Quantum-safe networking wordt concreet wanneer het zichtbaar wordt in designs, configuraties, telemetrie en lifecycleprocessen. Dit artikel richt zich op architectuurpatronen die je kunt toepassen op een datacenter fabric en interconnect, terwijl je tegelijk een migratiepad opbouwt naar post-quantum cryptography (PQC).

De visie van Nokia is dat quantum-safe security voortkomt uit defence-in-depth over meerdere netwerklagen, waarbij multi-layer encryption, key distribution en operationele controles worden gecombineerd.

Dat sluit aan op hoe we netwerken vandaag de dag bouwen: meerdere lagen, meerdere domeinen en veel automation.

Dreigingsmodel

Drie belangrijke technologische risico’s in een post-quantum wereld:

Public-key cryptography voor key exchange en digitale handtekeningen wordt kwetsbaar (RSA, DH, ECC).
Post-Quantum Cryptography (PQC) is nog in ontwikkeling en beschermt niet automatisch de lagere lagen van de network stack.
Quantum Key Distribution (QKD) kent uitdagingen bij implementatie, zoals de noodzaak voor dedicated glasvezelinfrastructuur, terwijl satellietgebaseerde oplossingen nog jaren verwijderd zijn van brede inzet.

De dreiging van harvest now, decrypt later benadrukt dat gevoelige data die vandaag versleuteld wordt, in de toekomst alsnog ontsleuteld kan worden. Tegelijk blijft symmetric encryption met geschikte sleutellengtes, kwaliteit en rotatiemechanismen bruikbaar in een post-quantum wereld. De focus op korte termijn ligt daarom op het beschermen van bulkverkeer en het verbeteren van key management, terwijl de trust layer wordt voorbereid op PQC.

Zelfs als symmetric encryption de bulkdata beschermt, blijven de initiële stappen voor key exchange en authenticatie kwetsbaar.

Start met een referentiearchitectuur

Voor de meeste organisaties is een praktische scope:

Leaf-spine datacenter fabric (east-west)
DCI tussen locaties (vaak optical gecombineerd met IP/MPLS of Ethernet)
WAN/edge on-ramps (cloudconnectiviteit, vestigingen, OT)
Management plane en automation stack (controllers, API’s, CI/CD, AAA)

Koppel quantum-safe maatregelen aan elke zone en houd de aanpak consistent met je operationele model.

Vier quantum-safe design patronen

Op basis van de referentiearchitectuur hierboven bieden de volgende vier patronen een praktische manier om quantum-safe principes te integreren in de datacenter fabric, DCI en de management stack.

Ze sluiten elkaar niet uit. Samen zorgen ze voor gelaagde bescherming over transport-, service- en trustdomeinen, terwijl je een migratiepad opbouwt richting PQC en crypto-agility.

Elk patroon richt zich op een ander aspect binnen de control plane of data plane:

Confidentiality op fabric-niveau binnen het datacenter
Multi-layer bescherming over DCI
Trust en identity binnen de management- en automation stack
Langetermijn crypto-agility over de volledige lifecycle

Patroon 1: Fabric link-encryptie als baseline control

Doel: bescherm east-west-verkeer en verlaag de waarde van onderschepte data binnen het datacenter.

Gangbare aanpak:

Gebruik link-layer encryption op fabric-links waar platforms dit op line rate ondersteunen, met operationeel beheersbare key rollover.

Houd rekening met zichtbaarheid: zorg dat je telemetrie en troubleshooting kunt blijven doen zoals je gewend bent, en controleer hoe encryptie samenwerkt met taps, SPAN of out-of-band monitoring.

Wat je vroeg moet bepalen:

Waar encryptie wordt beëindigd (alleen ToR tot spine, of verder in de fabric)
Hoe keys worden beheerd en geroteerd
Welke telemetry beschikbaar is voor encryptiestatus, failures en renegotiation

Dit is ook een goed moment om lifecycle te standaardiseren: template-based configuraties, compliance checks en drift control.

Patroon 2: DCI-encryptie met duidelijke layer ownership

Doel: bescherm replicatie, back-up, storage sync en service-to-serviceverkeer tussen locaties.

Nokia’s visie op quantum-safe networking legt de nadruk op multi-layer cryptografie en key distribution als bouwstenen.

Implementeer encryptie op de optical/transportlaag voor fundamentele, high-throughput en low-latency bescherming van de fysieke verbinding. Dit vormt de eerste barrière tegen afluisteren op de glasvezel zelf.
Voeg encryptie toe op de Ethernet- of IP-laag voor meer fijnmazige beveiliging, met flexibiliteit in topologie, service-separatie en bescherming tegen logische aanvallen of gecompromitteerde netwerkcomponenten hoger in de stack.
Een combinatie van deze lagen is vaak de meest effectieve aanpak. Dit zorgt voor een weerbare security posture waarbij het falen of omzeilen van één encryptielaag niet direct leidt tot verlies van data-integriteit of vertrouwelijkheid. Deze gelaagde aanpak is relevant wanneer verschillende teams verantwoordelijk zijn voor delen van het netwerk, of wanneer regelgeving vraagt om meerdere complementaire controles.

Engineering-overwegingen:

Latency en throughput headroom
Failure modes tijdens rekey en link events
Interoperabiliteit tussen vendors en domeinen
Operationele verantwoordelijkheid voor keys, alarms en audits

Als je bezig bent met DCI-refreshprojecten, behandel quantum-safe dan als een primaire requirement en niet als een latere toevoeging.

Placeholder for Datacenter hall with quantum safe network design

Datacenter hall with quantum safe network design

Patroon 3: Management plane en automation – voorbereiding op PQC en hybride transitie

Doel: zorg dat device identity, admin access, API-trust en gesigneerde artefacten betrouwbaar blijven tijdens de uitrol van PQC.

Voor veel omgevingen verschijnt PQC hier als eerste, omdat het raakt aan:

TLS voor API’s en northbound integraties
SSH-toegang en jump hosts
Certificate chains voor device identity en service-authenticatie
Software signing en secure boot chains

De transitie is zelden “volledig PQC in één keer”. Hybride modellen zijn gebruikelijk, omdat ze interoperabiliteit bieden en tegelijk quantum-resistentie introduceren. De IETF TLS-werkgroep heeft een actief draft voor hybride key exchange in TLS 1.3, wat laat zien hoe de sector een gefaseerde migratie aanpakt.

Engineering-taken voor de roadmap:

Inventariseer waar TLS, SSH en certificate-validatie gebruikt worden in je network tooling
Valideer de crypto libraries die worden gebruikt door controllers, collectors en orchestration
Test hybride of PQC-capabele stacks eerst in non-prod, daarna in edge use cases en vervolgens in core management services

Patroon 4: Crypto-agility als engineering-eis

Doel: zorg dat het netwerk cryptografische algoritmes en key practices kan aanpassen zonder dat een architectuuraanpassing nodig is.

Je wilt de mogelijkheid hebben om:

Algoritmes te vervangen of toe te voegen zonder de transportlaag te herontwerpen
Keys op schaal te roteren met voorspelbaar operationeel gedrag
Audit trails bij te houden die voldoen aan interne governance en externe eisen

De goedkeuring van de eerste PQC-standaarden door NIST (FIPS 203/204/205) biedt een concreet referentiepunt voor vendor roadmaps en voor je eigen teststrategie.

Waar Quantum Key Distribution (QKD) past vanuit engineeringperspectief

QKD kan relevant zijn voor specifieke high-assuranceverbindingen, maar brengt beperkingen met zich mee op het gebied van implementatie en de volwassenheid van het ecosysteem. Space-based QKD ontwikkelt zich, maar de eerste commerciële toepassingen worden nog over enkele jaren verwacht.

Engineering takeaways:

Stel maatregelen voor de korte termijn niet uit in afwachting van QKD
Houd een architectuur aan waarin je QKD later kunt integreren waar het waarde toevoegt, zonder het te forceren op elke verbinding

Een praktisch 6–12 maandenplan voor engineers

Als je iets wilt dat uitvoerbaar is zonder het onnodig complex te maken, richt je dan op de volgende deliverables:

Crypto- en trust-inventaris voor de network stack
Protocollen, devices, controllers, CI/CD-componenten, PKI-afhankelijkheden en externe integraties.
Fabric-encryptie baseline en rolloutplan
Scope, key handling, telemetry en operationele runbooks.
DCI-encryptieontwerp met vastgelegde layer-keuzes
Duidelijke ownership, performance-validatie en tests van failure modes.
PQC readiness testing voor management plane services
Labvalidatie van TLS/SSH-stacks, certificate chains en upgradepaden, afgestemd op vendor releases en NIST-standaarden.
Procurement-checklist voor crypto-agility en roadmap-ondersteuning
Ondersteuning van algoritmes, hybride opties, upgradebaarheid, observability en lifecycle commitments.

Hoe Nomios en Nokia dit invullen

De quantum-safe networkingaanpak van Nokia richt zich op concrete resultaten, ondersteund door praktijkimplementaties en een defence-in-depth-model over meerdere lagen.

Nomios brengt de integratie-, ontwerp- en operationele kant: het vertalen van deze maatregelen naar werkende datacenter fabrics en interconnects, het koppelen aan PKI- en identityprogramma’s en het borgen dat runbooks, monitoring en governance schaalbaar en uitvoerbaar zijn.

Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen

Updates

Lees verder

Placeholder for Daily impact of PQC on cybersecurity

Quantum Security Cryptography

Post-quantum cryptografie en de impact op je dagelijkse security

Post-quantum cryptografie begint door te werken in dagelijkse security. Lees waar PQC de TLS-handshake verandert, en wat er verschuift in messaging, e-mail, certificaten en identity. Inclusief wat dit betekent voor compatibiliteit, performance en migratieplanning.

Priyanka Gahilot

19 feb 2026 6 min. leestijd

PKI

Waarom PKI een strategische pijler is van moderne cybersecurity

Het begint vaak met iets kleins. Een applicatie die ineens niet meer bereikbaar is. Een API-koppeling die zonder duidelijke reden faalt.

Richard Landman

19 jan 2026 4 min. leestijd

Placeholder for Digital sovereignty - pki

Cryptography PKI

De stekker en de sleutel: een nuchtere kijk op digitale souvereiniteit

Digitale souvereiniteit is in Europa in korte tijd verschoven van een abstract beleidsconcept naar een concreet boardroom-thema. Dat heeft weinig met modewoorden te maken en alles met geopolitiek.