Kwantumcomputing-dreiging voor defensiecommunicatie: tijdlijn en praktische respons

Door Corvus Intelligence Engineering Team · Over het team →

3 juni 2026 9 min lezen

De vraag die defensieleiding het vaakst stelt over kwantumcomputing is: "Wanneer?" Wanneer zal een kwantumcomputer die groot genoeg is om de huidige militaire encryptie te kraken daadwerkelijk bestaan? Het ongemakkelijke antwoord vanuit de onderzoeksgemeenschap is: waarschijnlijk tussen 2030 en 2035, met aanzienlijke onzekerheid in beide richtingen. Het nog ongemakkelijkere antwoord vanuit beveiligingsoogpunt is dat de exacte datum het verkeerde aandachtspunt is — want de aanval die er het meest toe doet, harvest-now-decrypt-later, is al gaande, ongeacht wanneer die machine arriveert.

Tegenstanders met het geduld en de opslagcapaciteit van natiestaten hoeven niet te wachten op kwantumcapaciteit voordat zij de gegevens verwerven die zij daarmee willen ontcijferen. Het in bulk verzamelen van versleuteld verkeer is goedkoop in verhouding tot nationale inlichtingenbudgetten. Alle geclassificeerde communicatie die is beschermd door RSA of elliptische-curvecryptografie en tot in de jaren 2030 gevoelig zal blijven, loopt al risico — niet hypothetisch, maar operationeel. Dit artikel onderzoekt de dreigingstijdlijn, identificeert welke categorieën defensiegegevens het meest zijn blootgesteld, en biedt een praktisch raamwerk voor het prioriteren van de respons.

De harvest-now-decrypt-later-dreiging: waarom urgentie vandaag gerechtvaardigd is

Harvest-now-decrypt-later (HNDL) is een eenvoudige aanval: een tegenstander neemt versleutelde communicatie in bulk op, slaat de ciphertext op en wacht totdat een kwantumcomputer beschikbaar is die de sessiesleutels kan herstellen. De aanval vereist op het moment van verzameling geen cryptanalytische capaciteit — alleen het vermogen om verkeer te onderscheppen en op te slaan, wat staatsniveau-tegenstanders herhaaldelijk hebben aangetoond via programma's voor signalinlichtingen.

De economische logica van HNDL is asymmetrisch ten gunste van de tegenstander. Opslagkosten voor in bulk onderschept verkeer zijn dramatisch gedaald — het opslaan van petabytes aan ciphertext is operationeel haalbaar voor grote inlichtingendiensten. De kosten van een toekomstige kwantumontcijferingsoperatie, afgeschreven tegen de inlichtingenwaarde van decennia aan geclassificeerde communicatie, zijn zeer gunstig. Er is geen technische belemmering om nu met deze verzameling te beginnen, en er is geen reden om aan te nemen dat dit al niet gaande is.

Kernpunt: De kwantumtijdlijn van 2030–2035 bepaalt niet wanneer de HNDL-dreiging reëel wordt — zij bepaalt wanneer geoogste gegevens leesbaar worden. Alle geclassificeerde communicatie die vandaag is versleuteld met RSA of op ECC gebaseerde sleuteluitwisseling en informatie bevat die na 2030 gevoelig zal blijven, is nu al blootgesteld aan dit dreigingsvector. De migratieklok is jaren geleden begonnen te lopen.

De gegevens die het meeste risico lopen zijn niet routinematig operationeel verkeer, maar langlevende geclassificeerde informatie: nucleaire commandoprotocollen en de communicatiearchitecturen die deze ondersteunen, inlichtingenbronnen en -methoden die tot in de jaren 2030 actief blijven, strategische plannen met planningshorizonten van 10 jaar of langer, en capaciteitsbeoordelingen die aanschaffingsbeslissingen over decennia informeren. Dit is precies de categorie informatie die tegenstanders het meest begeren en die defensieorganisaties het meest nodig hebben te beschermen voorbij elke redelijke kwantumcomputingtijdlijn.

De kwantumcomputingtijdlijn: wat huidige schattingen zeggen

Het algoritme van Shor, ontwikkeld in 1994, biedt een polynomiale-tijd kwantumalgoritme voor het factoriseren van grote gehele getallen — de wiskundige basis van RSA-beveiliging — en voor het oplossen van het discrete-logaritmeprobleem dat aan alle elliptische-curvecryptografie ten grondslag ligt. Het uitvoeren van het algoritme van Shor tegen RSA-2048 of 256-bits ECC-sleutels vereist een fouttolerante kwantumcomputer met miljoenen foutgecorrigeerde logische qubits. Huidige kwantumhardware werkt met honderden tot een paar duizend fysieke qubits, met foutpercentages die uitgebreide overhead voor foutcorrectie vereisen.

De meest geloofwaardige publieke schattingen voor een cryptografisch relevante kwantumcomputer convergeren op een bereik van 2030–2035. De CNSA 2.0-adviesnota van de NSA uit september 2022, die overgangen naar post-kwantumalgoritmen voor nationale veiligheidssystemen verplicht stelt, hanteert 2035 als planningshorizon. De post-kwantumstandaardisatietijdlijn van NIST was expliciet ontworpen om vóór dat venster voltooid te zijn. Zowel het Amerikaanse "National Quantum Initiative" als de Chinese nationale kwantumprogramma's weerspiegelen overheidsbeoordelingen dat CRQC-capaciteit binnen een decennium vanaf circa 2022 haalbaar is.

Minder zeker is of programma's met aanzienlijke geheime financiering — zowel Amerikaans als van tegenstanders — vooroplopen op het publieke onderzoeksfront. De geschiedenis van de ontwikkeling van cryptografische capaciteiten suggereert dat publiek bekendgemaakte doorbraken vaak jaren achterliggen op operationele capaciteit. Defensieplanning mag niet aannemen dat publieke tijdlijnen het volledige beeld weergeven.

Kernpunt: De kloof tussen het bestaan van een CRQC en het voltooien van de cryptografische migratie door defensieorganisaties is het kritieke blootstellingsvenster. PKI-migraties voor grote defensieprogramma's nemen realistisch 5–10 jaar in beslag. Een programma dat in 2027 begint met migratie met als doel een CRQC-aankomst in 2030, zal niet op tijd gereed zijn. De juiste planningshouding is de migratiedoortijd, niet de onzekerheid over de kwantumtijdlijn, als de bindende beperking te beschouwen.

Welke geclassificeerde gegevens de langste geheimhoudingsvereiste hebben

Niet alle defensiegegevens hebben dezelfde blootstelling aan de HNDL-dreiging. Gevoeligheid voor kwantumondersteunde ontcijfering is een functie van twee onafhankelijke variabelen: classificatieniveau (hoe gevoelig de informatie is) en houdbaarheid (hoe lang de informatie gevoelig en bruikbaar blijft). Het risico is het product van beide.

Nucleaire commandoprotocollen (NC3) en de communicatiearchitecturen die deze ondersteunen hebben in wezen een onbeperkte houdbaarheid — de onderliggende commandoautoriteitsstructuren en autorisatiecodes die nucleaire systemen beschermen moeten voor onbepaalde tijd geheim blijven. NC3-systemen maken ook de neiging gebruik te maken van oudere cryptografische implementaties met zeer lange vervangingscycli, waardoor de blootstelling verergert.

Inlichtingenbronnen en -methoden — menselijke inlichtingenactiva, platforms voor signalenopsporing en de analytische vakkennis die ruwe inlichtingen interpreteert — hebben houdbaarheden die regelmatig decennia bestrijken. Een vandaag geronselde bron kan tot in de jaren 2040 actief blijven. De communicatie die wordt gebruikt om die bron te beheren en te beschermen, wordt leesbaar wanneer kwantumcapaciteit beschikbaar komt, als deze vandaag wordt onderschept en opgeslagen.

Langetermijnstrategische planningsdocumenten — beoordelingen van strijdkrachtenstructuren, routekaarten voor capaciteitsontwikkeling, bondgenootschapsverplichtingen en oorlogsplannen — beschrijven de beoogde militaire houding over horizons van 10–20 jaar. Dit zijn precies de documenten die verzamelprogramma's van tegenstanders prioriteit geven, en precies de documenten waarvan de geheimhouding gedurende de planningsperiode die zij beschrijven, bewaard moet blijven.

Aanschaffings- en capaciteitsbeoordelingsgegevens — technische specificaties voor platforms van de volgende generatie, kwetsbaarheidsbeoordelingen van in gebruik zijnde systemen en testresultaten van ontwikkelingsprogramma's — kunnen tegenstanders exploitatie-routekaarten bieden die geldig zijn gedurende de operationele levensduur van het systeem, die mogelijk 30 jaar na de datum van versleuteling reikt.

Routinematige operationele communicatie — dagelijkse operationele orders, logistieke statusrapporten, administratief personeelsverkeer — heeft doorgaans korte houdbaarheden gemeten in dagen of weken. Het HNDL-risico voor deze categorie is aanzienlijk lager: de informatie zal operationeel irrelevant zijn lang voordat enige plausibele kwantumontcijfering haalbaar wordt.

Het migratiedoortijdprobleem: waarom nu actie nodig is

Bedrijfsmatige cryptografische migratie behoort tot de meest complexe en tijdrovende infrastructuurwijzigingen die een defensieorganisatie ondergaat. In tegenstelling tot een software-update of een hardwarevervanging raakt cryptografische migratie elk systeem dat versleutelt, ondertekent, authenticeert of verifieert — wat in een modern defensienetwerk effectief alles is.

Een realistische tijdlijn voor volledige PKI-migratie in een groot defensieprogramma: cryptografische inventarisatie en afhankelijkheidskartering, 6–18 maanden; PKI-migratieontwerp en -accreditatie, 12–24 maanden; implementatie van post-kwantum root- en uitgevende CA, 6–12 maanden; fase van dubbele uitgifte (klassieke en PQC-certificaten gelijktijdig), 12–24 maanden; vlootupgrade ter ondersteuning van PQC-certificaatvalidatie, 12–36 maanden afhankelijk van het aantal eindpunten en updatemechanismen; pensionering van klassieke certificaten, afhankelijk van vlootverzadiging. Totaal: 5–9 jaar voor een groot, complex programma dat opereert onder defensieaanschaffingsbeperkingen.

Migratie van TLS-eindpunten, overgangen in firmware-ondertekening, upgrades van VPN-protocollen en firmware-updates van HSM's lopen parallel aan PKI-migratie, maar hebben hun eigen afhankelijkheden en tijdlijnen. Een programma dat in 2026 begint met uitgebreide migratieplanning met als doel voltooiing vóór 2030, opereert al met minimale marge tegen het conservatieve einde van de kwantumtijdlijn.

Een prioriteringsraamwerk: gevoeligheid × houdbaarheid

Gegeven beperkte middelen en de onmogelijkheid om elk systeem gelijktijdig te migreren, hebben programma's een principiële basis nodig voor het sequentiëren van het werk. De matrix van gevoeligheid × houdbaarheid biedt dit raamwerk.

Stel een tweeassige beoordeling op voor elk communicatiesysteem of elke gegevenscategorie: op de ene as het classificatieniveau en operationele gevoeligheid van de gegevens (van routinematig niet-geclassificeerd tot TOP SECRET/SCI); op de andere de houdbaarheid van de gegevens gemeten in jaren. Systemen in het kwadrant met hoge gevoeligheid en lange houdbaarheid — NC3-communicatie, bescherming van inlichtingenbronnen, langetermijnstrategische plannen — zijn de onmiddellijke prioriteit voor HNDL-mitigatie. Systemen in het kwadrant met lage gevoeligheid en korte houdbaarheid — routinematig administratief verkeer, tactische operationele rapporten — kunnen later in de migratiereeks volgen.

Dit raamwerk bepaalt ook welke systemen vroege implementatie van hybride post-kwantumcryptografie rechtvaardigen voordat de volledige PKI-migratie is voltooid. Voor de hoogst-prioritaire systemen is wachten op PKI-migratie niet aanvaardbaar — hybride PQC ingezet op de sessielaag biedt onmiddellijke HNDL-resistentie zonder wijzigingen in de certificaatinfrastructuur te vereisen.

Wat organisaties dit jaar kunnen doen

Verschillende acties leveren concrete risicovermindering op korte termijn, onafhankelijk van langetermijn PKI-migratieprogramma's.

Cryptografische inventarisatie. Begin een systematische inventarisatie van elke cryptografische afhankelijkheid in het programma. Geautomatiseerde cryptografische ontdekkingstools bestaan voor netwerkinfrastructuur; cryptografie op applicatielaagniveau vereist code-audit en architectuurreview. De inventarisatie is de voorwaarde voor al het vervolgwerk — zonder deze kan de migratieomvang niet nauwkeurig worden geschat en creëren niet-herkende afhankelijkheden blokkades die zich laat manifesteren.

PKI-migratieontwerp. Geef nu opdracht voor het architectuurontwerp van post-kwantum PKI. Ontwerpwerk vereist niet dat de implementatie begint — de ontwerpfase identificeert afhankelijkheden, schat tijdlijnen in en produceert de accreditatie-artefacten die vereist zijn voordat enige implementatie kan beginnen onder defensieaanschaffingskaders. Beginnen met ontwerp in 2026 maakt het mogelijk dat implementatie begint in 2027–2028, consistent met een voltooiingsdoelstelling van 2030–2032.

Hybride PQC-implementatie voor prioriteitssystemen. Voor systemen die zijn geïdentificeerd in het hoogste-prioriteitskwadrant van de gevoeligheidsmatrix, implementeer hybride ML-KEM-versleuteling op de sessielaag. Corvus.Quantum biedt een beproefde hybride ML-KEM-streamingversleutelingslaag die specifiek is ontworpen voor defensiecommunicatieomgevingen, inzetbaar op bestaande infrastructuur zonder PKI-wijzigingen te vereisen. Hybride implementatie biedt onmiddellijke HNDL-resistentie voor het meest gevoelige verkeer terwijl de bredere migratie voortgaat.

Updates van aanschaffingsvereisten. Beoordeel huidige en geplande contracten voor communicatiesystemen, software en infrastructuur. Voeg post-kwantumcryptografievereisten in in komende uitnodigingen tot inschrijving — specifiek ondersteuning voor ML-KEM (FIPS 203), ML-DSA (FIPS 204) en hybride ciphersuites in TLS. Dit waarborgt dat vandaag aangeschafte systemen niet bijdragen aan de migratieachterstand.

Beoordeling van firmware-ondertekening. Identificeer wapensystemen en hardwareplatforms waarvan de firmware-ondertekeningssleutels tot in de jaren 2030 operationeel in gebruik zullen blijven. Documenteer het migratiepad voor elk — hetzij geplande vervanging met PQC-ondertekende firmware bij de volgende vervangingscyclus, hetzij expliciete risicoaanvaarding waar de architectuur sleutelrotatie verhindert.

Kernpunt: De organisaties met de meest urgente kwantumdreiging zijn niet noodzakelijk die met de meeste geclassificeerde gegevens — het zijn die met de grootste kloof tussen de houdbaarheid van hun gegevens en hun geplande migratievoltooiingsdatum. Een programma dat 20-jarige strategische plannen beschermt met een migratietijdlijn van 7 jaar die begint in 2027, heeft al residueel risico aanvaard ten aanzien van de conservatieve kwantumtijdlijn.

Het post-kwantumalgoritmenlandschap voor defensie

NIST voltooide zijn post-kwantumcryptografiestandaardisering in 2024 en publiceerde drie algoritmen die de basis vormen van kwantumveilige cryptografie voor defensietoepassingen. De CNSA 2.0-adviesnota van NSA, gepubliceerd in 2022, verplicht deze algoritmen (of hun voorlopers) voor nationale veiligheidssystemen.

ML-KEM (FIPS 203), gebaseerd op CRYSTALS-Kyber, is het goedgekeurde algoritme voor sleutelinkapseling — het mechanisme waarmee twee partijen een gedeeld geheim tot stand brengen. ML-KEM vervangt RSA en ECDH voor sleuteluitwisseling in TLS en andere protocollen. CNSA 2.0 specificeert ML-KEM-1024 voor NSS-toepassingen. ML-KEM heeft relatief compacte ciphertextgroottes vergeleken met andere op roosters gebaseerde alternatieven en snelle sleutelgeneratie- en inkapselingsbewerkingen.

ML-DSA (FIPS 204), gebaseerd op CRYSTALS-Dilithium, is het primaire goedgekeurde algoritme voor digitale handtekeningen. ML-DSA vervangt RSA-PSS en ECDSA voor certificaathandtekeningen, code-ondertekening en authenticatie. Handtekeninggroottes zijn groter dan ECDSA (ongeveer 3–4 KB voor ML-DSA-87 versus 70 bytes voor ECDSA P-256), maar vallen ruim binnen de tolerantie van de meeste protocoltoepassingen.

SLH-DSA (FIPS 205), gebaseerd op SPHINCS+, biedt een alternatief handtekeningalgoritme met beveiliging afgeleid van hashfuncties in plaats van roostwiskunde. SLH-DSA biedt cryptografische diversiteit — als op roosters gebaseerde algoritmen worden verzwakt door toekomstige wiskundige ontwikkelingen, blijft SLH-DSA onaangetast. Het is geschikt voor toepassingen met hoge beveiliging waar prestatievereisten de grotere handtekeningen en langzamere bewerkingen toestaan, met name firmware-ondertekening waar extra beveiligingsdiversiteit gewenst is.

Symmetrische algoritmen — AES-256 en SHA-384/512 — zijn kwantumveilig bij de huidige sleutellengtes. Het algoritme van Grover biedt een kwadratische versnelling voor uitputtend zoeken, waardoor de bitbeveiliging van een symmetrisch algoritme effectief wordt gehalveerd, maar AES-256 behoudt een beveiliging van circa 128 bits tegen een kwantumtegenstander, wat rekenkundig onhaalbaar blijft om aan te vallen. Er is geen symmetrische algoritmemigratie vereist als onderdeel van de post-kwantumovergang.

Gerelateerde lectuur

Voor implementatiedetails over de algoritmen die door de NSA worden verplicht voor defensiesystemen, zie Post-kwantumcryptografie voor defensie: CNSA 2.0-gids, dat ML-KEM, ML-DSA en SLH-DSA parametersetselectie, TLS-migratiemechanismen en de hybride overgangsaanpak gedetailleerd behandelt. Voor de zero-trust-netwerkarchitectuurcontext waarin kwantumveilige communicatie opereert, zie Zero-trust-architectuur voor militaire netwerken: principes en implementatie. Voor de bredere veilige cloudinfrastructuur die geclassificeerde workloads vereisen, zie GovCloud-architectuur voor defensie: Azure Government versus AWS GovCloud.

Bescherm uw geclassificeerde communicatie nu

Corvus.Quantum levert beproefde hybride ML-KEM-streamingversleuteling voor defensiecommunicatie — inzetbaar op bestaande infrastructuur, geen PKI-wijzigingen vereist, onmiddellijke HNDL-bescherming voor uw hoogst-prioritaire systemen.

Corvus.Quantum → Secure Cloud-diensten

Deze analyse is opgesteld door Corvus Intelligence-ingenieurs die missiekritieke software bouwen voor defensie- en overheidsorganisaties. Meer over ons team →

Veelgestelde vragen

Wanneer zullen kwantumcomputers militaire encryptie kunnen kraken?

De meest geloofwaardige publieke schattingen voor een cryptografisch relevante kwantumcomputer (CRQC) — één die RSA-2048 of 256-bits ECC kan kraken — variëren van 2030 tot 2035. De CNSA 2.0-adviesnota van de NSA hanteert 2035 als planningshorizon. Defensieorganisaties moeten 2030 als conservatief planningsdoel hanteren, omdat migratiedoortijden van 5–10 jaar betekenen dat het werk nu moet beginnen, ongeacht de exacte datum. Sommige nationale inlichtingenbeoordelingen suggereren dat de tijdlijn korter kan zijn dan publieke schattingen aangeven.

Wat is de harvest-now-decrypt-later-dreiging en waarom is die vandaag al relevant?

Harvest-now-decrypt-later (HNDL) is de praktijk van het opnemen van versleutelde communicatie voor latere ontcijfering zodra een kwantumcomputer beschikbaar wordt. Omdat de kosten van het in bulk verzamelen van versleuteld verkeer laag zijn, hoeven tegenstanders niet te wachten op kwantumcapaciteit voordat zij de gegevens vergaren. Alle geclassificeerde informatie die vandaag met RSA of ECC is versleuteld en na 2030 waarde behoudt — strategische plannen, inlichtingenbronnen en -methoden, nucleaire commandoprotocollen — is nu al effectief blootgesteld. De dreiging bestaat al, ook al bestaat de ontcijferingsmogelijkheid nog niet.

Welke cryptografische algoritmen zijn veilig tegen kwantumcomputers?

Symmetrische algoritmen — AES-256, SHA-384, SHA-512 — worden als kwantumveilig beschouwd bij de huidige sleutelgroottes (het algoritme van Grover halveert de effectieve sleutellengte, zodat AES-256 een beveiliging van circa 128 bits behoudt tegen kwantumaanvallen). De kwetsbare algoritmen zijn alle publieke-sleutelsystemen gebaseerd op wiskundige problemen die het algoritme van Shor efficiënt oplost: RSA, Diffie-Hellman en alle elliptische-curvevarianten (ECDSA, ECDH, EdDSA). De post-kwantumstandaarden van NIST — ML-KEM (FIPS 203), ML-DSA (FIPS 204) en SLH-DSA (FIPS 205) — zijn kwantumresistente vervangers voor deze publieke-sleutelalgoritmen.

Hoe lang duurt het om defensiecryptografie te migreren naar post-kwantumalgoritmen?

Volledige bedrijfsmigratie van de cryptografische infrastructuur van een defensieorganisatie — PKI, TLS-eindpunten, firmware-ondertekening, eigen protocollen, hardware-beveiligingsmodules — neemt realistisch 5 tot 10 jaar in beslag voor grote programma's. De tijdlijn omvat: cryptografische inventarisatie (6–18 maanden voor een complex programma), PKI-migratieontwerp en -goedkeuring (12–24 maanden), gefaseerde certificaatuitrol (12–24 maanden), TLS-eindpuntupgrades (12–36 maanden) en firmware-herondertekeningscampagnes gebonden aan platformvervangingscycli. Beginnen in 2026 om een conservatieve deadline van 2030 te halen laat minimale marge voor complexe programma's.

Beschikken tegenstanders al over kwantumcomputers die encryptie kunnen kraken?

Er is geen publiek bewijs dat enige natiestaat momenteel een cryptografisch relevante kwantumcomputer in gebruik heeft. Huidige kwantumhardware — inclusief de meest geavanceerde systemen van IBM, Google en gemelde Chinese programma's — werkt met honderden tot duizenden fysieke qubits, ver onder de miljoenen foutgecorrigeerde logische qubits die nodig zijn om het algoritme van Shor uit te voeren tegen RSA-2048 of 256-bits ECC. Tegenstanders hebben echter significante geheime programmacomponenten, en de kloof tussen publieke aankondigingen en operationele capaciteit kan jaren bedragen. De juiste houding is om HNDL als een actieve dreiging te behandelen, ongeacht de huidige capaciteitsbeoordelingen.