Registratie voor Nomios Next is nu live! Schrijf je in voor hèt cybersecurity event van 2026. Meer info

Neem contact op
Quantum Security PKI

PKI voorbereiden op de post-quantum transitie

Priyanka Gahilot
Placeholder for PriyankaPriyanka

Priyanka Gahilot , Managed Services Engineer , Nomios Nederland

4 min. leestijd
Placeholder for Adobe Stock 1278998477Adobe Stock 1278998477

Share

Post-quantum cryptografie (PQC) wordt vaak besproken in termen van nieuwe algoritmen, maar de moeilijkere vraag is waarop die algoritmen steunen. In veel omgevingen leidt dat rechtstreeks naar PKI: de certificaatinfrastructuur die de basis vormt van vertrouwen tussen gebruikers, apparaten, applicaties en services. Dat maakt het een logische volgende stap na het bekijken van de praktische impact van PQC.

PKI verdient aandacht op zichzelf. Het is geen enkel product of protocol, maar het raamwerk achter het uitgeven, valideren, intrekken en distribueren van certificaten. Nu organisaties zich beginnen voor te bereiden op het quantum-tijdperk, wordt PKI een van de onderdelen die de meeste planning, de meeste tests en de meeste tijd vragen om bij te werken.

Public Key Infrastructure ondersteunt een groot deel van de moderne digitale beveiliging. Het zit achter TLS-certificaten, machine identity, VPN-authenticatie, beveiligde e-mail, code signing, document signing en een reeks interne vertrouwensrelaties die de meeste gebruikers nooit opmerken. Omdat die fundamenten nog sterk leunen op RSA en elliptic-curve cryptografie, heeft de overstap naar Post-Quantum Cryptografie directe gevolgen voor de manier waarop vertrouwen wordt opgebouwd en onderhouden.

Waarom PKI zo'n lastig onderdeel is van de transitie

Sommige onderdelen van een PQC-migratie zijn aan te pakken als afgebakende technische wijzigingen. PKI is anders, omdat het door de hele omgeving verweven is. Certificaten zijn opgeslagen in browsers, besturingssystemen, netwerkapparatuur, identity platforms, applicaties, clouddiensten en endpoint-apparaten. Ze zijn gekoppeld aan verlengingscycli, trust stores, validatielogica en interoperabiliteit met derde partijen.

PKI is dan ook niet iets dat de meeste organisaties snel kunnen vervangen. Een wijziging in certificaatalgoritmen raakt niet alleen de uitgever, maar elk systeem dat een certificaat genereert, opslaat, aanbiedt, verwerkt, valideert of gebruikt. De omvang van die afhankelijkheid is wat PKI tot een van de langstlopende onderdelen van de post-quantum transitie maakt.

Wat er verandert in een post-quantum PKI-model

Het hart van PKI is het digitale certificaat. Elk certificaat bevat een publieke sleutel en een handtekening van een vertrouwde uitgever. Vandaag de dag zijn die doorgaans gebaseerd op RSA of ECC. In een post-quantummodel moeten beide uiteindelijk overstappen naar quantumresistente alternatieven.

Dat klinkt eenvoudig, maar het heeft reële operationele consequenties. Nieuwe certificaatalgoritmen betekenen nieuwe formaten, andere sleutel- en handtekeninggroottes, en nieuwe eisen aan software en hardware die certificaten verwerken. Dit raakt publieke certificaten, interne PKI, apparaatcertificaten, code-signing certificaten en elk ander systeem dat gebouwd is op certificaatvertrouwen.

Voor veel teams ligt de uitdaging minder in de theorie van PQC en meer in compatibiliteit. Bestaande systemen moeten blijven werken terwijl nieuwe cryptografische modellen worden geïntroduceerd. Daar komen hybride benaderingen om de hoek kijken.

Waarom hybride certificaten waarschijnlijk de norm worden

Een volledige overstap van klassieke cryptografie naar PQC is niet in één stap realistisch. Ondersteuning zal in wisselend tempo beschikbaar komen via platforms, producten en leveranciers. Hybride certificaten spelen daarom waarschijnlijk een centrale rol tijdens de transitie.

Een hybride certificaat combineert klassieke en post-quantum elementen, zodat verschillende systemen ze kunnen gebruiken. Oudere systemen kunnen voor compatibiliteit blijven steunen op RSA of ECC, terwijl nieuwere systemen al post-quantum sleutels of handtekeningen kunnen gaan gebruiken. Zo kunnen organisaties beginnen met de overgang zonder directe vervanging over de hele omgeving af te dwingen.

De keerzijde is dat hybride ondersteuning het migratievenster verlengt. In plaats van één enkele wijziging moeten organisaties een periode beheren waarin klassieke en post-quantum vertrouwensmodellen naast elkaar bestaan. Certificaatbeleid, uitgifte-workflows, validatiegedrag en interoperabiliteit moeten gedurende die periode allemaal blijven functioneren.

Placeholder for Daily impact of PQC on cybersecurityDaily impact of PQC on cybersecurity

Ook certificate authorities moeten mee-evolueren

De transitie stopt niet bij end-entity certificaten. Ook Certificate Authorities (CA's) moeten zich aanpassen.

CA's zijn verantwoordelijk voor het uitgeven van certificaten, het beheren van trust chains en het verankeren van de hiërarchieën waarop systemen vertrouwen. In een post-quantum model moeten ze nieuwe algoritmen ondersteunen, bijgewerkte certificaatprofielen hanteren en nieuwe benaderingen voor trust distribution toepassen. Tijdens de transitie zullen veel CA's waarschijnlijk in hybride modus opereren: compatibiliteit behouden met bestaande omgevingen, terwijl ze zich voorbereiden op quantum-safe trust chains.

Dit is waar PKI meer wordt dan een cryptografische update. Het is een verandering van de vertrouwensinfrastructuur. Roots, intermediates, enrolment workflows, lifecycle management en validatiegedrag moeten mogelijk allemaal tegelijk mee-evolueren. Dat maakt PKI-migratie net zozeer een strategische als een technische kwestie.

Waarom dit jaren duurt, geen maanden

PKI-wijzigingen verlopen zelden snel. Certificaatlevensduren zijn lang, trust anchors zijn breed verspreid en afhankelijkheden zijn vaak dieper dan verwacht. Sommige systemen zijn snel bij te werken. Andere zijn afhankelijk van hardware, embedded software, legacy platforms of externe leveranciers die veel trager bewegen.

Daarom zal PKI waarschijnlijk het tempo bepalen van de bredere PQC-reis. Als de certificaatinfrastructuur niet snel kan bewegen, kunnen de diensten die daarvan afhangen dat ook niet. Voor veel organisaties is PKI daarmee de belangrijkste sequencing-uitdaging in de overgang naar post-quantum security.

Waar organisaties nu op moeten focussen

De eerste prioriteit is inzicht. Teams moeten begrijpen waar certificaten worden gebruikt, welke systemen daarvan afhangen, hoe vertrouwen is gedistribueerd en waar RSA of ECC nog aan de kern van identity- of authenticatieprocessen zit.

Dat betekent doorgaans verder kijken dan publieke webcertificaten. Interne PKI ondersteunt vaak Wi-Fi-toegang, VPN's, machine identity, gebruikersauthenticatie, beheerderstoegang, software signing en onboarding workflows. In veel gevallen zijn die interne afhankelijkheden lastiger te ontwarren dan de internet-facing onderdelen.

De volgende stap is testen. Organisaties moeten in kaart brengen waar hybride certificaatondersteuning beschikbaar is, welke platforms nieuwe certificaatformaten aankunnen en waar operationele processen moeten veranderen. Vroeg beginnen met dat werk geeft ruimte om een gefaseerde migratie te plannen, in plaats van later onder druk te moeten reageren.

Vertrouwensinfrastructuur als de echte uitdaging

Nu de discussie rondom PQC concreter wordt, springt PKI eruit als een van de gebieden waar de werkelijke complexiteit zit. Het vervangen van algoritmen is slechts een deel van het werk. De vertrouwenslaag onder certificaten, identiteiten en gesigneerde systemen bijwerken — dát is wat langdurige inspanning vraagt.

Daarom is PKI waarschijnlijk een van de moeilijkste onderdelen van de post-quantum transitie. Het is diep ingebed, operationeel gevoelig en traag te veranderen. En precies daarom vraagt het nu al aandacht.

Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man
Artikelen

Meer updates

Placeholder for Twee engineers werken aan certificatenTwee engineers werken aan certificaten
DigiCert

Quantum Security PKI

Van 47-daagse certificaten naar Post-Quantum Readiness

47-daagse certificaten en post-quantum cryptography vragen om een nieuwe PKI-aanpak. Lees hoe automation en crypto agility helpen om je organisatie voor te bereiden.

Sjaak Lemmers
Placeholder for Sjaak lemmersSjaak lemmers

Sjaak Lemmers

6 min. leestijd
Placeholder for Shadow ITShadow IT
Infoblox

Preemptive Security

Aanvallen beginnen buiten jouw netwerk. Beveiliging ook.

Phishing-pagina's, nepprofielen van executives, gelekte inloggegevens op het dark web – de meeste aanvallen nemen al een concrete vorm aan lang voordat ze jouw netwerk raken. Toch richt traditionele beveiliging zich grotendeels op wat er ná die grens gebeurt. Infoblox kiest een andere koers.

Michel Geensen
Placeholder for Michel-GeensenMichel-Geensen

Michel Geensen

1 min. leestijd
Placeholder for Nomios Guardian x MDRNomios Guardian x MDR
Palo Alto Networks

MDR

Nomios lanceert Guardian xMDR: enterprise-grade managed detection and response

Onze nieuwe gestandaardiseerde MDR-service combineert Cortex XDR, een SOC in Nederland en transparante, tiergebaseerde prijsstelling — zodat organisaties van iedere omvang volwassen managed security kunnen inzetten.

2 min. leestijd
Alle artikelen