Er is geen grotere onzekerheid in de wereld van quantumbeveiliging dan de vraag: wanneer? Wanneer zal een quantumcomputer krachtig genoeg zijn om RSA-2048 te breken — het slotje dat het meeste van het internet vergrendelt? De antwoorden variëren sterk, en de spreiding zelf vertelt al een verhaal. Maar er is één duidelijke trend: de schattingen worden jaar na jaar eerder, niet later.
Google: 2029 als interne horizon
Google is de meest prominente bron van een vroege tijdlijn. Het bedrijf heeft de meest geavanceerde supergeleider-quantumhardware ter wereld — de Sycamore-chip in 2019, de 70-qubit Bristlecone en in december 2024 de Willow-chip met verbeterde foutcorrectie. Google's beveiligingsteam gebruikt intern 2029 als planningshorizon voor een cryptografisch relevante quantumcomputer, een datum die ook wordt weerspiegeld in hun beslissing om nu al te migreren naar post-quantum TLS via X25519Kyber768.
Dit betekent niet dat Google verwacht dat er in 2029 een quantumcomputer beschikbaar is die RSA kraakt. Het betekent dat ze plannen op basis van een scenario waarbij dat zou kunnen — een voorzichtige beleidsregel, geen voorspelling.
NIST en NSA: vóór 2030 als beleidshorizon
De National Institute of Standards and Technology (NIST) en de NSA hanteren beiden een migratiedeadline van 2030 voor nationale veiligheidssystemen. De NSA's CNSA 2.0-richtlijn verplicht volledige migratie vóór dat jaar. NIST's PQC-standaardisatieproject was deels gedreven door de overtuiging dat migratie voor 2030 voltooid moet zijn om systemen adequaat te beschermen.
Beide agentschappen stellen voorzichtig dat de 2030-horizon een beleidsdeadline is op basis van "wanneer we klaar moeten zijn", niet noodzakelijkerwijs "wanneer Q-Day aankomt". Maar de impliciete boodschap is dat ze een scenario van vóór 2030 realistisch achten.
AQTI JVG: 2033 als meest waarschijnlijk scenario
De paper van het Advanced Quantum Technologies Institute uit maart 2026 stelt op basis van hun hardware-extrapolaties dat een cryptografisch relevante quantumcomputer voor RSA-2048 het meest waarschijnlijk beschikbaar komt in de periode 2031–2035, met 2033 als centraal scenario. Dit is een gematigd optimistische schatting die rekening houdt met de realistische uitdagingen van foutcorrectie op schaal. Maar de auteurs benadrukken dat hun schatting aanzienlijk vroeger is dan eerdere consensusschattingen, dankzij de algoritmische verbeteringen die zij beschrijven.
Global Risk Institute: 2035 als conservatieve schatting
Het Global Risk Institute (GRI), een Canadese denktank gespecialiseerd in systeemrisico's, publiceert jaarlijks een "Quantum Threat Timeline Report". In hun meest recente editie schatten ze dat er een kans van meer dan 50% is dat een CRQC voor RSA-2048 bestaat vóór 2035, met een substantiële minderheid van de bevraagde experts die een kans van meer dan 50% zien vóór 2030.
Het GRI-rapport is waardevol omdat het de spreiding van expertmeningen documenteert. De consensus-bandbreedte loopt van 2029 tot 2035, met de meeste experts die iets in het midden van deze range als het meest waarschijnlijk beschouwen. Geen serieuze expert verwacht Q-Day meer na 2040.
Welke factoren bepalen de snelheid?
De tijdlijn hangt af van drie samenhangende uitdagingen. Ten eerste is er de qubitkwaliteit: het aantal fysieke qubits dat nodig is om één logische, foutgecorrigeerde qubit te vormen, varieert van honderden tot duizenden afhankelijk van de foutcorrectiecode en de hardware-foutpercentages. Verbetering van qubitkwaliteit reduceert direct de totale hardware-vereisten.
Ten tweede is er de algoritmische efficiëntie: de papers van Gidney en AQTI tonen aan dat betere quantum-circuitontwerpen de resourcevereisten met tientallen procenten kunnen reduceren. Verdere algoritmische verbeteringen zijn mogelijk en zouden de tijdlijn kunnen versnellen.
Ten derde is er de engineeringsnelheid: het opschalen van tientallen qubits naar miljoenen is niet alleen een kwestie van meer te bouwen — het vereist nieuwe productiemethoden, betere isolatie en nieuwe foutcorrectie-architecturen. De snelheid waarmee quantumhardwarebedrijven deze uitdagingen overwinnen is de grootste onbekende.
Wat betekent dit voor planning?
De eerlijke conclusie is dat niemand de exacte datum weet. Maar dat is ook niet wat telt voor beveiliging. Wat telt is de gecombineerde zekerheid dat Q-Day wordt voorafgegaan door de "nu oogsten, later ontcijferen" fase — die al gaande is — en dat migratie naar post-quantum cryptografie meerdere jaren duurt. Of Q-Day nu in 2029 of 2035 komt: organisaties die vandaag beginnen, zijn beter af dan organisaties die wachten tot er meer zekerheid is.