NIST heeft zijn eerste post-kwantumcryptografiestandaarden gepubliceerd en grote cloudproviders implementeren ze al. Quantum computers zullen huidige asymmetrische versleuteling onveilig maken vóór 2030. Harvest-now-decrypt-later-aanvallen zijn al gaande. Dit zijn de stappen die elke enterprise nu moet zetten.
Kwantumcomputing is geen verre toekomstmuziek meer. NIST publiceerde in 2024 zijn eerste drie post-kwantumcryptografiestandaarden (PQC), en in maart 2025 werd HQC geselecteerd als reservealgoritme voor sleutelinkapseling. Google, AWS en Microsoft implementeren post-kwantumversleuteling al in hun cloudinfrastructuur. De migratiewindow voor enterprise-organisaties is nu — en het duurt niet lang.
Quantum computers zullen huidige asymmetrische versleuteling — RSA en ECC — onbruikbaar maken vóór 2030. Gartner waarschuwt dat organisaties die wachten tot 2028-2029 te laat zijn. Maar er is een urgenter risico: harvest-now-decrypt-later-aanvallen (HNDL).
Bij HNDL verzamelen aanvallers nu versleuteld netwerkverkeer en sla het op in afwachting van de dag dat een kwantumcomputer sterk genoeg is om het te ontsleutelen. Gevoelige bedrijfsdata die vandaag verstuurd wordt — financiële transacties, klantdata, intellectueel eigendom — kan over vijf jaar leesbaar zijn voor aanvallers die nu al actief zijn.
De primaire NIST-standaard voor sleutelinkapseling is ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), vroeger bekend als CRYSTALS-Kyber. ML-KEM bestaat uit drie varianten: ML-KEM-512 (equivalent aan AES-128), ML-KEM-768 (de aanbevolen standaard voor de meeste toepassingen) en ML-KEM-1024 (equivalent aan AES-256, voor de hoogste beveiligingseisen).
ML-KEM vervangt RSA/ECDH in TLS 1.3-handshakes. Google en Cloudflare hebben hybride PQC-verbindingen (klassiek + post-kwantum) al in productie genomen in hun netwerkinfrastructuur. Microsoft volgt in zijn cloudservices.
Amerikaanse federale instanties moeten voldoen aan CNSA 2.0-compliance voor nieuwe National Security Systems vóór 1 januari 2027. Hoewel dit geen directe verplichting is voor Europese of Nederlandse organisaties, fungeert het als marktsignaal: beveiligingsstandaarden verschuiven, en leveranciers en partners zullen PQC-gereedheid steeds vaker als voorwaarde stellen.
Een praktische aanpak voor enterprise-organisaties: Fase 1 — Cryptografische inventarisatie. Zet automatische discovery-tools in om alle RSA- en ECC-gebruik in uw omgeving te identificeren: TLS-certificaten, codesigneringssleutels, VPN-verbindingen, encryptie van data-at-rest en interne PKI. Fase 2 — Risicogebaseerde prioritering. Begin met internetgerichte TLS-verbindingen (hoogste blootstelling), gevolgd door interne PKI en tot slot versleuteling van opgeslagen data. Fase 3 — Hybride implementatie. Gebruik een hybride aanpak waarbij klassieke en post-kwantumalgoritmen naast elkaar opereren. Dit biedt maximale compatibiliteit tijdens de transitie.
Start met een cryptografische inventarisatie als u dat nog niet gedaan heeft. Identificeer welke data het meeste risico loopt bij HNDL-aanvallen. Overleg met uw cloudproviders over hun PQC-routekaart. En zorg dat uw certificaatbeheer en PKI-omgeving klaar zijn voor ML-KEM.
Zarioh Digital Solutions ondersteunt organisaties bij de voorbereiding op post-kwantummigraties in Microsoft Azure en Microsoft 365-omgevingen. Neem contact op voor een PQC-gereedheidsanalyse.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
