Kwantumcomputing vormt een van de grootste dreigingen op het gebied van cybersecurity. Niemand die precies kan zeggen wanneer het zal gebeuren, maar uiteindelijk zal het voor een kwantumcomputer mogelijk zijn om onze huidige encryptie van data te kraken. Dit betekent dat ook gevoelige gegevens plots op straat kunnen belanden. Bedrijven moeten zich hiervan bewust zijn en vandaag beginnen met de voorbereiding op post-kwantum cryptografie.
Medische dossiers, financiële data… Voor sommige gegevens moeten organisaties garanderen dat ze gedurende dertig jaar veilig zijn. Helaas is dat niet mogelijk zonder rekening te houden met de komst van kwantumcomputers. In principe kan het voor heel wat informatie zelfs al te laat zijn. Wie versleutelde data onderschept, kan die met een gewone computer gelukkig niet ontgrendelen. Maar door de gegevens te bewaren, zal het straks met een kwantumcomputer wel denkbaar zijn om in een vingerknip toegang te krijgen tot deze goed beschermde informatie.
Wat is kwantumcomputing?
Kwantumcomputers maken gebruik van de wetten van de kwantummechanica. Waar een gewone computer zich beperkt tot bits (1 of 0), werkt een kwantumcomputer met qubits die tegelijkertijd 1 én 0 kunnen zijn. Concreet betekent dit dat zo’n computer dankzij ‘superpositie’ alle mogelijke scenario’s kan berekenen en problemen kan oplossen waar we met hedendaagse technologie nog honderden jaren voor nodig zouden hebben.
Vooral in bepaalde toepassingen, zoals AI en het onderzoek naar medicijnen en behandelingen, zullen deze kwantumcomputers baanbrekend zijn. Eén van de meest bekende algoritmen waar ze raad mee weten, is het factoriseren van priemgetallen. Jammer genoeg is dit precies waarop onze huidige encryptie gebaseerd is – het ontbinden in priemgetallen. We moeten dus op zoek gaan naar een andere oplossing, want de klok tikt en het is slechts een kwestie van tijd voor een computer erin zal slagen om toegang te krijgen tot data die we momenteel als veilig versleuteld beschouwen.
Hoe lang dat nog zal duren? Daarover zijn specialisten het niet eens. Het Quantum Threat Timeline Report 2024 heeft tientallen experts over die termijn bevraagd. Een kleine minderheid denkt dat we over vijf jaar al te maken kunnen krijgen met een kwantumcomputer die onze encryptie doorbreekt. Zo’n 20% gelooft dat dit over tien jaar kan gebeuren, maar de meerderheid verwacht dat we nog zo’n vijftien tot twintig jaar nodig hebben.
Hoe dan ook is de urgentie groot genoeg om post-kwantum cryptografie zo snel mogelijk op de agenda te zetten. Data die we vandaag encrypteren, zal over vijftien jaar met kwantumcomputing ontcijferd kunnen worden – inclusief DNA, medische gegevens en financiële data. Kwaadwillige actoren kunnen de data dus gewoon bijhouden tot de technologie bestaat om de informatie zichtbaar te maken (store now, decrypt later).
Nieuwe standaard is al beschikbaar
Gelukkig zijn cyberbeveiligingsautoriteiten er intussen wel mee bezig. In de Verenigde Staten beveelt het NIST-kader aan om vanaf 2030 niet meer met de huidige encryptiestandaard te implementeren en tegen 2035 alle bestaande encryptie te vervangen. Ook in Europa zien we gelijkaardige tijdlijnen. De overgang naar post-kwantum cryptografie vereist op veel plaatsen in een IT-systeem een vervanging of upgrade, en dat is een langdurig, complex proces. Daarom kunnen bedrijven niet wachten tot de deadlines naderen; ze moeten nu al zelf het initiatief nemen om deze transitie tijdig en gecontroleerd door te voeren.
De nieuwe standaard is al beschikbaar: ML-KEM, Module-Lattice Key Encapsulation Mechanism – een post-kwantum cryptografisch algoritme dat ontworpen is om bestand te zijn tegen aanvallen met kwantumcomputers. Het is gebaseerd op een wiskundig probleem dat erg moeilijk op te lossen is. Kwantumcomputers zijn namelijk zeer efficiënt in het oplossen van specifieke problemen, zoals het ontbinden van grote getallen in priemfactoren. De nieuwe standaard is echter gericht op een probleem dat kwantumcomputers niet eenvoudig kunnen kraken. Zo kunnen we dus goede beveiliging van data garanderen, zelfs in het post-kwantum tijdperk.
De gekozen encryptie is op dit moment de meest gestandaardiseerde en efficiënte van meerdere encryptiemodellen. Intussen blijven we ook werken aan alternatieven, zodat we in de toekomst minder afhankelijk zijn van één methode. Cryptografische systemen moeten in staat zijn om zich aan te passen aan de snelheid waarmee dreigingen op ons afkomen. We hebben nood aan soort cryptoweerbaarheid die verder reikt dan de huidige uitdaging omtrent kwantumcomputing.
Hoe bedrijven zich kunnen voorbereiden
Technisch gezien zijn we dus klaar voor het kwantumtijdperk, maar nu ligt de bal in het kamp van bedrijven en overheden om de standaard te implementeren. Organisaties die er inmiddels mee bezig zijn, hebben een voorsprong en vergoten hun kans om tijdig klaar te zijn. Andere bedrijven moeten zich van deze uitdaging bewust zijn en zo snel mogelijk beginnen met de transitie.
Concreet zijn er twee dingen die je bedrijf kan doen. Eerst moet je nagaan waar alle oude encryptie zit. Vaak willen organisaties wel veranderen, maar weten ze niet wat ze moeten aanpassen. Maak dus in eerste instantie een inventaris door op te lijsten waar alle schakels zich bevinden, waar een update nodig is en welke leveranciers je hiervoor moet contacteren.
Vervolgens kan je de encryptie beginnen updaten. De meeste bedrijven zijn hiervoor afhankelijk van de leveranciers van hun softwarepakketten. Ga zeker niet je eigen encryptie schrijven, want dat is moeilijk te implementeren en haast gedoemd om verkeerd af te lopen. Je kunt natuurlijk wel de nodige kennis in de organisatie opbouwen om het proces op te volgen. De switch naar een veiligere standaard gebeurt hoe dan ook niet in één dag. Maar als je alles in kaart brengt, beschik je in elk geval over een goede basis om verder te gaan.
Veel organisaties zijn zich nog niet bewust van de noodzaak van post-kwantum cryptografie. Het is enerzijds de taak van de overheid om bedrijven te informeren en anderzijds moet de urgentie van het probleem doorsijpelen naar de mensen in de organisatie. Ook platformen zoals Cybersec Europe bieden een opportuniteit om het belang duidelijk te maken aan de community en ervoor te zorgen dat post-kwantum cryptografie op de radar van securityprofessionals komt te staan.
Jan-Pieter D’Anvers is een toonaangevend onderzoeker in post-kwantum cryptografie. Tijdens een keynote op Cybersec Europe 2025, de grootste cybersecuritybeurs van de Benelux, gaat hij dieper in op de uitdagingen en de oplossingen voor bedrijven. Ontdek er alles over!