TNO Unboxed #6: De race tegen de quantumdreiging is al begonnen

Van Caesar tot Colossus

Cryptografie begon simpel. Julius Caesar gebruikte een verschuivingscode waarbij elke letter werd vervangen door een andere. Eeuwenlang was dat voldoende om boodschappen geheim te houden. Tot het moment dat mensen systematischer gingen nadenken over het kraken van codes.

In de Tweede Wereldoorlog werd die wedloop versneld door technologie. De beroemde Enigma code is bij het grote publiek vooral bekend doordat Alan Turing een cruciale rol speelde in het kraken ervan, maar minstens zo revolutionair was de Colossus: één van de eerste elektronische computers, ingezet om Duitse codes te breken. Het was een historisch moment waarop rekenkracht definitief de schaalvergroting van cryptanalyse mogelijk maakte.

Diezelfde dynamiek zien we vandaag opnieuw. Alleen staat er nu iets groters op het spel.

Cryptografie zit overal

Sinds de komst van het internet is cryptografie letterlijk onzichtbaar verweven met ons dagelijks leven. Elke pintransactie, elk WhatsApp bericht, elke OV check in en elke beveiligde internetverbinding leunt op cryptografische protocollen.
“Juist die verbindingen onder de motorkap zijn cruciaal,” zegt TNO onderzoeker Thomas, specialist in post quantum cryptografie. “We gebruiken cryptografie voortdurend, vaak zonder het ons te realiseren. En precies daar zit de kwetsbaarheid.”

Het probleem is dat veel van die protocollen gebaseerd zijn op wiskundige problemen die voor klassieke computers praktisch onoplosbaar zijn, maar voor voldoende krachtige quantumcomputers niet meer.

Quantumcomputers: belofte én bedreiging

Quantumcomputers werken fundamenteel anders dan klassieke computers. In plaats van bits gebruiken ze qubits, die meerdere toestanden tegelijk kunnen aannemen. Dat maakt ze uitermate geschikt voor het oplossen van bepaalde wiskundige problemen – waaronder precies die problemen waarop veel huidige cryptografie is gebaseerd.

“Wanneer quantumcomputers groot en stabiel genoeg zijn,” legt Thomas uit, “kunnen ze een groot deel van onze huidige publieke sleutelcryptografie breken. Niet een beetje sneller, maar exponentieel veel sneller.”

Dat betekent niet dat álle cryptografie meteen onbruikbaar wordt. Maar wel dat cruciale bouwstenen onder digitale veiligheid hun beschermende werking verliezen.

Harvest now, decrypt later

Een van de grootste misverstanden is dat organisaties pas in actie hoeven te komen als de quantumcomputer er daadwerkelijk is. In werkelijkheid is de dreiging al actueel.

Inlichtingen- en opsporingsdiensten, maar ook statelijke actoren, slaan vandaag al versleuteld dataverkeer op. Niet omdat ze het nu kunnen lezen, maar omdat ze weten dat dat later wél kan. Deze strategie staat bekend als harvest now, decrypt later.

“Als data langdurig gevoelig is – denk aan staatsgeheimen, bedrijfsgeheimen of persoonsgegevens – dan is het nú al kwetsbaar,” aldus Thomas. “Je kunt niet wachten tot de quantumcomputer operationeel is.”

Daar komt bij dat het vervangen van cryptografie geen simpele software update is. Cryptografische functies zitten diep ingebakken in systemen, ketens en protocollen. Migratie kost jaren.

Post quantum cryptografie bestaat al

Een tweede misverstand is dat er nog geen bescherming mogelijk zou zijn. Dat is onjuist. In 2016 startte het Amerikaanse National Institute of Standards and Technology (NIST) een internationaal proces om tot nieuwe cryptografische standaarden bestand tegen quantumaanvallen te komen. In 2024 zijn de eerste standaarden officieel vastgesteld.

Deze post quantum algoritmen worden inmiddels al toegepast. Zo maakt de berichtenapp Signal al gebruik van post quantum cryptografie in zijn sleuteluitwisseling. Ook andere sectoren experimenteren en implementeren.
“Het bestaat dus niet alleen op papier,” zegt Thomas. “De technologie is er. De uitdaging zit nu in grootschalige en verantwoorde toepassing.”

Wat betekent dit voor organisaties?

Vrijwel alle organisaties gebruiken software waarin cryptografie een rol speelt – vaak zonder precies te weten waar en hoe. De eerste stap richting post quantum weerbaarheid is daarom inventarisatie.

1. Waar in de organisatie wordt cryptografie gebruikt?
2. Welke data moet langdurig beschermd blijven?
3. En wat is de impact als bestaande cryptografie moet worden aangepast?

Internationale richtlijnen hanteren 2035 als richtpunt: tegen die tijd zouden kritieke systemen gemigreerd moeten zijn naar post quantum cryptografie. Dat lijkt ver weg, maar gezien de complexiteit van IT landschappen is het een realistische – en ambitieuze – deadline.

De rol van TNO

Samen met AIVD en CWI ontwikkelde TNO het PQC migratiehandboek, een praktisch hulpmiddel voor organisaties die zich willen voorbereiden op de quantumdreiging. Het handboek biedt zowel bewustwording als concrete stappen: van risicoanalyse tot technische keuzes.

Daarnaast ondersteunt TNO sectoren waar performance en schaal een doorslaggevende rol spelen. In de automotive sector bijvoorbeeld, waar zelfrijdende voertuigen razendsnel moeten communiceren met hun omgeving. Post quantum cryptografie kan daar zwaarder zijn qua reken- en communicatiebelasting. Wat betekent dat voor veiligheid en betrouwbaarheid?

Ook in de financiële sector werkt TNO samen met partijen die nu al vooruit kijken. Banken en betalingsverkeer draaien op complexe infrastructuren waarin cryptografie op talloze plekken is verweven. Juist daar is tijdige voorbereiding essentieel.

Geen revolutie, maar een onvermijdelijke overgang

De opkomst van quantumtechnologie voelt radicaal, maar past in een patroon dat we eerder zagen. Ook de brede introductie van het internet in de jaren negentig vroeg om nieuwe vormen van beveiliging, wetgeving en samenwerking.

Het verschil is dat we deze keer de dreiging al van tevoren kennen. Internationaal wordt verwacht dat rond 2035 een groot deel van de digitale infrastructuur is gemigreerd naar post quantum cryptografie. Tegelijkertijd leert de geschiedenis dat verouderde beveiliging vaak nog decennia blijft rondzingen. Precies daarom is regie nodig.

Vooruitkijken met verantwoordelijkheid

Voor Thomas ligt de uitdaging in het verbinden van wetenschap en praktijk. “Ik hoop met één voet in de academische wereld te blijven, en met de andere bij te dragen aan concrete maatschappelijke impact. Post quantum migratie is zo’n plek waar die werelden samenkomen.”

De boodschap is helder: de race is al begonnen. Wie wacht tot de quantumcomputer er is, loopt achter de feiten aan. Door nu te investeren in kennis, inventarisatie en migratie, bouwen organisaties aan digitale weerbaarheid voor de lange termijn.

Wil je meer weten of meewerken aan oplossingen rond post quantum cryptografie? TNO denkt graag mee.