'Als we data veilig willen houden, moeten we ons haasten'

In dit artikel:

Tijdens Cybersec Europe in Brussel benadrukte Jan-Pieter D’Anvers, postdoctoraal onderzoeker aan KU Leuven, dat post‑quantumcryptografie (PQC) en volledig homomorfe encryptie niet langer louter academische thema’s zijn: bedrijven moeten nu in actie komen. Quantumcomputers dreigen binnen een decennium klassieke asymmetrische algoritmes zoals RSA en elliptische-curvecryptografie te breken, waardoor opgeslagen vertrouwelijke data—bedrijfsinformatie, financiële gegevens en intellectueel eigendom—tegen toekomstige ontcijfering kwetsbaar worden. Omdat kwaadwillenden nu al gecodeerde data verzamelen om die later te breken (“harvest now, decrypt later”), is uitstel riskant.

De urgentie is groot: experts verwachten binnen tien jaar doorbraken, en het migreren naar quantumbestendige systemen kan jaren duren. D’Anvers waarschuwt dat organisaties snel moeten beginnen omdat het migratieproces zelf tot vijf jaar kan duren en data die in die periode met verouderde methoden is versleuteld later te kraken valt. PQC heeft als voordeel dat het op klassieke hardware draait—geen speciale quantumapparatuur nodig—dus implementatie kan direct starten.

Er bestaan inmiddels NIST-standaarden voor PQC na een beoordelingsproces dat in 2017 begon. NIST selecteerde uiteindelijk onder andere ML‑KEM (een post‑quantum veilige sleutel‑inkapselingmethode) en eerder Kyber als basis; het Belgische algoritme Saber van KU Leuven werd geen standaard, maar droeg wel bij aan verbeteringen in het proces. Dit geeft vertrouwen in de nieuwe normen en maakt praktische adoptie mogelijk via bestaande cryptografiebibliotheken (bijv. OpenSSL).

Op nationaal niveau dwingt de VS met een National Security Memorandum migratiedeadlines af: tegen 2035 moeten nationale veiligheidssystemen zijn overgezet naar quantumbestendige cryptografie. Voor bedrijven adviseert D’Anvers concrete stappen: maak een cryptografische inventaris, identificeer risico’s en langelevende data, wijs iemand aan om een implementatieplan te maken, vraag leveranciers naar hun migratiestrategie en geef prioriteit aan bescherming van IP, klantdata en kritieke systemen. Daarnaast zijn training van IT‑teams en soms hardware‑upgrades (smartcards, wearables) noodzakelijk. Sectoren als financiële dienstverlening en zorg behoeven extra aandacht.

Organisaties kunnen nu beginnen: de algoritmen en software zijn beschikbaar, maar continu monitoren, updaten en bijscholen blijft essentieel om bij te blijven met zowel vooruitgang in quantumcomputing als in cryptografische oplossingen. Ter aanvulling: Cybersec Netherlands besteedt aanverwante thema’s aandacht op 10–11 september in Utrecht, waar professionals verdere implementatievragen kunnen bespreken.