De mondiale wedloop richting praktische quantumcomputers verschuift van academische experimenten naar industriële programma’s waarin miljarden worden geïnvesteerd. Zodra machines voldoende stabiele qubits en foutcorrectie bereiken, kunnen zij wiskundige problemen oplossen die voor klassieke computers onhaalbaar zijn, zoals het factoriseren van grote getallen waarop RSA steunt of het berekenen van discrete logaritmen die Elliptic Curve Cryptography veilig horen te houden. Shor bewees al theoretisch dat een quantumcomputer deze berekeningen in polynomiale tijd uitvoert; sindsdien groeit de consensus dat onze huidige asymmetrische cryptografie onherroepelijk zal breken, ook al is het exacte moment onzeker. Sommige instituten verwachten een cryptografisch relevante quantumcomputer in het volgende decennium, anderen wijzen op snellere doorbraken in foutcorrectie. Juist deze onzekerheid maakt strategische planning ingewikkeld: je weet dat de storm eraan komt, maar niet wanneer hij landt.
Ondertussen is het harvest-now-decrypt-later-model al realiteit. Geopolitieke tegenstanders onderscheppen vandaag diplomatieke kabels, defensiedossiers en zorggegevens, slaan de versleutelde bestanden op en wachten rustig tot zij ze retroactief kunnen ontcijferen. Voor dossiers met een gevoeligheidsduur van decennia maakt het weinig uit of de quantumdoorbraak in 2028 of 2036 plaatsvindt; als ze nu met kwetsbare sleutels zijn beschermd, zijn ze straks openbaar. Ook nationale wetgeving versterkt de urgentie. De BIO, de AVG en de Wbni vragen om aantoonbare bescherming gedurende de volledige levenscyclus van gegevens. Een organisatie die pas begint zodra een leverancier een PQC-update aanbiedt, loopt permanent achter.
NIST heeft daarom een selectie quantumresistente algoritmen afgerond die zowel klassieke als toekomstige aanvallen moeten weerstaan. CRYSTALS-Kyber en CRYSTALS-Dilithium vormen de nieuwe standaard voor key exchange en digitale handtekeningen; SPHINCS+ biedt een conservatief alternatief. Deze standaarden bieden meer dan technologie: zij geven een gemeenschappelijke taal voor aanbestedingen, leveranciersgesprekken en compliance-audits. Voor Nederlandse departementen betekent dit dat er geen excuus meer is om te wachten. De migratie naar post-quantum cryptografie vraagt om een inventarisatie van alle cryptografische afhankelijkheden, een roadmap waarmee high-value systemen eerst worden aangepakt, hybride combinaties die tijdens de overgang bescherming blijven bieden en governance om leveranciers af te rekenen op hun PQC-roadmaps. Dit artikel schetst hoe je die componenten samenbrengt tot een werkbaar programma dat de Nederlandse Baseline voor Veilige Cloud verstevigt.
Gebruik dit kader om het bestuur mee te nemen in de concrete stappen richting quantum-bestendige cryptografie. Het beschrijft hoe je een feitelijke dreigingsanalyse opstelt, welke dataverzamelingen je onmiddellijk moet beschermen, welke NIST-algoritmen per usecase het meest toekomstvast zijn en hoe je hybride combinaties inzet zodat bestaande RSA- en ECC-structuren gecontroleerd kunnen blijven draaien. Daarnaast krijg je handvatten om leveranciers te toetsen op hun PQC-roadmap, afhankelijkheden te verankeren in architectuurprincipes en de voortgang te koppelen aan BIO- en NIS2-audits.
Een departement stelde zijn PQC-programma uit omdat de CIO dacht dat werkende quantumcomputers pas in 2040 relevant zouden zijn. Toen een interdepartementale audit alsnog opdracht gaf om de risico’s te kwantificeren, bleek dat de inventarisatie van certificaten, hardwarebeveiligingsmodules en applicatiecode achttien maanden duurde. Het testen van Kyber en Dilithium in de identiteit- en e-mailketen nam een extra jaar in beslag en leveranciers hadden nog eens twee tot drie jaar nodig om updates te leveren. De gefaseerde uitrol kwam pas vier jaar na de start op gang. Was de quantumdoorbraak halverwege gekomen, dan had het departement slechts een klein deel van zijn kroonjuwelen beschermd. Door nu te beginnen, creëer je ademruimte en kun je de meest gevoelige datasets meteen met hybride cryptografie afschermen.
NIST Post-Quantum Cryptography Standards: Algorithm Selection
Het selectieproces voor post-quantumalgoritmen draait om meer dan het kiezen van een nieuw stukje wiskunde; het is een afweging tussen beveiligingsniveau, prestatie-eisen, operationele inbedding en compliance. NIST heeft met de CRYSTALS-familie een standaard neergezet die zowel cryptografisch solide is als praktisch inzetbaar in moderne infrastructuren. Kyber, het aangewezen key-encapsulation-mechanisme, vervangt de klassieke Diffie-Hellman-uitwisseling doordat het op het Module Learning With Errors-probleem leunt. Dit probleem is ook voor quantumcomputers hardnekkig, terwijl de implementatie verrassend efficiënt blijft. In testopstellingen bij Nederlandse ministeries bleek dat Kyber-sleutels binnen microseconden worden gegenereerd en dat de payloads voor Kyber-768 – de variant die gelijkwaardig is aan 192 bits klassieke veiligheid – nog steeds onder twee kilobyte blijven. Daardoor kunnen TLS-terminators, VPN-gateways en e-mailencryptiegateways zonder merkbare vertraging overschakelen. Voor hooggerubriceerde informatie kan Kyber-1024 worden ingezet, waarmee een 256-bits veiligheidsmarge ontstaat die aansluit bij NAVO-richtlijnen.
De meeste organisaties kiezen voor een hybride implementatie waarin Kyber en ECDH naast elkaar draaien. De sessiesleutel wordt dan afgeleid uit beide resultaten, zodat een onverwachte kwetsbaarheid in Kyber kan worden opgevangen door de klassieke component en andersom. Microsoft voert die aanpak al door in de preview van zijn TLS 1.3-stack en Azure Key Vault kondigt Kyber-ondersteuning voor HSM-sleutels aan. Dat betekent dat Nederlandse overheden bij de eerstvolgende raamcontractverlenging expliciet kunnen eisen dat leveranciers hybride suites ondersteunen en dat certificeringsinstanties klaarstaan om Kyber-gebaseerde oplossingen te accrediteren.
Voor digitale handtekeningen geldt Dilithium als nieuwe norm. Het algoritme, inmiddels gepubliceerd als FIPS 204, biedt drie beveiligingsniveaus zodat je per toepassing kunt kiezen: Dilithium2 is ideaal voor brede uitrol in kantoorautomatisering, Dilithium3 sluit aan bij kritieke SaaS-ketens en Dilithium5 is geschikt voor documenten die tientallen jaren vertrouwelijk blijven. Hoewel de handtekeningen groter zijn dan ECDSA, blijkt uit praktijkproeven dat ondertekening en verificatie binnen milliseconden plaatsvinden. Het echte werk zit in de keten: certificaatautoriteiten moeten Dilithium-certificaten uitgeven, hardwaretokens en smartcards hebben firmware-updates nodig en loggingplatformen moeten leren omgaan met de grotere artefacten. Door de PKI-herinrichting te koppelen aan het reguliere certificaatvervangingsschema voorkom je dat de bestaande trust chain plotseling onbruikbaar wordt.
Toch volstaat één algoritme nooit als vangnet voor nationale belangen. Daarom is SPHINCS+ opgenomen als stateloos hash-based alternatief. Het gebruikt enkel de veiligheid van SHA-2 en SHA-3 en omzeilt daarmee het risico dat er in de toekomst een structurele zwakte in roostercodes wordt gevonden. De prijs is duidelijk: ondertekeningen zijn groter en het genereren duurt langer. Maar voor archiefbestendige documenten, firmware-updates van kritieke infrastructuren of juridische stukken die veertig jaar beschikbaar moeten blijven, is die prijs acceptabel. Door SPHINCS+ als fallback in je architectuurprincipes te benoemen, houd je ruimte om te schakelen zodra toezichthouders of de Algemene Rekenkamer vragen om bewijs dat je niet op één cryptografische pijler vertrouwt.
Een volwassen algoritmestrategie beschrijft dus wanneer je Kyber toepast op sleuteluitwisseling in TLS, welke werkstromen Dilithium als standaardhandtekening krijgen en voor welke scenario’s SPHINCS+ wordt gereserveerd. Tegelijkertijd is cryptografische wendbaarheid essentieel: zorg dat cryptobibliotheken via policyconfiguraties kunnen worden geüpdatet en dat CI/CD-pijplijnen automatisch testen of nieuwe firmware nog steeds Kyber- en Dilithium-artefacten accepteert. Door deze technische keuzes te verbinden aan governance-elementen – denk aan architectuurborden, change-advisory boards en compliance-rapportages – blijft de discussie niet steken in theoretische beschouwingen maar vertaalt zij zich naar concrete controles binnen de Nederlandse Baseline voor Veilige Cloud.
Migration Strategy: Phased Transition Roadmap
Een geloofwaardige migratiestrategie begint bij een inventarisatie die verder gaat dan een lijst van certificaten. Je brengt per keten in kaart welke algoritmen worden gebruikt, hoe lang de gegevens vertrouwelijk moeten blijven en welke leveranciers verantwoordelijk zijn voor updates. Start met netwerkmetingen om TLS-diensten, VPN’s en API-gateways te identificeren; combineer dat met code-analyses van maatwerkapplicaties en met exports uit sleutelbeheersystemen. Noteer niet alleen of RSA of ECC wordt gebruikt, maar ook sleutelgroottes, hashingmechanismen en de rotatiecyclus. Door die gegevens te verrijken met informatie over data-classificatie en bedrijfscriticaliteit ontstaat een kaart van waar harvest-now-decrypt-later het meeste kwaad kan aanrichten. In de praktijk blijken certificaten van publieksportalen bijna altijd RSA-2048 te gebruiken, terwijl interne messaging-platforms vaak hardcoded ECDH-parameters hebben die lastig zijn aan te passen. Dat inzicht bepaalt de volgorde van handelen.
Vervolgens vertaal je de inventaris in een roadmap. De eerste fase richt zich op datasets met een lange gevoeligheidsduur, zoals diplomatieke communicatie en gezondheidsgegevens van ambtenaren. Daar introduceer je hybride key exchange zodat de symmetrische sessiesleutels vandaag al quantum-bestendig zijn. Parallel bereid je de backoffice voor: HSM’s krijgen firmware die Kyber ondersteunt, PKI’s worden aangevuld met Dilithium-raizencertificaten en loggingplatformen worden getest op grotere payloads. De tweede fase pakt de brede kantoorautomatisering aan. Denk aan SharePoint, Exchange en Teams waar miljoenen documenten doorheen stromen. Door eerst de identity backbone te migreren – Azure AD, Entra ID, ADFS – kun je de rest van het ecosysteem gecontroleerd volgen. De laatste fase concentreert zich op nicheapplicaties en legacy protocollen waarvoor mogelijk een vervangingsproject nodig is.
Hybride cryptografie is in elke fase het vangnet. In TLS-terminators betekent dit dat zowel ECDH als Kyber worden uitgevoerd en dat het sleutelmaterial wordt samengevoegd via HKDF. Voor digitale handtekeningen kun je dubbel ondertekenen: Dilithium voor de toekomst, ECDSA voor compatibiliteit met bestaande clients. Hetzelfde geldt voor document-workflows binnen Microsoft Purview of voor API-authenticatie waar JWT’s tijdelijk twee handtekeningen meekrijgen. Ja, dit introduceert extra latency en grotere berichten. Maar door de toepassing te beperken tot processen met hoge gevoeligheid en door compressie en session resumption slim in te zetten, blijft de gebruikerservaring acceptabel.
Parallel aan de technische uitrol is grondige kwaliteitsborging noodzakelijk. Bouw testomgevingen waarin klassieke en post-quantumvarianten naast elkaar draaien en voer penetratietesten uit op de hybride implementatie. Simuleer incidentscenario’s zoals het intrekken van een quantum-onveilige certificaathouder of het uitvallen van een HSM-cluster zodat je weet hoe rollback en sleutelherstel verlopen. Documenteer bovendien hoe audittrails aantonen welke algoritmen op welk moment actief waren; dit versnelt latere compliancecontroles.
Governance bepaalt of de roadmap daadwerkelijk vooruitgang boekt. Stel duidelijke beslismomenten vast: welke release van Windows, iOS of je VPN-appliance bevat PQC? Welke SLA leg je leveranciers op voor ondersteuning? Gebruik CAB’s en architectuurraden om uitzonderingen vast te leggen en koppel KPI’s (bijvoorbeeld het percentage hybride TLS-verbindingen) aan het security-dashboard dat naar de Tweede Kamer wordt gerapporteerd. Voeg daarnaast een continue monitoringslus toe. Zodra de Europese agentschappen nieuwe richtlijnen publiceren of NIST aanvullende profielen vrijgeeft, moet je beleid mee kunnen bewegen. Met die combinatie van inventarisatie, hybride transitielagen en bestuurlijke borging verandert PQC-migratie van een los eindje in een meerjarig programma met duidelijke verantwoordelijkheden.
De stap naar post-quantum cryptografie is geen modetrend maar een verzekeringspolis voor staatsgeheimen, beleidsdossiers en burgerrechten. Wie nu een robuuste inventarisatie uitvoert, Kyber en Dilithium gecontroleerd invoert en SPHINCS+ stand-by houdt, verlaagt meteen het risico dat verzamelde gegevens ooit ongeautoriseerd worden ontsleuteld. Bovendien toont de organisatie richting toezichthouders, de Algemene Rekenkamer en internationale partners dat zij de Nederlandse Baseline voor Veilige Cloud actief doorontwikkelt. Onzekerheid over het exacte moment waarop een quantumcomputer RSA breekt, mag geen argument meer zijn; de doorlooptijd van inventaris, vendor-upgrades en gefaseerde uitrol is simpelweg te lang om te wachten op een definitief signaal. Bestuurders die nu budget reserveren, kaders vaststellen en leveranciers afrekenen op meetbare PQC-mijlpalen, geven hun organisatie zes jaar in plaats van zes maanden voorbereidingstijd. Daarmee houden zij regie over technologische soevereiniteit en blijven zij geloofwaardig wanneer zij burgers beloven dat vertrouwelijke informatie ook in het quantumtijdperk beschermd blijft.