Quantumveilig is nog geen lekvrij: ML-KEM als inkoop- en auditvraag
Quantumveilig is een gevaarlijk geruststellend woord. Het suggereert dat een organisatie na de keuze voor een NIST-algoritme aan de veilige kant staat. Een nieuwe studie naar hardware-implementaties van ML-KEM laat zien waarom die gedachte te kort is. De wiskundige standaard kan kloppen, terwijl het apparaat dat de sleutel uitpakt alsnog signalen afgeeft via stroomverbruik of elektromagnetische straling. Voor bestuurders, inkopers en juristen begint de moeilijke vraag daar: wat koopt men precies wanneer een leverancier "post-quantum" belooft?
De aanleiding is concreet. Davis Ranney, Yashaswini Makaram, A. Adam Ding en Yunsi Fei beschrijven in Exploring Side-Channel Protections in Hardware Implementations of PQC ML-KEM Verification hoe juist de Fujisaki-Okamoto-verificatiestap bij ML-KEM gevoelig kan zijn voor power- en EM-analyse. Dat is geen exotisch voetnootje voor laboratoria. ML-KEM is de kern van NIST FIPS 203, de Amerikaanse standaard voor module-lattice key-encapsulation. Als het lek zit in de implementatie, verschuift post-quantum governance van algoritmekeuze naar bewijs over ontwerp, testen en leverancierscontrole.
De standaard is het beginpunt
NIST FIPS 203 geeft organisaties een noodzakelijk anker. Zonder gestandaardiseerde algoritmen blijft migratie hangen in vendor-taal en experimentele bibliotheken. Daarom is de publicatie van FIPS 203, naast FIPS 204 en FIPS 205, een belangrijk juridisch feit: contracten, aanbestedingen en auditprogramma's kunnen nu naar een herkenbare standaard verwijzen. Die verwijzing lost alleen niet op hoe de standaard in chips, HSM's, edge-apparaten, identity-systemen en cloudservices wordt uitgevoerd.
Cryptografie leeft nooit alleen in een PDF. Zij draait in firmware, compilerkeuzes, timinggedrag, random-number generators, cachepatronen, foutafhandeling en fysieke componenten. Een leverancier kan formeel ML-KEM ondersteunen en toch te weinig vertellen over bescherming tegen side-channel leakage. Voor een klant die AI-systemen, medische datasets, modelgewichten of bestuursarchieven beschermt, is dat verschil materieel. Standaardconformiteit en lekbestendigheid horen daarom in dezelfde inkoopmap, maar ze zijn niet hetzelfde bewijsstuk.
De juridische zorgplicht begint bij het tweede antwoord. Dat onderscheid is vertrouwd uit andere compliancegebieden. Een product kan aan een norm refereren en tegelijk gebrekkig zijn geïmplementeerd. Een AI-systeem kan een modelkaart hebben en toch zwakke logging leveren. Een verwerkersovereenkomst kan bestaan en toch onvoldoende auditrechten geven. Bij post-quantum cryptografie geldt dezelfde nuchtere regel: vraag niet alleen welk algoritme wordt gebruikt, maar ook hoe de implementatie is gehard, getest en later aantoonbaar onderhouden.
Waarom side-channels juristen aangaan
Side-channel aanvallen klinken technisch omdat zij buiten de zuivere wiskunde om werken. De aanvaller probeert niet de formule te breken, maar leest sporen uit het systeem dat de formule uitvoert. Stroomverbruik, elektromagnetische emissie, timing of foutgedrag kunnen iets verraden over geheime waarden. Dat maakt het onderwerp juist juridisch relevant. Het risico ontstaat op het grensvlak waar een leverancier ontwerpkeuzes maakt en een klant erop vertrouwt dat "quantum-safe" meer betekent dan een marketinglabel.
De ML-KEM-studie is nuttig omdat zij een specifieke stap aanwijst: de verificatie in decapsulatie. Voor governance is dat preciezer dan een algemene waarschuwing dat implementaties kwetsbaar kunnen zijn. Een inkoper kan vragen of die stap is getest op power- en EM-lekkage. Een auditteam kan vastleggen welke productversie is onderzocht. Een contractjurist kan garanties vragen die niet blijven steken bij "NIST-approved", maar ook gaan over side-channel protections, patchtermijnen en bewijs na firmwarewijzigingen. Precisie maakt de clausule bruikbaar.
Voor AIRecht is de verbinding met AI-governance direct. AI-diensten vertrouwen op cryptografie voor API-toegang, modelopslag, logging, datasettransport, broncodebeheer en identiteit. Een organisatie die onder de EU AI Act, NIS2 of sectorale zorgplichten, waar toepasselijk, bewijs moet bewaren, heeft weinig aan een auditlog waarvan de onderliggende sleutels later zwakker blijken dan aangenomen. De cryptografische laag bepaalt of governance-informatie houdbaar blijft: AI-bewijs heeft cryptografische randen.
Van migratieplan naar leveranciersbewijs
De vorige AIRecht-bijdrage over de cryptografische inventaris als bestuursdossier keek naar de vraag waar klassieke cryptografie in de organisatie zit. Deze bijdrage zoomt in op de volgende laag: wat moet de leverancier bewijzen nadat zo'n systeem is gevonden? Het antwoord kan niet bestaan uit één checkbox. ML-KEM-vragen horen thuis in aanbesteding, vendor due diligence, productsecurity en contractbeheer.
Een eerste bewijsveld is productafbakening. Welke onderdelen gebruiken ML-KEM of hybride key establishment, en in welke modus? Gaat het om TLS, VPN, code signing, identity credentials, device onboarding, backup-encryptie of interne service-to-service communicatie? Zonder die afbakening kan niemand beoordelen of een side-channel claim relevant is. Een cloudcomponent in een beveiligd datacenter vraagt ander bewijs dan een edge-device in een fabriekshal. Context bepaalt de testwaarde.
Een tweede bewijsveld is testdiepte. Heeft de leverancier alleen een bibliotheek geïmplementeerd, of zijn de concrete hardware- en firmwarepaden onderzocht? Zijn power analysis, EM-metingen, fault-injection en timinggedrag bekeken? Wie voerde de test uit, op welke productversie, met welke beperkingen? Een NDA kan detailniveau beperken, maar niet alle informatie mag verdwijnen achter vertrouwelijkheid. De klant heeft genoeg nodig om risico te rangschikken. Geheimhouding mag geen leeg bewijs opleveren.
De garantie moet meebewegen met de code. Een derde bewijsveld is onderhoud. Side-channel hardening is geen eenmalige handtekening. Nieuwe firmware, compilerupdates, hardware-revisies en optimalisaties kunnen het lekprofiel veranderen. Een contract dat alleen bij levering zekerheid vraagt, mist de levensduur van het risico. Post-quantum garanties moeten daarom gekoppeld worden aan change management, contractuele meldplichten waar die zijn overeengekomen of wettelijk relevant zijn, regressietesten en klantinformatie na relevante updates.
Een auditmatrix voor ML-KEM
Eén tabel kan veel mist wegnemen. Een werkbare auditmatrix kan sober blijven. Zet per systeem vijf kolommen naast elkaar: toepassing van ML-KEM, fysieke of logische blootstelling, side-channel testbewijs, contractuele garantie en resterende onzekerheid. Voor een HSM kan de rij bijvoorbeeld luiden: ML-KEM in hybride sleuteluitwisseling; fysieke blootstelling laag maar firmware-afhankelijkheid hoog; EM/power-test op productversie vereist; patch- en wijzigingsinformatie contractueel vastleggen; resterende onzekerheid na volgende firmware-release opnieuw beoordelen. Voeg daar een eigenaar en reviewdatum aan toe. Het doel is geen academische perfectie. Het doel is dat een CISO, jurist, inkoper en bestuurder hetzelfde object bespreken.
De risicoklasse verdient bijzondere aandacht. Een interne server in een streng gecontroleerde omgeving heeft een ander profiel dan een apparaat bij klanten, een medische sensor, een telecomcomponent of een industriële gateway. Ook AI-infrastructuur verschilt sterk: modeltraining in een hyperscale cloud is iets anders dan inferentie op lokale hardware of federated learning met randapparatuur. Gelijk algoritme betekent niet gelijk risico; de matrix moet zulke verschillen laten zien.
Voor contracten helpt een eenvoudige formulering: de leverancier verklaart niet alleen welke post-quantum standaard wordt ondersteund, maar ook welke implementatie- en side-channel maatregelen zijn genomen voor de relevante productvariant. Hij meldt materiële wijzigingen voor zover contractueel afgesproken of wettelijk nodig, levert redelijke testinformatie, behoudt patchcapaciteit en maakt uitzonderingen zichtbaar. Wie kritieke of langlevende gegevens verwerkt, kan aanvullend een onafhankelijke test of certificering verlangen zodra die beschikbaar is. Een goede clausule vraagt bewijs zonder schijnzekerheid te verkopen.
Daar past een commerciële waarschuwing bij. De markt zal woorden als crypto-agile, quantum-ready en future-proof snel gebruiken. Zulke termen zijn alleen nuttig wanneer ze verwijzen naar velden die men kan controleren. De pagina van AIRecht over due diligence, regulatory compliance en conformity is voor dit onderwerp een betere route dan brede geruststelling: koppel technische claims aan documenten, eigenaren, testdata en besluitvorming. Controleerbaarheid is waardevoller dan gerust taalgebruik.
Europese relevantie zonder Amerikaanse kopie
Europese organisaties hoeven de Amerikaanse federale post-quantum agenda niet te kopiëren om ervan te leren. NIST-standaarden worden in wereldwijde producten verwerkt, cloudleveranciers bedienen meerdere rechtsgebieden en veel ondernemingen kopen beveiliging via internationale ketens. Cloudflare wees in zijn bespreking van de Amerikaanse PQC-lijn op de praktische noodzaak om externe verbindingen, interne systemen en leverancierspaden te inventariseren. Voor Nederland en de EU ligt daar de vertaling: maak van internationale standaardisering een eigen bewijsdossier, passend bij Europese zorgplichten en contractpraktijk.
Die vertaling voorkomt twee fouten. De eerste fout is wachten op een volledig uitgekristalliseerde quantumdreiging. Dan komen migratie, contracten en testcapaciteit te laat. De tweede fout is doen alsof de keuze voor ML-KEM elk implementatierisico al oplost. Dan koopt men een standaard zonder voldoende zicht op het apparaat, de firmware of de dienst die hem uitvoert. Tussen die fouten ligt het bestuurbare pad: begin met een inventaris, voeg implementatievragen toe en leg vast waar onzekerheid acceptabel is. Voorzorg vraagt geen paniek.
De beste post-quantum stap is vaak een betere vraag. AIRecht kan organisaties hierbij helpen met een vaste, beperkte AI- en quantumgovernance brief: een brongebonden review van cryptografische inventaris, ML-KEM leveranciersvragen, contractclausules en bestuursbewijs. De uitkomst is geen abstract transformatieverhaal, maar een kort dossier waarmee legal, security en inkoop samen kunnen beslissen welke vragen nu in contracten en vendor reviews moeten landen.
De juridische les is rustig maar stevig. Quantumveilige standaarden zijn noodzakelijk, en ML-KEM is een mijlpaal. Toch blijft beveiliging een eigenschap van het hele systeem: algoritme, implementatie, hardware, onderhoud, leverancier en bewijs. Wie vandaag post-quantum inkoopt, moet daarom durven vragen waar het product kan lekken. Alleen dan wordt quantumveilig ook bestuurlijk verdedigbaar.
Bronnen geraadpleegd op 1 juli 2026: Davis Ranney, Yashaswini I. Makaram, A. Adam Ding en Yunsi Fei, "Exploring Side-Channel Protections in Hardware Implementations of PQC ML-KEM Verification"; NIST FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard; NIST Post-Quantum Cryptography project pages; Cloudflare over post-quantum migration practice; AIRecht over de cryptografische inventaris als bestuursdossier. Deze bijdrage is algemene informatie en geen juridisch advies.