De voorbereiding op Q-Day is geen binaire opgave — je bent niet "klaar" of "niet klaar". Het is een continue, gefaseerde transitie waarbij elke stap vooruit de blootstelling vermindert. Of je nu een individu bent, een MKB-ondernemer of een CISO van een grote organisatie: er zijn concrete acties die je vandaag kunt nemen.
Stap 1: breng je cryptografische inventaris in kaart
Voordat je kunt migreren, moet je weten wat je hebt. Dit klinkt eenvoudig maar is in de praktijk één van de moeilijkste stappen. Cryptografie is overal in de moderne IT-stack: in TLS-verbindingen, in VPN's, in digitale handtekeningen op software, in databaseversleuteling, in authenticatieprotocollen, in hardware-securitymodules. Een cryptografische inventarisatie brengt in kaart welke algoritmen worden gebruikt, waar, voor welke data, en met welke sleutelgrootte.
NIST heeft richtlijnen gepubliceerd voor dit inventarisatieproces (NIST IR 8547). Commerciële tools zoals IBM's Quantum Safe Explorer en vergelijkbare producten van leveranciers als Entrust en Thales kunnen helpen bij het automatisch detecteren van kwetsbare cryptografie in softwareomgevingen.
Stap 2: prioriteer langlevende data
Niet alle data verdient dezelfde urgentie. Stel jezelf voor elke categorie gevoelige data de vraag: "Als deze data in 2030 wordt ontcijferd, is dat dan een probleem?" Data met een hoge langetermijngevoeligheid — medische dossiers, juridische stukken, intellectueel eigendom, strategische communicatie — verdient de hoogste prioriteit. Voor versleuteling van deze data moet je nu al overwegen over te stappen naar PQC-algoritmen of hybride schema's.
Transiteer databaseversleuteling en data-at-rest versleuteling eerder dan minder kritieke verbindingen. De urgentie van de "nu oogsten, later ontcijferen" dreiging is het grootst voor data die nu al wordt onderschept én langdurig waardevol blijft.
Stap 3: volg de NIST PQC-standaarden
NIST heeft in augustus 2024 drie post-quantum cryptografiestandaarden gepubliceerd: FIPS 203 (ML-KEM, gebaseerd op CRYSTALS-Kyber, voor sleutelencapsulatie), FIPS 204 (ML-DSA, gebaseerd op CRYSTALS-Dilithium, voor digitale handtekeningen) en FIPS 205 (SLH-DSA, gebaseerd op SPHINCS+, voor handtekeningen). Een vierde standaard, HQC (geselecteerd in 2025), is in ontwikkeling als reserve-algoritme voor sleutelencapsulatie.
Gebruik deze standaarden als leidraad. Vermijd het gebruik van voorlopige, niet-gestandaardiseerde PQC-algoritmen voor productiesystemen — cryptografische implementaties die later worden gewijzigd of verwijderd, creëren technische schuld. Gebruik de NIST-gestandaardiseerde algoritmen zodra ze beschikbaar zijn in de cryptografische bibliotheken die je gebruikt (OpenSSL, BoringSSL, libsodium, etc.).
Stap 4: implementeer hybride TLS
Voor webverkeer en API-verbindingen is hybride TLS de meest pragmatische tussenoplossing. Hybride sleuteluitwisseling combineert een klassiek algoritme (zoals X25519) met een post-quantum algoritme (zoals ML-KEM/Kyber) in één handshake. Het resultaat is veilig zolang ten minste één van de twee algoritmen ongebroken blijft. Moderne versies van OpenSSL (3.2+), BoringSSL en libssl ondersteunen hybride PQC-sleuteluitwisseling. Cloudflare, Fastly en andere CDN-aanbieders ondersteunen hybride TLS al standaard aan de serverzijde.
Stap 5: werk samen met leveranciers
Veel van de kwetsbare cryptografie in uw organisatie zit in producten en diensten van leveranciers — clouddiensten, SaaS-applicaties, netwerkapparatuur, beveiligingshardware. Vraag uw kritieke leveranciers naar hun PQC-migratieplanning. Zijn ze in lijn met NIST- en CNSA 2.0-standaarden? Hebben ze een migratieroadmap? Wanneer verwachten ze PQC-ondersteuning te leveren? De antwoorden op deze vragen helpen u de afhankelijkheidsrisico's in uw supply chain in kaart te brengen.
Wat individuen kunnen doen
Voor particuliere gebruikers is de handelingsruimte beperkter, maar niet nul. Gebruik apps en diensten die al post-quantum encryptie ondersteunen: Apple's iMessage gebruikt het PQ3-protocol voor post-quantum bescherming, Signal werkt aan PQC-integratie, en browsers als Chrome en Firefox ondersteunen al hybride PQC-sleuteluitwisseling via TLS. Houd uw besturingssysteem, browser en beveiligingssoftware up-to-date — PQC-ondersteuning wordt via reguliere updates uitgerold. En wees bewust dat gegevens die u vandaag online deelt, mogelijk voor altijd kwetsbaar zijn voor toekomstige quantumontcijfering.
Wat organisaties moeten doen
Grote organisaties — banken, zorgaanbieders, overheidsinstanties, technologiebedrijven — moeten een formeel PQC-migratieprogramma opzetten. Dit omvat een C-level sponsor, een duidelijk projectbudget en een meerjarig migratieplan met tussentijdse mijlpalen. De NIST NCCoE (National Cybersecurity Center of Excellence) heeft een gedetailleerde migratiepraktijkgids gepubliceerd (NIST SP 1800-38) die bruikbare startpunten biedt. Start nu, begin met de hoogste risicoprioriteiten, en bouw van daaruit systematisch verder.