PQC GEREEDHEID // CHIMERASCOPE

Post-Quantum Cryptografie Gereedheid

Gekwantificeerde beoordeling van uw cryptografische infrastructuur tegen kwantumcomputingdreigingen — gekoppeld aan CRA-, NIS2- en BSI TR‑02102‑1‑complianceverplichtingen.

Waarom post‑quantumcryptografie nu van belang is

Recente vooruitgangen in het onderzoek naar quantumcomputing hebben de geschatte middelen die nodig zijn om breed gebruikte public‑keycryptografie te breken aanzienlijk verminderd. Organisaties die gevoelige gegevens verwerken — financiële administratie, medische informatie, intellectueel eigendom, bedrijfsgeheimen — staan onder een concrete tijdsdruk waarop regelgevers al reageren.

De kernbedreiging is eenvoudig: versleuteld netwerkverkeer dat vandaag wordt onderschept, kan worden opgeslagen en later worden ontcijferd zodra quantumcomputers voldoende capaciteit hebben. Deze “nu oogsten, later ontcijferen”‑strategie maakt post‑quantummigratie tot een risicomanagementprioriteit van nu, niet tot een toekomstige overweging. Huidige schattingen plaatsen het venster tussen onderschepping en ontcijferingscapaciteit op drie tot tien jaar.

NIST heeft in augustus 2024 drie post‑quantumcryptografische standaarden afgerond: ML‑KEM (FIPS 203) voor sleutel‑encapsulatie, ML‑DSA (FIPS 204) voor digitale handtekeningen, en SLH‑DSA (FIPS 205) voor hash‑gebaseerde handtekeningen. Grote infrastructuur‑providers zijn al begonnen met de uitrol — maar de overgrote meerderheid van organisaties heeft hun eigen gereedheid nog niet beoordeeld.

Wat wij beoordelen

Onze beoordeling evalueert de cryptografische quantumgereedheid van elk extern waarneembaar eindpunt van uw infrastructuur. Toegang tot interne systemen is niet vereist.

Transportlaag Quantumveiligheid

Evaluatie van TLS-sleuteluitwisselingsconfiguraties over gestandaardiseerde post-quantum hybride en zuivere algoritmen. Bepaalt of uw eindpunten een quantum-resistente sleuteluitwisseling onderhandelen of kwetsbaar blijven voor onderschepping. Omvat primaire domeinen, subdomeinen en extra servicepoorten.

Identiteit & Certificaatstatus

Analyse van certificaatalgoritmen inclusief beoordeling van handtekeningsschema's en scoring van migratiegereedheid. Evalueert of uw certificaatinfrastructuur kan overstappen op quantum-veilige algoritmen zonder operationele onderbreking — een functie van de uitgevende autoriteit, automatiseringsniveau en pinning-beperkingen.

E‑mail & Messagingbeveiliging

STARTTLS post-quantum capaciteitsverificatie over uw MX-infrastructuur. E‑mailtransport is een van de meest over het hoofd geziene quantum‑kwetsbare kanalen — actuele gegevens geven aan dat minder dan één procent van de wereldwijde mailservers quantum‑veilige transportversleuteling ondersteunt.

Protocolweerstand

Detectie van protocol-downgrade-kwetsbaarheden die aanvallers in staat stellen verbindingen naar oudere, quantum‑kwetsbare protocolversies te dwingen, zelfs wanneer nieuwere beveiligingen beschikbaar zijn. Omvat een beoordeling van de modernisering van SSH-sleuteluitwisseling over alle blootgestelde beheerinterfaces.

Infrastructuuronderscheiding

CDN-bewuste analyse die onderscheid maakt tussen quantumbescherming die wordt geboden aan de netwerkrand en bescherming die native is aan uw origin-infrastructuur — een kritische onderscheiding die geen enkel openbaar score-instrument momenteel maakt. Organisaties die afhankelijk zijn van content‑delivery‑netwerken gaan vaak uit van volledige bescherming, terwijl alleen de randlaag quantum-klaar is.

De realiteit van de sector

Onze beoordelingen van Europese industriële, financiële en technologische organisaties onthullen een consistent patroon:

Edge versus origin kloof. Organisaties die grote CDN‑providers gebruiken, tonen doorgaans quantum‑veilige sleuteluitwisseling aan de netwerkrand — maar hun origin‑servers, waar de gegevens daadwerkelijk worden verwerkt, missen vaak enige post‑quantum bescherming. Onze scoringsmethodologie onderscheidt deze twee lagen, waardoor een nauwkeurig beeld ontstaat in plaats van een misleidend beeld.
E‑mail als blinde vlek. Minder dan één procent van de beoordeelde mailservers ondersteunt quantum‑veilige transportversleuteling. Dit omvat organisaties die al post‑quantum bescherming hebben geïmplementeerd in hun webinfrastructuur — mailtransport wordt consequent over het hoofd gezien.
Downgrade‑blootstelling. De meerderheid van de beoordeelde organisaties accepteert oudere protocolversies naast nieuwere, waardoor een pad ontstaat voor aanvallers om quantum‑veilige beschermingen volledig te omzeilen via protocol‑downgrade‑aanvallen.
Certificaat‑gereedheid varieert. Organisaties die geautomatiseerde certificaatautoriteiten gebruiken, tonen een aanzienlijk hogere migratie‑gereedheid dan organisaties die afhankelijk zijn van handmatig certificaatbeheer met verlengde geldigheidsperioden.

Regelgevende context

Post-quantum cryptografische gereedheid is geen theoretische zorg — het is een opkomende nalevingsvereiste binnen meerdere regelgevende kaders die van toepassing zijn op Europese organisaties.

EU Cyber Resilience Act (CRA) — Art. 10

De CRA vereist dat producten met digitale elementen cryptografische beschermingen implementeren die de stand van de techniek weerspiegelen. Artikel 10 verplicht fabrikanten om vertrouwelijkheid te waarborgen via “passende mechanismen en protocollen” — een bewoording die steeds meer post-quantum gereedheid omvat naarmate NIST‑normen rijpen. Kwetsbaarheidsrapportage wordt verplicht vanaf september 2026, volledige naleving tegen december 2027.

NIS2 Directive — Art. 21

Artikel 21 vereist dat essentiële en belangrijke entiteiten “state‑of‑the‑art” beveiligingsmaatregelen implementeren die proportioneel zijn aan het risico. Naarmate post‑quantum cryptografische standaarden volwassen worden, leidt het niet beoordelen en plannen van migratie tot een aantoonbaar gat in de risicomanagementmaatregelen die NIS2 eist. Verwacht wordt dat sectorspecifieke richtlijnen expliciet verwijzen naar PQC‑migratietijdlijnen.

BSI TR-02102-1

Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) onderhoudt technische richtlijnen voor aanbevolen cryptografische algoritmen. TR‑02102‑1 classificeert ML‑KEM en ML‑DSA als aanbevolen algoritmen en biedt concrete begeleiding voor organisaties die actief zijn op of diensten leveren aan de Duitse markt. BSI‑richtlijnen hebben bijzonder gewicht voor leveranciers in de publieke sector en gereguleerde industrieën in de DACH‑regio.

CNSA 2.0 (NSA)

De Commercial National Security Algorithm Suite 2.0 stelt een tijdlijn vast voor het uitfaseren van kwantum‑kwetsbare algoritmen in nationale beveiligingssystemen. Hoewel US‑gericht, beïnvloeden de CNSA 2.0‑tijdlijnen wereldwijde toeleveringsketenvereisten — organisaties die de defensie‑, lucht‑ en ruimtevaart‑ of dual‑use‑technologiesector bedienen, ondervinden opeenvolgende nalevingsverplichtingen, ongeacht de jurisdictie.

Gereedheidsniveaus

Elke beoordeling levert een gekwantificeerde gereedheidsscore op die de werkelijke implementatiestatus weergeeft van alle extern waarneembare cryptografische eindpunten. De score houdt rekening met de configuratie van de transportlaag, certificaatstatus, e‑mailbeveiliging, protocolweerstand en infrastructuurarchitectuur.

Klaar (80–100)

Post‑quantum sleuteluitwisseling geïmplementeerd op primaire eindpunten. Certificaatinfrastructuur ondersteunt algoritmemigratie. E‑mailtransport omvat quantum‑veilige beschermingen. Er zijn geen significante protocol‑downgrade‑paden gedetecteerd.

Lage Risico (60–79)

Gedeeltelijke post‑quantum implementatie — meestal via CDN‑randbescherming zonder implementatie op origin‑niveau, of met lacunes in e‑mail‑ of SSH‑transport. Migratiepad bestaat, maar vereist gerichte actie op specifieke infrastructuurlagen.

Gemiddeld Risico (40–59)

Beperkte of geen post‑quantum beschermingen geïmplementeerd. Certificaatinfrastructuur kan migratie ondersteunen, maar er is nog geen actieve overgang gestart. Protocol‑downgrade‑paden zijn waarschijnlijk aanwezig. Aanbevolen: begin met migratieplanning binnen de huidige begrotingscyclus.

Hoog Risico (20–39)

Geen quantum‑veilige beschermingen gedetecteerd. Legacy‑protocolversies worden geaccepteerd. Certificaatbeheer kan snelle migratie belemmeren. Aanbevolen: prioriteer een cryptografische inventaris en migratieroadmap als een onmiddellijke operationele prioriteit.

Kritiek (0–19)

Significante cryptografische blootstelling, inclusief verouderde algoritmen, afwezigheid van forward secrecy, en structurele barrières voor migratie. Een onmiddellijke beoordeling en herstelplanning zijn gerechtvaardigd.

Wat u ontvangt

Gekwantificeerde gereedheidsscore. Een enkele 0–100 score die de werkelijke post‑quantum implementatiestatus weergeeft over alle beoordeelde eindpunten, met een per‑laag uitsplitsing die precies toont waar bescherming bestaat en waar nog hiaten zijn.
Regelgevende compliance‑mapping. Elke bevinding wordt gekoppeld aan specifieke CRA-, NIS2- en BSI TR-02102-1‑vereisten — waardoor de documentatie wordt geleverd die uw compliance‑team nodig heeft voor audit‑gereedheid.
CDN‑bewuste architectuuranalyse. Duidelijke differentiatie tussen edge‑laagbeschermingen en origin‑niveau implementatie — waardoor de valse zekerheid die aggregatie‑score‑tools geven, wordt voorkomen.
Geprioriteerde migratieroadmap. Actiegerichte aanbevelingen gerangschikt op impact en implementatie‑inspanning, met specifieke richtlijnen voor elke infrastructuurlaag die aandacht vereist.
Versleutelde levering. Beoordeling geleverd als een AES‑128 versleutelde PDF met forensische chain of custody, binnen 48 uur na bevestiging van de opdracht.

Veelgestelde vragen

Wanneer moeten we beginnen met migreren?

Nu. NIST-standaarden zijn afgerond, grote infrastructuurproviders implementeren, en regelgevende kaders nemen post-quantum vereisten op. Organisaties die vandaag met de beoordeling beginnen, hebben migratieroadmaps klaar voordat de nalevingsdeadlines arriveren.

We gebruiken een CDN — zijn we al beschermd?

Gedeeltelijk. Grote CDN-providers implementeren post-quantum sleuteluitwisseling aan de rand, maar uw origin-server verwerkt de feitelijke gegevens. Als uw origin geen quantum-veilige bescherming heeft, blijft het verkeer tussen CDN en origin kwetsbaar. Onze beoordeling identificeert precies dit gat.

Is dit een penetratietest?

Nee. De beoordeling evalueert de cryptografische configuratie via passieve observatie en standaard TLS-handshake-analyse. Geen exploitatie, geen authenticatiepogingen, geen serviceonderbreking. Voor de standaard beoordelingsscope is geen autorisatie vereist.

Wat betreft onze e‑mailinfrastructuur?

E‑mailtransport wordt afzonderlijk beoordeeld van de webinfrastructuur. Onze beoordeling controleert of uw MX-servers quantum-safe STARTTLS ondersteunen — een mogelijkheid die minder dan één procent van de wereldwijde mailservers momenteel biedt.

Hoe verhoudt dit zich tot onze bestaande beveiligingsbeoordeling?

De PQC-readiness-beoordeling is beschikbaar als een zelfstandige opdracht of als een geïntegreerde laag binnen een uitgebreide externe attack surface-beoordeling. Wanneer gecombineerd, worden PQC-bevindingen opgenomen in de algemene nalevingsmapping en dreigingsscore.

Welke standaarden verwijst u naar?

NIST FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA) voor algoritme‑evaluatie. CRA Art. 10, NIS2 Art. 21, BSI TR-02102-1 en CNSA 2.0 voor nalevingsmapping. Alle referenties worden vermeld in het geleverde rapport.

Vraag een PQC‑gereedheidsbeoordeling aan.

Dien het primaire domein van uw organisatie in voor een post‑quantum cryptografie gereedheidsbeoordeling. De beoordeling wordt binnen 48 uur geleverd als een versleutelde PDF.

Aanvraag PQC‑gereedheidsbeoordeling

Geef het primaire domein van uw organisatie op. De beoordeling omvat alle extern waarneembare cryptografische eindpunten.