Post-kwantumversleuteling voor militaire video- en audiostromen

Een drone-operator voert een verkenningsvlucht uit boven betwist terrein. De H.264-videostroom reist via een satellietverbinding, versleuteld met DTLS/SRTP via een ECDHE-sleuteluitwisseling. Op de grond onderschept een tegenstander de versleutelde tekst en slaat deze op — niet om hem vandaag te ontsleutelen, maar om hem in 2032 te ontsleutelen, wanneer een cryptografisch relevante kwantumcomputer beschikbaar is. Tegen die tijd onthullen de beelden hiaten in sensordekking, doelbepalingsgeometrie en patrouillepatronen van bevriende strijdkrachten. De inlichtingenwaarde van die opgeslagen video is niet verminderd door de jaren die het versleuteld doorbracht.

Dit is het oogst-nu-ontsleutel-later-probleem (HNDL) toegepast op real-time militaire video. Het is geen hypothetisch scenario. Tegenstanders die de kwantumtijdlijn begrijpen, verzamelen en archiveren al versleutelde ISR-feeds, dronevideo en commandospraakveer. De juiste reactie is niet te wachten tot kwantumcomputers beschikbaar zijn voordat naar post-kwantumcryptografie wordt overgeschakeld — het venster voor het beschermen van data in transit is nu, voordat de verzameling plaatsvindt.

Waarom drone- en ISR-video het hoogste-waarde HNDL-doelwit is

Communicatie-inlichtingen (COMINT) heeft voor de hand liggende HNDL-waarde, maar ISR-video draagt een andere klasse informatie. Een enkele missie met niet-versleutelde dronevideo kan onthullen: de exacte gezichtsvelden van sensoren (en dus blinde vlekken), de precieze timing en geometrie van doelbepalende beslissingen, de locatie en beweging van bevriende strijdkrachten die in beeld zijn, en de operationele patronen die het gedrag van eenheden in de loop van de tijd definiëren. In tegenstelling tot een enkel versleuteld bericht codeert video persistente contextuele informatie — ruimtelijk, temporeel en gedragsmatig — die langdurige verzameling en analyse beloont.

De bewaartermijn van ISR-video vergroot dit risico. Veel defensieprogramma's archiveren ruwe dronevideo voor jaren — voor evaluaties na de actie, voor juridische naleving, voor inlichtingenexploitatie. Een tegenstander die in 2026 versleutelde ISR-video verzamelt en in 2032 ontsleutelt, leest geen verouderde gegevens; hij leest een gestructureerd historisch overzicht van operaties van bevriende strijdkrachten. De gevoeligheid van dat overzicht neemt niet af met de tijd.

Ter kwantificering van het verzamelingsoppervlak: een enkele MALE-drone op een missie van 20 uur bij standaard ISR-bitrates (4–8 Mbps H.264) produceert 36–72 GB gecomprimeerde video per vlucht. Een vloot die over een betwiste regio opereert, genereert terabytes per dag. Dit is een uiterst aantrekkelijk verzamelingsdoelwit voor een tegenstander die bereid is te investeren in langdurige opslag en toekomstige ontsleutelingscapaciteit.

Huidige stand van zaken: DTLS/SRTP en TLS zijn klassiek veilig maar kwetsbaar voor kwantum

De meeste militaire drone-videopijplijnen gebruiken een van twee transportbeveiligingsmodellen. Het eerste is DTLS/SRTP: het WebRTC-afgeleid model waarbij DTLS 1.3 sessiesleutels onderhandelt via UDP, en SRTP die sleutels gebruikt om elk RTP-pakket te versleutelen. Het tweede is een via TLS beveiligde sleuteldistributieserver (KDS): een gecentraliseerde dienst die SRTP-hoofdsleutels uitgeeft aan zowel zender als ontvanger via een TLS-beveiligde API, waarbij SRTP de pakket-niveau-versleuteling verzorgt. Beide modellen zijn uiteindelijk afhankelijk van een klassieke Diffie-Hellman of Elliptische-Curve-Diffie-Hellman sleuteluitwisseling voor de fase van sessiesleutelonderhandeling.

ECDHE met X25519 (de huidige beste praktijk voor DTLS/TLS-sleuteluitwisseling) biedt sterke klassieke beveiliging. Tegen een kwantumtegenstander die het algoritme van Shor uitvoert, biedt het geen beveiliging. Dit is geen zwakte in de implementatie van het algoritme — het is een fundamentele eigenschap van het onderliggende wiskundige probleem (discreet logaritme op een elliptische curve) dat het algoritme van Shor in polynomiale tijd oplost. Het vervangen van X25519 door een grotere curve (bijv. P-521) helpt niet; het algoritme van Shor schaalt efficiënt over alle elliptische-curveparametergroottes.

AES-256 symmetrische versleuteling (gebruikt voor de eigenlijke SRTP-pakketpayload) wordt niet op dezelfde manier gebroken door kwantumcomputers. Het algoritme van Grover vermindert de effectieve beveiliging van AES-256 tot 128 bits tegen een kwantumtegenstander — nog steeds computationeel onmogelijk te brute-forcen. De urgentie ligt in de sleuteluitwisseling, niet in het bulkcipher.

ML-KEM voor video-sleuteluitwisseling: post-kwantum KEM's integreren met SRTP

ML-KEM (Module-Lattice-Based Key Encapsulation Mechanism), gestandaardiseerd als FIPS 203 door NIST en gebaseerd op het CRYSTALS-Kyber-algoritme, is de post-kwantum vervanging voor de sleuteluitwisselingsfase van DTLS en TLS. Een KEM werkt anders dan Diffie-Hellman: de ontvanger genereert een publiek/privaat sleutelpaar en publiceert de publieke sleutel; de zender inkapselt een willekeurig gedeeld geheim met de publieke sleutel; de ontvanger decapsuleert om hetzelfde gedeelde geheim te herstellen. Geen van beide partijen verstuurt het gedeelde geheim in leesbare tekst, en een tegenstander die de versleutelde tekst onderschept, kan het gedeelde geheim niet herstellen zonder de privésleutel van de ontvanger — een probleem dat zelfs voor kwantumcomputers moeilijk wordt geacht.

Integratie met SRTP is eenvoudig op API-niveau. De DTLS-handshake (of KDS API-aanroep) produceert zoals voorheen een gedeeld geheim; de enige wijziging is dat het gedeelde geheim nu wordt afgeleid uit een ML-KEM-inkapseling in plaats van een ECDHE-uitwisseling. Het gedeelde geheim wordt ingevoerd in HKDF-SHA-384 om de SRTP-hoofdsleutel en -salt af te leiden, volgens hetzelfde sleutelafleiding-pad als het klassieke protocol. Het SRTP-pakketformaat, de volgnummerverwerking, de berekening van authenticatietags en de AES-256-GCM bulkversleuteling zijn ongewijzigd. Vanuit het perspectief van de RTP-stack is niets veranderd behalve de herkomst van de hoofdsleutel.

Parametersetselectie: ML-KEM-768 vs ML-KEM-1024

Er zijn drie ML-KEM-parametersets gedefinieerd: ML-KEM-512 (beveiligingsniveau gelijkwaardig aan AES-128), ML-KEM-768 (AES-192) en ML-KEM-1024 (AES-256). Voor ISR-toepassingen is de keuze tussen ML-KEM-768 en ML-KEM-1024. NSA's CNSA 2.0-mandaat specificeert ML-KEM-1024 voor nationale veiligheidssystemen. ML-KEM-1024 produceert een publieke sleutel van 1.568 bytes en een versleutelde tekst van 1.568 bytes — beide groter dan de 32-byte sleutelaandelen van X25519, maar gemakkelijk te accommoderen binnen de DTLS-handshake of een HTTPS API-reactie. De prestatiekosten ten opzichte van ML-KEM-768 zijn marginaal; voor een beslissing die de gegevensbeveiliging voor een decennium zal bepalen, is ML-KEM-1024 de juiste keuze voor geclassificeerde ISR-toepassingen.

Latentiebudget: PQC-overhead in real-time streaming

Het meest voorkomende bezwaar tegen PQC in real-time videopijplijnen is latentie. De zorg is begrijpelijk maar ongegrond als de werkelijke cijfers worden bekeken.

ML-KEM-1024-sleutelgeneratie op een moderne x86-64-processor (AVX2-geoptimaliseerde implementatie, bijv. liboqs of de ingebouwde BoringSSL) duurt ongeveer 0,3–0,5 ms. Inkapseling en decapsulatie duren elk minder dan 0,5 ms. De totale retour-overhead voor een PQC-sleuteluitwisseling is daarom minder dan 2 ms, inclusief de netwerkretour-tijd op een lagelatentie-LAN. Voor videostromen die al 100–300 ms codec-pijplijn en netwerkvertraging dragen (typisch voor tactische satellietverbindingen) is deze overhead in de praktijk niet meetbaar.

De sleuteluitwisseling is een eenmalige operatie per sessie, niet een per-pakket operatie. Een drone-videosessie van 20 uur voert bij aanvang één ML-KEM-inkapseling uit (en een klein aantal periodieke hersleuteling). De per-pakket kosten zijn nul — SRTP-pakketversleuteling blijft AES-256-GCM op hardwareversnellingssnelheden (meerdere Gbps op moderne processors). Post-kwantum videostreaming is geen prestatieprobleem. Het is een integratieprobleem.

Hybride modus implementatie: ECDHE + ML-KEM parallel

Tijdens de overgangsperiode — wanneer sommige eindpunten ML-KEM ondersteunen en andere niet — zijn hybride coderingssuites de door standaarden aanbevolen aanpak. In hybride modus bevat de DTLS- of TLS-handshake zowel een ECDHE-sleutelaandeel (X25519) als een ML-KEM-sleutelinkaapseling (ML-KEM-1024). De sessiesleutel wordt uit beide afgeleid via HKDF, met de formule: session_key = HKDF(X25519_shared_secret || ML-KEM_shared_secret, "hybrid-srtp-key"). Beide geheimen moeten succesvol worden afgeleid voordat de sessie kan doorgaan.

Deze constructie biedt wat cryptografen "dubbele beveiliging" noemen: de sessie is kwantumveilig als ML-KEM veilig is, en klassiek veilig als X25519 veilig is. Een tegenstander moet beide breken om de sessiesleutel te herstellen. NSA onderschrijft hybride modus voor de overgangsperiode in zijn CNSA 2.0-richtlijnen; het vermindert de klassieke beveiliging op geen enkele manier.

Het praktische voordeel voor ISR-systemen is dat hybride modus vlootbreed kan worden ingezet voordat alle grondstations zijn geüpgraded. Geüpgradede grondstations onderhandelen de hybride coderingssuites; verouderde grondstations vallen terug op ECDHE-only. De hoogwaardige stromen — die C2-knooppunten met post-kwantumcapaciteit verbinden — krijgen direct kwantumbescherming, terwijl achterwaartse compatibiliteit behouden blijft. Zie onze bredere bespreking van de CNSA 2.0-migratiebenadering voor defensiesystemen voor het volledige algoritme-inventarisatie en overgangstijdlijn.

Apache Kafka als streamingrug gengraat voor ISR-distributie

Punt-tot-punt SRTP werkt voor enkelvoudige drone-naar-C2-verbindingen, maar operationele ISR-distributie is een fan-out-probleem. Een enkele dronefeed moet gelijktijdig worden geconsumeerd door: het primaire C2-werkstation, de doelbepalingscel, het team voor inlichtingenexploitatie, het opnameknooppunt dat de missie archiveert, en mogelijk hogere-echelon commando's die de operatie bewaken. Het beheren van N gelijktijdige SRTP-sessies van de encoder naar elke consument is operationeel kwetsbaar en cryptografisch rommelig — elke sessie heeft onafhankelijk sleutelmateriaal, en het beheren van sleuteldistributie en -rotatie over N peers tegelijk creëert storingswijzen.

Apache Kafka lost dit architecturele probleem op. Elke ISR-bron publiceert naar een speciaal Kafka-onderwerp (bijv. isr.drone.alpha-01.video, isr.sensor.ground.bravo). Consumentengroepen — één per rol (c2-display, targeting, exploitatie, archief) — abonneren zich onafhankelijk en handhaven hun eigen offsets. Het toevoegen van een nieuwe consument vereist geen heronderhandeling met de producent; het abonneert zich simpelweg op het bestaande onderwerp. Replay voor laat-aansluitende consumenten (een targeting-analist die halverwege een missie online komt) is een ingebouwde Kafka-functionaliteit, geen maatwerkeigenschap.

Het post-kwantumveiligheidsmodel past naadloos op deze architectuur. Elke producent authenticeert zich bij de Kafka-makelaar via wederzijdse TLS met hybride ML-KEM-coderingssuites, waarmee een kwantumveilig kanaal voor de stroom wordt opgezet. Elke consument verbindt zich evenzo met de makelaar via TLS met hybride ML-KEM. De makelaar bewaart de versleutelde onderwerpgegevens op schijf onder AES-256-versleuteling in rust. De sleutelhierarchie — ML-KEM-sessiesleutel die de TLS-verbinding beschermt die SRTP-versleutelde videoframes draagt opgeslagen in AES-256-versleutelde Kafka-logsegmenten — biedt defensie-in-diepte op elke laag.

Onderwerppartitionering en ontwerp van consumentengroepen

Voor multi-sensor ISR-implementaties biedt partitionering binnen een onderwerp schaalbaarheid. Een hoog-bandbreedte-sensor (full-motion video bij 8 Mbps) profiteert van één partitie per bron om de framevolgorde te bewaren. Meerdere lager-bandbreedte-sensoren (telemetrie, audio, smalveldsbeeldvorming) kunnen een onderwerp delen met partitionering op sensor-ID. Consumentengroepen moeten worden beperkt tot operationele rollen in plaats van individuele werkstations — dit maakt werkstationfailover binnen een rol mogelijk zonder verlies van offsetcontinuïteit. Elke consumentengroep handhaaft onafhankelijke ontsleutelingsstatus; sleutelrotatie op één groep heeft geen invloed op andere.

Corvus.Quantum: post-kwantum streaming voor operationele defensie

Corvus.Quantum is het Corvus Intelligence-platform voor kwantumveilige audio- en videodistributie in defensieomgevingen. Het implementeert de in dit artikel beschreven architectuur — ML-KEM-1024-sleuteluitwisseling in hybride modus, SRTP-pakketversleuteling, Apache Kafka fan-out voor distributie op meerdere echelons — als een geharde, operationeel getest systeem in plaats van een onderzoeksprototype.

Het platform is ingezet onder actieve gevechtsomstandigheden in Oekraïne, waar het real-time ISR-videodistributie beheert voor commandoposten die opereren onder druk van elektronische oorlogsvoering. De ontwerpprioriteiten gevormd door die omgeving — minder dan 200 ms glass-to-glass-latentie ondanks betwiste verbindingen, gracieuze degradatie wanneer consumenten tijdens een stroom verbreken, automatische sleutelrotatie zonder stroomonderbreking, en air-gap-capabele implementatie voor geclassificeerde netwerken — zijn productiegevalideerd, niet gesimuleerd in een laboratorium.

Corvus.Quantum integreert met bestaande ATAK-gebaseerde C2-infrastructuur via een plug-in-interface, waardoor ISR-video in het gemeenschappelijk operationeel beeld kan stromen naast cursor-on-target-gegevens. De Kafka-ruggengraat ondersteunt zowel cloud-gehoste als air-gap on-premises implementaties. Post-kwantum sleuteluitwisseling is standaard ingeschakeld; klassiek-only terugval is beschikbaar voor verouderde eindpunten tijdens hybride overgangsperiodes. Voor organisaties die te maken hebben met zero-trust-netwerkvereisten voor militaire omgevingen voldoet de wederzijdse TLS-authenticatie van Corvus.Quantum voor elke producent en consument aan apparaat-identiteitsverificatie op de streaminglaag zonder extra middleware.

Het inkooptraject voor Corvus.Quantum is beschikbaar via de Brave1-defensietechnologiemarktplaats en directe overeenkomst met Corvus Intelligence. Technische integratiedocumentatie is beschikbaar onder NDA voor gekwalificeerde defensieorganisaties en prime contractors.