incidenten. De uitdaging is om aan de hand van die miljoenen logs die paar incidenten in real-time te extraheren. Indien nodig kan dan ingegrepen worden om de schade te minimaliseren of kunnen achteraf maatregelen genomen worden om dergelijke incidenten in de toekomst te voorkomen. Dergelijke reactieve maatregelen vallen echter buiten de basisfunctionaliteit van SIEM.

Het extraheren van incidenten uit logs is wat SIEM-systemen op een geautomatiseerde manier beloven te doen. Daarnaast bieden ze de mogelijkheid achteraf uitgebreide analyses op de verzamelde logs te doen.