Wanneer mensen horen over Q-Day, de dreiging die quantumcomputers vormen voor moderne encryptie, grijpen velen naar de Y2K-analogie. "Dat was ook een apocalyptische dreiging die nooit uitkwam," is een veelgehoorde reactie. Het is een vergelijking die geruststellend klinkt maar fundamenteel misleidend is. Q-Day en Y2K zijn beide reële technologische transitieproblemen — maar ze verschillen op bijna elk kritisch punt, en allemaal in het nadeel van Q-Day.
Wat Y2K goed maakte: voorspelbaarheid
Het millennium-bug probleem had een eigenschap die het uiteindelijk beheersbaar maakte: absolute voorspelbaarheid. De datum stond vast — middernacht op 1 januari 2000. Ingenieurs wisten precies wanneer systemen zouden falen en konden daarop plannen. Er was een harde deadline die onmogelijk kon verschuiven.
Q-Day heeft geen vaste datum. Het kan in 2029 komen, of in 2033, of later. Het kan ook morgen komen als een doorbraak in de quantumhardware eerder dan verwacht plaatsvindt. Die onzekerheid maakt plannen moeilijker — en geeft uitstelgedrag een schijnbaar rationeel fundament. "We wachten tot het duidelijker wordt," is een verleidelijke maar gevaarlijke strategie.
Y2K had één fix; Q-Day heeft die niet
De Y2K-oplossing was, ondanks de omvang van het werk, conceptueel eenvoudig: zoek alle plekken in code waar datums worden opgeslagen als tweekarakters, en breid ze uit naar vier. Het was arbeidsintensief, maar het was één soort probleem met één soort oplossing.
Post-quantum migratie is fundamenteel complexer. Er zijn meerdere kwetsbare cryptografische algoritmen (RSA, ECDSA, Diffie-Hellman), meerdere kandidaatalgoritmen om ze te vervangen (ML-KEM, ML-DSA, HQC, SPHINCS+), en de keuze van het juiste algoritme hangt af van de use-case. Bovendien zijn er tientallen lagen van het technologiestack betrokken: TLS-bibliotheken, certificaatautoriteiten, VPN-software, hardware-securitymodules, industriële besturingssystemen, ingebedde firmware. Elk ervan vereist een specifieke aanpak.
Het retroactieve probleem: Y2K was toekomstgericht, Q-Day niet
Dit is het meest fundamentele verschil. Y2K was uitsluitend een toekomstig probleem. Als je je systemen vóór de deadline had gepatcht, was je veilig. Historische data liep geen risico. Transacties uit 1999 werden niet met terugwerkende kracht aangetast.
Q-Day werkt anders. Dankzij het "nu oogsten, later ontcijferen" aanvalsmodel zijn gegevens die vandaag zijn versleuteld al kwetsbaar voor een toekomstige quantumcomputer. Staatsdiensten verzamelen al versleuteld verkeer met de bedoeling dit te ontcijferen als Q-Day aanbreekt. Dat betekent dat data die vóór de migratie is versleuteld — ongeacht wanneer de migratie plaatsvindt — retroactief kwetsbaar blijft. Y2K had geen retroactief probleem. Q-Day heeft uitsluitend een retroactief probleem.
De asymmetrie van de aanvaller
Bij Y2K was het probleem symmetrisch: elke organisatie moest zijn eigen systemen repareren, en als je dat deed, was je beschermd. Er was geen "aanvaller" die strategisch voordeel haalde uit de vertraging van anderen.
Q-Day is asymmetrisch. Een aanvaller met een quantumcomputer — een nationale staat, waarschijnlijk — kan de kwetsbaarheid van anderen exploiteren terwijl hun eigen systemen al zijn geüpgraded. Organisaties die traag migreren, worden niet alleen zelf kwetsbaar; ze zijn ook kwetsbaar voor tegenstanders die jaren van eerder verzamelde versleutelde communicatie hebben opgeslagen. De aanvaller hoeft niets te patchen — die wacht alleen totdat zijn nieuwe hardware klaar is.
Y2K werd opgelost door samenwerking; Q-Day vereist meer
Y2K werd uiteindelijk succesvol afgehandeld door massieve, gecoördineerde inspanning van de IT-sector wereldwijd — gedreven door de onmiskenbare deadline en de heldere aard van het probleem. Maar die succesvolle samenwerking leidt nu paradoxaal tot onderschatting: mensen concluderen dat technologische rampen altijd op tijd worden opgelost als we er maar aan werken.
Q-Day vereist meer dan patches. Het vereist een fundamentele herziening van de wiskundige fundamenten van vrijwel alle cryptografie die de digitale wereld draaiende houdt. Het vereist nieuwe algoritmen, nieuwe standaarden, nieuwe hardware en nieuwe software — en dat in een race tegen een onzekere maar potentieel zeer nabije deadline. Y2K was een sprint naar een zichtbare finishlijn. Q-Day is een marathon waarvan niemand precies weet waar die eindigt.