Inloggen

De fundamentele architectuur: Klassieke, Post-Quantum en Quantum Cryptosystemen

De cryptografische wereld kan grofweg in drie paradigma’s worden verdeeld: klassieke cryptografie, post-quantum cryptografie (PQC) en quantumcryptografie. Elk van deze paradigma’s heeft zijn eigen wiskundige aannames, implementatie-eisen en rol in de migratiestrategie naar quantumveilige beveiliging.

Klassieke cryptografie (pre-PQC)

Klassieke publieke-sleutelcryptografie vormt de basis van de huidige Public Key Infrastructure (PKI).

  • Kernalgoritmen: RSA, Diffie-Hellman (DH), Elliptic Curve Cryptography (ECC, zoals ECDH en ECDSA).
  • Wiskundige basis:
    • RSA: Factorisatie van grote samengestelde getallen.
    • DH/ECC: Discrete-logaritmeproblemen in multiplicatieve groepen of op elliptische curves.
  • Eigenschap: Voor klassieke computers gelden deze problemen als computationeel onuitvoerbaar bij voldoende grote sleutelgroottes, waardoor ze decennialang veilig waren.
  • Kwantumdreiging: Shor’s algoritme maakt factorisatie en discrete log in principe polynomiaal oplosbaar voor een voldoende grote kwantumcomputer. Zodra zulke machines praktisch beschikbaar zijn, kunnen RSA- en ECC-gebaseerde systemen fundamenteel worden gebroken, inclusief alle data die vandaag met deze algoritmen is versleuteld (“harvest now, decrypt later”).

Post-Quantum cryptografie (PQC)

Post-quantum cryptografie is ontworpen om dezelfde functionaliteit als klassieke PKI te bieden, maar met andere wiskundige fundamenten.

  • Doel: Publieke-sleutelcryptografie en digitale handtekeningen leveren die veilig blijven tegen zowel klassieke als kwantumaanvallen.
  • Wiskundige basis:
    • Lattice-gebaseerde schema’s (zoals ML-KEM en ML-DSA) gebaseerd op hardheidsproblemen in hoogdimensionale roosters (LWE/Module-LWE).
    • Hash-gebaseerde handtekeningen (zoals SLH-DSA) gebaseerd op pre-image- en collision-resistentie van hashfuncties.
    • Daarnaast code-gebaseerde en multivariate systemen, die in de praktijk een kleinere rol spelen in de eerste NIST-standaarden.
  • Implementatie: Draait volledig op klassieke hardware, en bestaande protocollen (zoals TLS, VPN, e-mail, PKI) kunnen worden uitgebreid met PQC-algoritmen zonder quantumfysica of speciale hardware.
  • Rol in architectuur:
    • Vervangt of versterkt klassieke sleuteluitwisseling en handtekeningen.
    • Wordt vaak eerst in hybride vorm ingezet: klassieke algoritmen + PQC tegelijk, zodat een aanvaller beide moet breken.

Quantumcryptografie

Quantumcryptografie maakt gebruik van fysische eigenschappen van quantummechanica in plaats van alleen wiskundige moeilijkheidsproblemen.

  • Belangrijkste toepassing: Quantum Key Distribution (QKD), waarbij twee partijen een gedeelde sleutel opbouwen via een quantumkanaal (bijvoorbeeld glasvezel met speciale apparatuur).
  • Veiligheidsmodel: Vertrouwt niet op computationele hardheid, maar op natuurwetten (bijvoorbeeld dat meten een quantumtoestand verstoort), waardoor afluisterpogingen detecteerbaar worden.
  • Beperkingen:
    • Vereist gespecialiseerde en vaak dure hardware.
    • Bereik is typisch beperkt (afstand, kanaalkwaliteit).
    • Schaalbaarheid naar wereldwijde internet-infrastructuren is complex en kostbaar.
  • Geen vervanging voor PQC: QKD lost alleen het probleem van sleuteluitwisseling op en vervangt niet de volledige PKI-functionaliteit of alle cryptografische primitieve; bovendien blijft je data-encryptie (bijvoorbeeld met AES) gewoon klassiek.

Architectuur in samenhang

Je kunt de drie paradigma’s als lagen op elkaar zien:

  • Klassiek: Huidige basislaag van PKI, nog dominant in productie, maar structureel kwetsbaar in een post-quantum scenario.
  • PQC: De nieuwe logische laag die klassieke publieke-sleutelcomponenten vervangt of aanvult; ontworpen om in bestaande infrastructuur te passen.
  • Quantumcryptografie: Een specialistische, fysische laag voor niche-scenario’s waar extreem hoge eisen gelden en quantumkanalen beschikbaar zijn.

Voor de meeste organisaties is de praktische route:

  1. Bestaande klassieke cryptografie inventariseren (RSA, ECC, DH) en beoordelen welke data lange vertrouwelijkheid vereist.
  2. Hybride architecturen uitrollen: Klassieke sleuteluitwisseling + PQC (bijvoorbeeld ML-KEM-1024) en klassieke handtekeningen + PQC-handtekeningen in kritieke paden.
  3. Symmetrische crypto dimensioneren met quantum-marge (bijvoorbeeld AES-256-GCM) en forward secrecy afdwingen, zodat zowel huidige als toekomstige aanvallen worden beperkt.
  4. Optioneel, in zeer gespecialiseerde omgevingen, quantumcryptografie (zoals QKD) toevoegen als extra fysieke beveiligingslaag.

Hoe KeyPact deze architectuur invult

In deze driedeling positioneert KeyPact zich expliciet in de overgang van klassiek naar post-quantum:

  • Klassieke componenten worden alleen nog in hybride vorm gebruikt, naast NIST-gestandaardiseerde post-quantum algoritmen.
  • ML-KEM-1024 wordt ingezet als post-quantum KEM voor sleuteluitwisseling, gecombineerd met AES-256-GCM en forward secrecy voor dataverkeer.
  • De architectuur blijft compatibel met bestaande PKI- en netwerk-infrastructuur, waardoor organisaties zonder quantumhardware kunnen migreren naar een quantumresistente beveiligingslaag.

Zo ontstaat een fundamentele architectuur waarin klassieke cryptografie geleidelijk wordt uitgefaseerd, PQC de primaire rol in sleuteluitwisseling en handtekeningen overneemt, en quantumcryptografie optioneel als gespecialiseerde extra laag kan worden toegevoegd waar dat zinvol is.

Wij vertrouwen niet op beloftes van de cloud, maar op cryptografie die afdwingbaar is.

Neem nu contact op

KeyPact BV.

Woudenbergseweg 19D 4
3707 HW Zeist

085 1091227

info@keypact.com
Kvk nr. 97014338

© KeyPact

Support

Ma t/m vr van 08:00-18:00 uur.

support@keypact.com

Iso logo