Architecture

Post-Quantum Cryptografie: Voorbereiden op Quantum Computing Dreigingen

📊 Strategisch 👥 Security Architects, Cryptography Specialists, CTO ⏱️ 34 min lezen
Mobile Device Tablet ! Mobile Device Management Compliant 147 devices Non-Compliant 8 devices Total 155 devices
Executive Summary

Quantumcomputers vormen geen sciencefiction meer maar een voorspelbare disruptie voor publieke-sleutelcryptografie. Zodra fault-tolerante machines beschikbaar komen, breken zij RSA-, Diffie-Hellman- en elliptische-curve-implementaties die vandaag digitale handtekeningen, VPN’s en authenticatieketens beschermen. De NIST-standaardisatie heeft daarom CRYSTALS-Kyber, CRYSTALS-Dilithium, Falcon en SPHINCS+ geselecteerd als nieuwe basis voor sleuteluitwisseling en handtekeningen die bestand zijn tegen zowel klassieke als quantumaanvallen. Voor Nederlandse overheidsorganisaties, die onder de BIO, NIS2 en de Nederlandse Baseline voor Veilige Cloud vallen, betekent dit dat zij nu al een integraal migratieprogramma moeten opzetten.

Een geloofwaardige roadmap begint met een volledige cryptografische inventarisatie, gevolgd door een beoordeling van crypto-agility binnen applicaties, devices, identiteitsplatformen en ketenintegraties. Op basis van gegevensgevoeligheid, bewaartermijnen en geopolitieke dreigingsinschattingen worden doelarchitecturen en prioriteiten vastgesteld. Vervolgens worden hybride configuraties ontworpen waarin klassieke algoritmen naast Kyber of Dilithium draaien zodat interoperabiliteit behouden blijft tijdens de overgang. Budgettering voor architectuurstudies (50–150 duizend euro) en meerjarige implementatietrajecten (CAPEX en OPEX over 5–10 jaar) is onvermijdelijk, maar voorkomt paniekmigraties zodra “harvest now, decrypt later”-aanvallers hun opgeslagen gegevens kunnen ontsleutelen.

Migratiestrategie voor post-quantumcryptografie

De migratie naar post-quantumcryptografie begint bij een radicaal eerlijke inventarisatie. Iedere sleutel, elk certificaat en elke protocolstack binnen Microsoft 365, Azure, OT-omgevingen en on-premises toepassingen moet in kaart worden gebracht, inclusief de context waarin het cryptografische materiaal wordt gebruikt en hoe lang de onderliggende gegevens vertrouwelijk moeten blijven. Deze inventaris combineert technische scans (bijvoorbeeld via Defender for Cloud, Sentinel en Certificate Transparency-logs) met interviews bij applicatie-eigenaren, archivarissen en informatiebeveiligingsadviseurs om ook maatwerk en schaduw-IT zichtbaar te maken. Het resultaat is een levend register dat aansluit bij de BIO-paragraaf over sleutelbeheer, de eisen van de Archiefwet en de governanceprincipes van de Nederlandse Baseline voor Veilige Cloud.

Op basis van deze inventaris volgt een crypto-agility-beoordeling. Teams analyseren waar algoritmen hard gecodeerd zijn, welke leveranciers al Kyber- of Dilithium-roadmaps hebben, en welke CI/CD-pijplijnen, HSM’s of PKI-componenten nog niet scriptbaar zijn. Legacy-systemen zoals SCADA-gateways, paspoortverwerkende applicaties of oude IPsec-appliances krijgen een technische risicoscore waarin prestatie-impact, afhankelijkheid van buitenlandse leveranciers en patchbaarheid worden meegenomen. De uitkomst voedt een risicogestuurde prioritering waarin gegevens met een levensduur van decennia (bijvoorbeeld staatsgeheimen, tucht- of strafdossiers, bevolkingsadministraties) voorrang krijgen, gevolgd door processen die de continuïteit van vitale infrastructuur of verkiezingssystemen raken.

Vervolgens wordt een hybride architectuur ontworpen. Voor TLS 1.3, IPsec en S/MIME betekent dit dat klassieke suites worden gecombineerd met Kyber-key exchanges en Dilithium-handtekeningen, zodat sessies quantumveilig zijn zonder directe compatibiliteitsbreuken. Voor firmware-ondertekening en identiteitsbewijzen kunnen Falcon en SPHINCS+ worden ingezet om compacte handtekeningen te behouden, terwijl logging en audit-trails worden uitgebreid om cryptografische keuzes aantoonbaar te maken richting toezichthouders. Proefopstellingen draaien gecontroleerd binnen een laboratoriumtenant of een gescheiden OT-segment, zodat prestaties, sleutelgroottes en beheerprocessen kunnen worden getest voordat ze in productie gaan. Hierbij horen geautomatiseerde regressietesten, scenario’s voor gecontroleerde verstoringen en fallback-procedures om incidenten te voorkomen.

De organisatorische component is even belangrijk. Het programma wordt ondergebracht bij een interdepartementaal cryptografieboard waarin CISO’s, CTO’s, juristen, inkoop en vertegenwoordigers van het NCSC en relevante Rijksdiensten zijn vertegenwoordigd. Dit board bepaalt standaarden, bewaakt aansluiting op NIS2-, AVG- en Woo-vereisten en legt keuzes vast in architectuurlogs zodat audits kunnen aantonen dat beslissingen risicogestuurd zijn genomen. Leverancierscontracten krijgen clausules over PQC-roadmaps, broncode-escrow en prestatiegaranties, terwijl raamovereenkomsten voor hardwareversnellers en PQC-compatibele HSM’s centraal worden ingekocht om schaalvoordelen te behalen.

Tot slot verankert de organisatie de verandering in processen en budgetten. Financiële scenario’s modelleren investeringen voor nieuwe PKI’s, netwerkcomponenten en licenties, plus structurele kosten voor training en beheer. Opleidingsprogramma’s voor ontwikkelaars, SOC-analisten en sleutelbeheerders behandelen nieuwe algoritmen, sleutelrotatie en post-quantum incidentrespons. Communicatie naar bestuurders benadrukt dat “harvest now, decrypt later” nu al plaatsvindt en dat tijdige actie reputatieschade en juridische claims voorkomt. Door elke stap te koppelen aan meetbare KPI’s, zoals het percentage gemigreerde certificaten, het aantal crypto-agile applicaties en het aantal leveranciers met een geverifieerde PQC-roadmap, kan de organisatie aantonen dat zij de Nederlandse Baseline voor Veilige Cloud en de BIO-cyclus van continue verbetering daadwerkelijk operationaliseert.

Een volwassen migratieprogramma controleert tenslotte continu de effectiviteit van maatregelen. Dat betekent dat informatie van NCSC en AIVD over quantumontwikkelingen wordt vertaald naar aangepaste dreigingsscenario’s, dat tabletop-oefeningen en gezamenlijke testtrajecten toetsen of incidentprocessen en communicatieprotocollen ook met nieuwe algoritmen blijven werken, en dat forensische tools worden geüpdatet om grotere sleutelmaterialen en certificaatketens te analyseren. Ervaringen uit pilots worden vastgelegd in architectuur-beslisdocumenten, gedeeld via Rijksbrede communities en gevoed aan kennisbanken zoals het CIO-beraad, zodat andere departementen niet telkens het wiel opnieuw hoeven uit te vinden. Door deze feedbacklus vast onderdeel te maken van kwartaalrapportages ontstaat een cultuur van continu verbeteren en blijft de overheid aantoonbaar in control, zelfs wanneer de technologie zich sneller ontwikkelt dan de regelgeving.

Conclusie

Post-quantum cryptografie is geen technisch zijproject maar een strategische randvoorwaarde om vertrouwen in digitale overheid te behouden. Door vandaag een volledig inventaris, crypto-agility-roadmap en hybride architectuur te realiseren, ontstaat tijd om leveranciers te sturen, personeel op te leiden en governance te borgen voordat quantumcomputers de huidige beveiliging breken. Organisaties die deze voorbereiding koppelen aan de Nederlandse Baseline voor Veilige Cloud, BIO-continuĂŻteitseisen en NIS2-verantwoordingsplichten kunnen aantonen dat zij proportioneel handelen en gevoelige gegevens duurzaam beschermen. Wie wacht tot de eerste quantumaanval publiek wordt, zal onder tijdsdruk dure noodingrepen moeten uitvoeren; wie nu investeert, kan gecontroleerd migreren en het vertrouwen van burgers behouden.

Executive Aanbevelingen
  • Richt een interdepartementaal PQC-programmabureau in dat inventarisatie, architectuurkeuzes en compliance-afstemming aanstuurt.
  • Leg in alle contracten en DAP’s vast dat leveranciers Kyber-, Dilithium-, Falcon- of SPHINCS+-roadmaps en testdata leveren.
  • Integreer crypto-agility-controls in CI/CD, sleutelbeheer en patchprocessen zodat wijzigingen aantoonbaar en herhaalbaar zijn.
  • Implementeer hybride cryptografie in prioritaire ketens (TLS, VPN, S/MIME, firmware) inclusief rollback- en monitoringprocedures.
  • Reserveer meerjarige budgetten voor nieuwe PKI’s, HSM’s, opleiding en managed services zodat de migratie niet stokt.
Post-quantum cryptografie Quantumcomputing Cryptografische wendbaarheid