1/ Voorspellingen over quantumcomputing variëren de laatste tijd van "publieke sleutelcryptografie zal binnen 2 jaar worden gebroken" tot "het is een eeuw weg." Beide zijn verkeerd. Mijn laatste post legt uit wat publiek bekende vooruitgang daadwerkelijk ondersteunt — en wat blockchains daarover zouden moeten doen. Draad hieronder 🧵

2/ Een cryptografisch relevant quantumcomputer (CRQC) in de jaren 2020 is zeer onwaarschijnlijk. Zelfs midden jaren 2030 is ambitieus. Systemen met 1000+ qubits bestaan, maar ruwe qubit-aantallen zijn misleidend: we hebben duizenden foutgecorrigeerde logische qubits en enorme T-gate budgetten nodig—ver voorbij wat we vandaag hebben.

3/ Een belangrijke bron van verwarring: bedrijven die qubits "foutgecorrigeerde logische qubits" noemen terwijl ze geen niet-Clifford-bewerkingen ondersteunen, of in sommige schandalige gevallen zelfs geen fouten kunnen corrigeren. Dit heeft zelfs ervaren waarnemers ernstig misleid over hoe dicht we bij CRQC zijn.

4/ Een veelgemaakte fout bij het bespreken van kwantumdreigingen: het behandelen van alle cryptografische primitieve op dezelfde manier. Versleuteling, handtekeningen en SNARKs hebben zeer verschillende risicoprofielen.

5/ Het duidelijkste risico op korte termijn is Harvest-Now-Decrypt-Later (HNDL): tegenstanders registreren nu versleuteld verkeer om het te ontsleutelen wanneer er een CRQC bestaat.

6/ Daarom moet post-quantum (PQ) encryptie nu worden geïmplementeerd, ondanks de kosten/risico's. Chrome+Cloudflare hebben hybride (PQ+klassieke) schema's voor TLS ingezet; iMessage en Signal voor messaging. HNDL laat geen keuze voor gegevens die langdurige vertrouwelijkheid vereisen, zelfs als quantum decennia weg is.

7/ Handtekeningen zijn verschillend: er is geen vertrouwelijkheid om te "oogsten." Een handtekening die vóór een CRQC is gemaakt, kan niet retroactief worden vervalst. Verschillend risico ⇒ verschillende urgentie.

8/ Blockchains gebruiken vandaag de dag handtekeningen voor autorisatie, niet voor encryptie. Zonder HNDL-exposure kunnen we doelbewust zijn over de migratie van PQ-handtekeningen.

9/ De huidige PQ-handtekeningen laten veel te wensen over: ML-DSA ≈2,4–4,6 KB, Falcon ≈666 B–1,3 KB (maar lastig correct te implementeren), SPHINCS+ ≈7–8 KB+. Ter vergelijking, ECDSA is slechts ~64 bytes. Groter/langzamer/complexer ⇒ hoger risico op bugs.

10/ Voorzichtigheid is geboden: Rainbow (op MQ gebaseerde) en SIKE/SIDH (op isogenie gebaseerde) zijn klassiek gebroken tijdens het proces van NIST. Vroegtijdige implementatie kan averechts werken.

11/ De web PKI streeft naar encryptie-eerst, handtekeningen-later om precies deze redenen. Blockchains zouden hetzelfde moeten doen.

12/ zkSNARKs? Goed nieuws: zelfs niet-PQ SNARKs hebben post-kwantum zero-knowledge. Niets over de getuige wordt onthuld, zelfs niet aan kwantum tegenstanders. Wat kwetsbaar wordt na CRQC is de geldigheid (het vervalsen van nieuwe valse bewijzen), niet de vertrouwelijkheid of de geldigheid van eerdere bewijzen.

13/ Een belangrijk punt: de komende jaren zullen bugs en implementatie-aanvallen (side-channels, fault injection) grotere risico's zijn dan CRQCs. Dit geldt voor SNARKs, handtekeningaggregatieschema's en zelfs handtekeningen zelf. Investeer in audits, fuzzing en formele methoden.

14/ De speciale uitdagingen van Bitcoin: trage governance, geen passieve migratie, en een niet-triviale verlaten voorraad op adressen die kwetsbaar zijn voor quantum-aanvallen met hoge waarde.

15/ Er is geen gemakkelijke oplossing. Bitcoin moet de dreiging serieus nemen — niet omdat CRQC's voor 2030 komen, maar omdat het aanpakken van deze voornamelijk niet-technische kwesties jaren van coördinatie vereist.

16/ Wat te doen: ✅ Implementeer nu hybride PQ-encryptie ✅ Gebruik nu hybride hash-gebaseerde handtekeningen waar de grootte acceptabel is (firmware/software-updates) ✅ Voor blockchains: haast je niet met PQ-handtekeningen, maar plan wel migratiewegen

17/ Privacy chains die transactiegegevens versleutelen, moeten prioriteit geven aan PQ-versleuteling (of ontwerpen die on-chain decryptable secrets vermijden) om het HNDL-risico te verminderen. Handtekening-gecentreerde chains kunnen PQ-handtekeningen geleidelijk invoeren naarmate aggregatietechnieken en implementaties volwassen worden.

18/ Houd perspectief: paradoxaal genoeg betekent frequente aankondigingen van kwantum mijlpalen ≠ nabijheid tot CRQC. Ze benadrukken hoeveel bruggen er nog te overschrijden zijn.

19/ Conclusie: stem urgentie af op werkelijke bedreigingen. Versleuteling: urgent (HNDL). Handtekeningen: doordacht. SNARKs: ZK-eigenschap blijft veilig; soliditeit kwetsbaar na CRQC. En bovenal, bugs blijven het grotere risico op korte termijn.