Come, let us hasten to a higher plane,
Where dyads tread the fairy fields of Venn,
Their indices bedecked from 1 to n,
Commingled in an endless Markov chain!
Samenvatting
Volgens de geruchten moeten we nu meteen al onze cryptografie vervangen. Quantum computing staat voor de deur! Het zal elk slot dat we gebruiken openbreken! Vervang je apparaten, je software, je gehele stack – vandaag nog.
Dat is verhaal gebaseerd op angst, geen realiteit.
De doorbraken rond quantumtechnologie zitten nog vol onzekerheden. En áls ze komen, ontwrichten ze niet in één klap de hele digitale wereld. Veel van de huidige cryptografie blijft gewoon standhouden. En de “nieuwe” alternatieven die sommige leveranciers nu al pushen? Die zijn vaak nauwelijks getest in echte omgevingen. Sommige vertonen nu al zwakke plekken.
Daar zit het echte risico: bewezen verdedigingen inruilen voor oplossingen die vandaag al fragiel blijken.
Er is een verstandigere route. Blijf wendbaar (crypto-agile). Zorg dat je kunt schakelen wanneer de feiten daarom vragen. Geen paniek. Geen sprongen in het duister. Alleen heldere blik, vaste hand en een strategie die meebeweegt wanneer de wereld dat doet.
The heat is on
De druk om in volle vaart over te stappen op post-quantumcryptografie neemt toe. Een deel daarvan komt voort uit een reële zorg: de opkomst van ‘harvest now, decrypt later’ tactieken. Aanvallers die vandaag versleutelde data stelen en wachten tot de rekenkracht van morgen die kan openbreken. Die dreiging is niet verzonnen.
Maar de rest van de druk? Dat is ruis. Venture capital dat op zoek is naar de volgende raketlancering. Een industrie die jaagt op het gevoel van een “next big thing”, terwijl de middelen steeds schaarser worden. Een luchtspiegeling die zich voordoet als momentum.
De post-quantum crypto rush
Er ontstaat zo een gevoel van urgentie. De indruk dat jij snel moet handelen. Heel snel.
Anders…
Maar haast heeft een lange, rommelige geschiedenis. Tijd voor een kleine parabel.
In 1848 doken er een paar goudschilfers op bij Sutter’s Mill in Californië. Eén man, Sam Brannan, verspreidde het nieuws razendsnel. In 1849 stroomden golven aan gelukzoekers de staat binnen. De legende zegt dat er fortuinen werden verdiend. De werkelijkheid was minder glanzend: over de hele goldrush werd slechts zo’n 800 kilo goud boven water gehaald. Veel zweet. Weinig glitters.
De echte winnaars waren niet de mijnwerkers. Het waren de verkopers.
Brannan had in stilte bijna alle prospectietools opgekocht en verkocht ze daarna voor enorme marges. Californië’s eerste miljonair zocht geen goud, hij verkocht de scheppen.
Levi Strauss vond zijn markt in extra stevig werkgoed. Hotels, bars, gokzalen en bordelen floreerden terwijl de goudzoekers bleven graven.
Einde van de parabel.
The shadow of hidden agendas
Cryptografie heeft een lange geschiedenis, en die is niet altijd vlekkeloos. Ze is ontstaan uit militaire noodzaak. Het idee was simpel: jij wilt veilige, onkraakbare communicatie voor jezelf, terwijl jouw tegenstanders dat niet hebben.
In een totalitaire manier van denken rekt het woord ‘tegenstander’ zich veel verder uit dan vijandige staten. Het omvat iedereen. Elke burger. Elke organisatie. Als iedereen een potentieel risico is, moet elke boodschap kunnen worden bekeken. Dat denken vormde de enorme surveillancesystemen die onder meer door Snowden zijn onthuld.
De doctrine van Total Information Awareness bestaat nog steeds. Ze verschuilt zich vaak achter nobele doelen zoals het bestrijden van cybercrime, kinderuitbuiting of terrorisme. Recent dook ze opnieuw op in de EU, via pogingen om ChatControl in te voeren.
Eén onderdeel van die surveillancestrijd raakt direct aan dit onderwerp: cryptografie zelf. De algoritmes die gekozen worden. De standaarden die worden vastgesteld. De partijen die daar macht over hebben. Al decennialang heeft één organisatie buitenproportioneel veel invloed: de NSA.
Afhankelijk van wie je het vraagt, staat NSA voor No Such Agency of voor National Security Agency. Feit blijft dat een inlichtingendienst met nationale belangen die wereldwijd cryptografische standaarden helpt bepalen, begrijpelijke risico’s en afwegingen introduceert.
Are you not entertained?
DARPA, een andere Amerikaanse overheidsorganisatie, heeft de quantumarena betreden met het Quantum Benchmarking Initiative (QBI). In tegenstelling tot de NSA richt DARPA zich niet primair op cryptografie. Ze stelt een bredere vraag: heeft quantum computing op korte termijn überhaupt praktische waarde?
Fase A bestond uit een conceptuele verkenning van mogelijke, op korte termijn realiseerbare quantumcomputers van ‘utility scale’.
Per 6 november 2025 heeft DARPA 11 bedrijven geselecteerd voor Fase B, waarin zij hun R&D-plannen mogen uitwerken. Fase C volgt daarna en richt zich op het verifiëren en valideren van de claims uit Fase B.
Gezien Gutmanns observaties is die bredere vraag logisch. Zijn bekendste observatie: het grootste getal dat eerlijk is gefactoriseerd door een quantumcomputer is 35, iets wat je eveneens kunt doen met “een VIC-20 8-bit home computer uit 1981, een abacus en een hond”.
Met andere woorden: een vroege jaren ’80-computer doet het momenteel beter dan de meest geavanceerde quantumcomputers. Sterker nog: zelfs Gutmanns hond, en een rekenhulpmiddel uit 2700–2300 v.Chr., presteren beter. Er is vooruitgang, maar die gaat langzaam. Quantumontwikkeling bevindt zich nog in de fase van R&D-plannen schrijven, niet in het herschrijven van de wiskunde.
Dit zou je aan het denken moeten zetten. Het gaat lijnrecht in tegen het idee dat je hals over kop moet overstappen op nieuwe, ongeteste cryptografische algoritmes, alleen maar omdat het woord quantum luid genoeg wordt herhaald. Onze huidige instrumenten zijn niet perfect, maar ze zijn wél begrepen, beoordeeld en door de praktijk getest. De nieuwe alternatieven zijn dat niet.
Full steam ahead
IJsschotsen of niet, kapitein Edward John Smith voelde de druk om een snelle oversteek over de Atlantische Oceaan te maken. De Titanic stoomde door met 22 knopen. De bemanning wist dat er ijs in het water lag. Ze gingen toch door. We weten hoe dat afliep. Druk zorgt ervoor dat mensen risico’s nemen die ze beter niet hadden moeten nemen.
We varen nu in een vergelijkbaar vaarwater, maar met één voordeel: je kunt nog van koers veranderen. Je kunt navigeren tussen de Scylla van harvest now, decrypt later-angst en de Charybdis van een overhaaste sprong naar cryptografie die ongetest, onbetrouwbaar of stilletjes gecompromitteerd is.
Je hoeft de fout van de Titanic niet te herhalen.
Multiple encryption
De vrees voor een plotselinge quantumdoorbraak die delen van de huidige cryptografie kan kraken, gecombineerd met twijfels over de volwassenheid van nieuwe algoritmes zoals CRYSTALS-Kyber, CRYSTALS-Dilithium en SPHINCS+, heeft sommige mensen richting een ogenschijnlijk veilige fallback geduwd: gebruik beide.
Deze aanpak staat bekend als cascade encryption, cipher stacking of superencipherment.
Het klinkt veilig. In de praktijk komt het met behoorlijk wat ballast.
Meer configuratie. Meer operationele overhead. Meer kans op fouten.
En zwaardere eisen aan hardware. Silicon moet harder werken. Dat telt, zeker bij apparaten met een kleine footprint en ingebouwde cryptografie, zoals betaalkaarten, smart locks en autosystemen voor keyless entry.
Er is nog een andere valkuil: twee cryptografische functies combineren levert niet automatisch een sterker systeem op. In het slechtste geval heffen ze elkaar zelfs op. In subtielere gevallen zijn de sleutels in elke laag niet onafhankelijk. Breekt een aanvaller één laag, dan kan de hele keten instorten, en staat die aanvaller uiteindelijk met de sleutel in handen die álles beschermt.
Hoewel dubbele encryptie wordt voorgeschreven in het NSA Commercial Solutions for Classified Program (CSfC), is er geen brede adoptie.
A call for agility
“Cryptography is the art of transforming large secrets into small ones.“
Bruce Schneier
We hebben geen glazen bol. We hebben geen toegang tot de verborgen digitale arsenalen van moderne inlichtingendiensten.
Wat we wél weten, is dit: de nieuwe generatie post-quantumalgoritmes die nu wordt gepusht, is nog niet gevechtgetest. Dat is logisch in deze fase, maar het is wel belangrijk. De tools die we gebruiken om deze algoritmes te analyseren en aan te vallen, zijn nog niet scherp genoeg.
Overhaast overstappen van stabiele, bewezen cryptografie naar iets nieuws, ongetest of mogelijk verzwakt, puur uit angst voor een toekomstige quantumdoorbraak, is geen verstandige strategie.
Maar wat dan wél?
Wendbaarheid.
Bouw het vermogen om jouw cryptografie snel te kunnen aanpassen. Zorg dat je componenten in communicatiesystemen en datastromen kunt vervangen zonder jouw omgeving open te breken. Zodra een nieuw algoritme bewezen volwassen, solide en schoon is, kun jij het direct adopteren.
Wendbaarheid is het veiligheidsventiel. De druk kan oplopen, maar jij kunt bewegen wanneer het ertoe doet.
FAQ
1. Paniek?
Nee. Niet in paniek raken.
2. Is onze huidige cryptografie stuk?
Nee. Alleen een klein deel ervan (asymmetrische cryptografie met lage sleutellengtes) loopt op termijn risico. En zelfs die tijdslijnen zijn op dit moment vaag.
3. Is multiple encryption een haalbare aanpak?
In theorie wel. In de praktijk moeilijk veilig te implementeren. De extra complexiteit en performance-impact blokkeren veel real-world toepassingen.
4. Hoe verhoog ik mijn wendbaarheid?
Krijg strak beheer over je configuraties. Neem wendbaarheidseisen op in inkoop en ontwikkeling. En stroomlijn je wijzigingsproces, zodat cryptografie vervangen geen openhartoperatie meer voelt.
