Post-kwantumcryptografie voor defensie: CNSA 2.0-gids

Kwantumcomputers die Shors algoritme op schaal kunnen uitvoeren zouden de publieke-sleutelcryptografie breken die vrijwel alle huidige beveiligde communicatie ondersteunt: RSA, Elliptic Curve Cryptography (ECC) en Diffie-Hellman-sleuteluitwisseling zouden allemaal onveilig worden. Voor defensiesystemen is dit geen hypothetisch toekomstprobleem dat uiteindelijk moet worden aangepakt — het is een bekende dreiging met een geloofwaardige tijdlijn die nu actieve voorbereiding vereist.

De aanvalsstrategie "nu oogsten, later ontcijferen" (HNDL) betekent dat tegenstanders nu al versleutelde defensiecommunicatie verzamelen en opslaan voor ontcijfering zodra een voldoende capabele kwantumcomputer beschikbaar wordt. Langlevende geclassificeerde informatie — strategische plannen, inlichtingenbronnen en -methoden, capability-beoordelingen — loopt bijzonder risico: als het vandaag wordt versleuteld met algoritmen die tegen 2035 worden gekraakt, heeft de geheimhouding een effectieve vervaldatum.

De kwantumdreiging: tijdlijninschattingen

Shors algoritme, ontwikkeld in 1994, biedt een polynomiale tijdsmethode voor het factoriseren van grote gehele getallen — de wiskundige basis van RSA-beveiliging — wanneer uitgevoerd op een voldoende grote kwantumcomputer. Shors algoritme lost ook het discrete logaritmeprobleem op dat ten grondslag ligt aan ECC en Diffie-Hellman. Een kwantumcomputer groot genoeg om Shors algoritme uit te voeren tegen huidige sleutelgroottes (2048-bit RSA, 256-bit ECC) vereist miljoenen logische qubits met zeer lage foutpercentages — ruim voorbij de huidige hardwarecapaciteit.

De meest geloofwaardige publieke schattingen voor een "cryptografisch relevante kwantumcomputer" (CRQC) — groot genoeg om momenteel geïmplementeerde publieke-sleutelcryptografie te kraken — variëren van 2030 tot 2035, met aanzienlijke onzekerheid in beide richtingen. NSA's CNSA 2.0-advies van 2022 geeft geen specifieke tijdlijn maar gebruikt 2035 als planningshorizon voor systemen die post-kwantumbeveiliging nodig hebben. Sommige inlichtingenbeoordelingen zijn agressiever. De geschikte houding voor defensieprogramma's is zich voor te bereiden op CRQC-beschikbaarheid tegen 2030 — het conservatieve uiteinde van het bereik — in plaats van het middelpunt of optimistische uiteinde.

NSA CNSA 2.0: verplichte algoritmen en overgangsverplichtingen

De Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), gepubliceerd door NSA's Cybersecurity Directorate in september 2022, specificeert de cryptografische algoritmen die zijn goedgekeurd voor de bescherming van nationale veiligheidssystemen (NSS) in het post-kwantumtijdperk. CNSA 2.0 vervangt CNSA 1.0 en verplicht de volgende post-kwantumalgoritmen:

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), gestandaardiseerd als FIPS 203 en gebaseerd op het CRYSTALS-Kyber-algoritme, is het goedgekeurde sleuteluitwisselingsalgoritme. ML-KEM vervangt RSA en ECDH voor sleuteluitwisseling in protocollen zoals TLS. Drie parametersets zijn gedefinieerd: ML-KEM-512 (beveiligingsniveau equivalent aan AES-128), ML-KEM-768 (AES-192) en ML-KEM-1024 (AES-256). CNSA 2.0 specificeert ML-KEM-1024 voor NSS-toepassingen.

ML-DSA (Module-Lattice-Based Digital Signature Algorithm), gestandaardiseerd als FIPS 204 en gebaseerd op CRYSTALS-Dilithium, is het goedgekeurde digitale handtekeningalgoritme voor de meeste toepassingen, ter vervanging van RSA-PSS en ECDSA. ML-DSA biedt handtekeningbeveiliging met kleinere sleutelgroottes dan hashgebaseerde alternatieven en relatief snelle ondertekening- en verificatiebewerkingen.

SLH-DSA (Stateless Hash-Based Digital Signature Algorithm), gestandaardiseerd als FIPS 205 en gebaseerd op SPHINCS+, is een alternatief digitaal handtekeningalgoritme met beveiliging gebaseerd op hashfuncties in plaats van roosterwiskunde — wat beveiligingsdiversiteit biedt voor het geval roostergebaseerde cryptografie wordt verzwakt door toekomstige wiskundige vooruitgang. SLH-DSA heeft aanzienlijk grotere handtekeninggroottes en langzamere bewerkingen dan ML-DSA maar is geschikt voor toepassingen waar roostergebaseerde algoritmen niet zijn toegestaan.

CNSA 2.0-overgangstijdlijn: NSA vereist dat nieuwe nationale veiligheidssystemen die vanaf 2025 worden ingezet CNSA 2.0-algoritmen moeten ondersteunen. Bestaande systemen hebben een gefaseerde migratietijdlijn met tussentijdse mijlpalen en een harde deadline van 2030 voor het voltooien van de overgang.

Impact op defensiesoftware: TLS, firmware en PKI

TLS 1.3 met post-kwantum KEM. De meest onmiddellijk impactvolle wijziging is de vervanging van TLS-sleuteluitwisselingsalgoritmen. TLS 1.3, de huidige standaard voor versleutelde web- en API-communicatie, gebruikt ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) voor sleuteluitwisseling. Onder CNSA 2.0 moet dit worden vervangen door of aangevuld met ML-KEM. De IETF heeft RFC 9180 en gerelateerde concepten gepubliceerd voor PQC-sleutelomhulling in TLS. Grote TLS-bibliotheken (OpenSSL, BoringSSL) hebben experimentele PQC-cijfersuiteondersteuning geïmplementeerd; productierijpe ondersteuning rijpt snel.

Digitale handtekeningen op firmware. Wapensystemen en militaire hardwareplatforms gebruiken digitale handtekeningen om firmwareintegriteit te verifiëren — de cryptografische zekerheid dat firmware niet is gemanipuleerd tussen fabricage en inzet. Deze handtekeningen zijn langlevend (de ondertekeningssleutel kan worden gebruikt voor de volledige productieduur van een platform, 10-20 jaar) en lopen daardoor een hoger risico van HNDL-aanvallen. CNSA 2.0 specificeert dat firmware-ondertekening voor NSS-hardware moet overstappen naar ML-DSA of SLH-DSA.

PKI-migratie. Defensie-PKI-infrastructuur — certificaatautoriteiten, certificaatintrekkingsinfrastructuur, certificaatbeheer voor gebruikers, apparaten en diensten — gebruikt RSA- of ECC-sleutels in zijn geheel. Het migreren van de PKI betekent niet alleen het uitgeven van nieuwe post-kwantumcertificaten maar ook het intrekken van oude certificaten, het distribueren van nieuwe vertrouwensankers naar alle vertrouwende systemen, en ervoor zorgen dat alle software die certificaten valideert post-kwantumcertificaatformaten kan verwerken. Dit is een complexe, meerjarige infrastructuurmigratie die nu moet beginnen om de deadline van 2030 te halen.

Hybride aanpak tijdens de overgang

Tijdens de overgangsperiode, wanneer systemen gedeeltelijk zijn gemigreerd en moeten samenwerken met zowel CNSA 1.0- als CNSA 2.0-tegenhangers, combineert een hybride cryptografieaanpak klassieke en post-kwantumalgoritmen in dezelfde protocoluitwisseling. In een hybride TLS-verbinding worden zowel een ECDHE-sleuteldeel als een ML-KEM-sleuteldeel opgenomen; de uiteindelijke sessiesleutel wordt afgeleid van beide. Dit biedt beveiliging tegen zowel klassieke tegenstanders (als PQC onvoorziene zwakheden heeft) als kwantumtegenstanders (als klassieke cryptografie wordt gekraakt).

De hybride aanpak wordt door NSA onderschreven voor de overgangsperiode als een "riem en bretels"-strategie: het verzwakt de klassieke beveiliging niet terwijl het kwantumweerstand toevoegt. NIST SP 800-227 (IPD) biedt richtlijnen voor hybride sleuteluitwisselingsmechanismen. Defensieprogramma's moeten nu hybride cijfersuites implementeren — dit vermindert het kwantumrisico van HNDL-aanvallen op huidige communicatie terwijl de volledige PQC-overgang doorgaat.