SoK: Post-Quantum Cryptography (PQC) Implementation in Software Systems

Dit Systematization of Knowledge (SoK) paper analyseert de implementatieuitdagingen van Post-Quantum Cryptography (PQC) via het Human, Organisation, and Technology (HOT) framework, waarbij een kritiek onbalans wordt onthuld waarbij menselijke en organisatorische factoren onderbelicht zijn, en stelt het PQC-HOT-model voor om een gecoördineerde socio-technologische transformatie te begeleiden voor succesvolle integratie.

De kern

Het Grote Plaatje: Er Komt een Kwantumstorm Aan

Stel je voor dat de wereld van digitale beveiliging een fort is dat je bankrekening, wachtwoorden en privéberichten beschermt. Op dit moment zijn de sloten op de deuren gemaakt van een zeer sterk metaal (huidige encryptie zoals RSA).

Echter, wetenschappers bouwen aan een nieuw soort "superboor" genaamd een Quantumcomputer. Zodra deze boor krachtig genoeg is, zal hij in staat zijn om die metalen sloten in enkele seconden te verbrijzelen, waardoor je gegevens volledig bloot komen te liggen.

Om dit te stoppen, hebben cryptografen nieuwe, supersterke sloten uitgevonden gemaakt van een ander materiaal genaamd Post-Quantum Cryptography (PQC). Deze nieuwe sloten zijn zo ontworpen dat zelfs de superboor ze niet kan breken.

Het Probleem: We hebben de blauwdrukken voor deze nieuwe sloten, maar we weten niet hoe we ze daadwerkelijk moeten installeren in de miljoenen bestaande gebouwen (softwaresystemen) die we elke dag gebruiken. Dit artikel is een enorme onderzoek naar waarom het installeren van deze nieuwe sloten zo moeilijk is.

---

Het Onderzoek: Kijken naar de "Driepotige Kruk"

De auteurs realiseerden zich dat mensen het probleem slechts vanuit één invalshoek bekeken: Technologie. Ze vroegen zich af: "Is de wiskunde juist?" en "Is de code snel?"

Maar de auteurs stellen dat het installeren van deze nieuwe sloten lijkt op het proberen te balanceren van een driepotige kruk. Als één poot ontbreekt of wankelt, valt het hele ding omver. Ze noemen deze drie poten HOT:

1. H - Human (Mens): De mensen (ontwikkelaars) die de sloten moeten bouwen en installeren.
2. O - Organisation (Organisatie): De bedrijven en overheden die het betalen, de regels maken en de overgang beheren.
3. T - Technology (Technologie): De eigenlijke wiskunde, code en tools die worden gebruikt om de sloten te maken.

Wat Ze Ontdekten: De "Technologische Vooringenomenheid"

De onderzoekers begonnen met een enorme stapel van meer dan 10.000 publicaties over PQC. Ze hebben deze stapel systematisch en streng beoordeeld om uiteindelijk 29 zeer specifieke studies over te houden voor hun diepgaande analyse. Dit is wat zij ontdekten:

• De "Technologische" Poot is Groot: Bijna al het onderzoek richt zich op de Technologie. Mensen zijn druk bezig met het uitvinden van betere wiskunde, het schrijven van codebibliotheken en het testen of de algoritmen werken. Het is alsof je een magazijn vol perfecte blauwdrukken voor sloten hebt.
• De "Menselijke" Poot is Minuscuul: Er is heel weinig onderzoek naar hoe je ontwikkelaars leert hoe ze deze nieuwe sloten moeten gebruiken. De meeste trainingen zijn voor universiteitsstudenten, niet voor de software engineers die daadwerkelijk in bedrijven werken. Het is alsof je de blauwdrukken hebt, maar geen instructiehandleiding voor de bouwploeg.
• De "Organisatorische" Poot Ontbreekt Volledig: De review vond geen enkele studie die zich expliciet richtte op bestuursstructuren, organisatorische planning of regelgeving voor PQC. Er is dus geen enkel onderzoek dat antwoord geeft op vragen als: "Wie betaalt ervoor?" of "Hoe beheren we de overgang zonder onze huidige systemen te breken?". Het is alsof je de sloten en de ploeg hebt, maar geen projectmanager om te vertellen wanneer ze moeten beginnen.

De Analogie: Stel je voor dat je de motor van een auto probeert te vervangen terwijl deze nog over de snelweg rijdt.

• Technologie is de nieuwe motor.
• Mens is de monteur die de motor probeert te wisselen.
• Organisatie is de verkeersregeling en het budget om de nieuwe motor te kopen.
• De Bevinding van het Papier: We hebben een geweldige nieuwe motor (Technologie), maar we hebben de monteurs (Mens) niet getraind en de verkeersregeling (Organisatie) niet geregeld. Als we de motor er alleen maar aan bouten zonder de andere twee, zal de auto crashen.

Het "Cross-Cutting" Gevaar

Het artikel legt uit dat deze problemen niet in hun eigen banen blijven. Ze mengen zich en maken de situatie erger. Dit wordt Socio-Technological Coupling genoemd.

• Voorbeeld: Als de Technologie-tools verwarrend zijn (slecht ontwerp), raakt de Menselijke ontwikkelaar gestrest en maakt een fout.
• Resultaat: Omdat de Organisatie geen plan had voor training of controle (omdat er geen onderzoek naar bestaat), blijft die fout onopgemerkt totdat het systeem faalt.

De auteurs noemen dit een "vicieuze cirkel". Een zwak instrument veroorzaakt een menselijke fout, en een gebrek aan organisatorische ondersteuning laat die fout uitmonden in een ramp.

De Oplossing: Het PQC-HOT Model

Om dit op te lossen, stellen de auteurs een nieuwe manier van denken voor genaamd het PQC-HOT Model.

Beschouw dit model als een handdruk tussen drie partijen. Voor post-quantum beveiliging om te werken, kun je niet alleen de wiskunde upgraden. Je moet alle drie tegelijk upgraden:

1. Bouw betere tools die gemakkelijk voor mensen te gebruiken zijn (Technologie).
2. Train de mensen, zodat ze begrijpen hoe ze deze veilig kunnen gebruiken (Mens).
3. Maak bedrijfsplannen die tijd, geld en regels bieden voor de overstap (Organisatie).

De Belangrijkste Conclusie

Het artikel concludeert dat de overstap naar Post-Quantum beveiliging niet alleen een wiskundig probleem is. Het is een menselijk en organisatorisch probleem vermomd als een wiskundig probleem.

Als we ons alleen richten op het "slot" (de code) en de "slotenmaker" (de ontwikkelaar) en de "gebouweigenaar" (de organisatie) negeren, zal de nieuwe beveiliging falen. Om te slagen, moeten we de overgang behandelen als een volledige systeemoverhaul waarbij de code, de mensen en de bedrijfsplannen in harmonie samenwerken.

Technische samenvatting

Technische Samenvatting: SoK over de Implementatie van Post-Quantum Cryptografie (PQC) in Software-systemen

1. Probleemstelling

De overgang naar Post-Quantum Cryptografie (PQC) is cruciaal voor het beschermen van softwaresystemen tegen toekomstige kwantumgestuurde dreigingen, zoals die gepoogd door de algoritmen van Shor en Grover. Hoewel gestandaardiseerde PQC-algoritmen beschikbaar zijn, blijft de veilige integratie ervan in real-world softwaresystemen een aanzienlijke uitdaging. Huidig onderzoek richt zich voornamelijk op algoritmisch ontwerp, beveiligingsbewijzen en prestatiebenchmarking. Deze focus biedt echter beperkt inzicht in de bredere socio-technologische factoren die nodig zijn voor een succesvolle implementatie.

Het kernprobleem dat wordt geïdentificeerd, is dat PQC-implementatie vaak wordt behandeld als een puur technologische migratie. In werkelijkheid betreft dit complexe interacties tussen cryptografische mechanismen, de expertise van ontwikkelaars en organisatorisch bestuur. De bestaande literatuur mist een geïntegreerde synthese van hoe deze dimensies — Menselijk, Organisatorisch en Technologisch (HOT) — de implementatie-uitkomsten gezamenlijk beïnvloeden. Bijgevolg worden de huidige praktijken gekenmerkt door gefragmenteerde benaderingen, experimentele integraties en een gebrek aan uniforme richtlijnen, wat het risico op misconfiguratie en onveilige implementaties vergroot.

2. Methodologie

Deze studie maakt gebruik van een Systematisation of Knowledge (SoK) benadering, waarbij het tweefasenprotocol van Kitchenham en Charters (planning en uitvoering) wordt gevolgd om een gestructureerde en reproduceerbare review te waarborgen.

• Scope Definitie: De review maakt gebruik van het PICOC-framework (Population, Intervention, Comparison, Outcome, Context) om de scope te definiëren, met de focus op methodologieën, frameworks, richtlijnen, tools en educatieve interventies voor PQC in softwareontwikkeling.
• Databronnen: De literatuur werd opgehaald uit belangrijke digitale bibliotheken (ACM, IEEE Xplore, Springer, etc.) en vooraanstaande cybersecurity-conferenties (USENIX, CCS, etc.).
• Selectiecriteria: De review omvatte peer-reviewed Engelse publicaties tussen januari 2020 en februari 2026, met specifieke inclusiecriteria voor studies die PQC-implementatie in software adresseren. Twee uitzonderlijke studies uit 2017 en 2019 werden via snowballing toegevoegd vanwege hun relevantie.
• Selectieproces: Volgens het PRISMA 2020-framework bestond het proces uit drie fasen: zoekopdrachten in digitale bibliotheken, gerichte zoekopdrachten in conferenties/journals, en backward/forward snowballing. Vanuit een initiële pool van meer dan 10.000 publicaties werden 29 studies geselecteerd voor de definitieve analyse.
• Analyse: Een zesfasen thematische analyse (Braun en Clarke) werd toegepast om gegevens te extraheren en te synthetiseren. De bevindingen werden systematisch gemapt op het Human-Organisation-Technology (HOT) framework om implementatiebenaderingen en uitdagingen over deze drie dimensies te analyseren.

3. Belangrijkste Bijdragen

Het artikel levert vier primaire bijdragen aan het vakgebied van PQC-implementatie:

1. Socio-technologische Synthese: De auteurs mappen bestaande PQC-implementatiebenaderingen (richtlijnen, frameworks, tools en educatieve interventies) op het HOT-perspectief, wat een structurele onbalans onthult waarbij technologische oplossingen domineren terwijl menselijke en organisatorische overwegingen onderbelicht blijven.
2. Het PQC-HOT Model: Er wordt een conceptueel framework geïntroduceerd om de onderlinge afhankelijkheden tussen menselijke, organisatorische en technologische factoren te verklaren. Dit model conceptualiseert PQC-implementatie niet als geïsoleerde activiteiten, maar als een socio-technologisch systeem waarbij cryptografische mechanismen, de capaciteiten van ontwikkelaars en organisatorische processen gezamenlijk de beveiligingsresultaten bepalen.
3. Gelaagde Classificatie van Uitdagingen: De studie construeert een gelaagde classificatie van implementatie-uitdagingen, die laat zien hoe deze verdeeld zijn over de HOT-dimensies. Dit breidt eerdere gefragmenteerde categorisaties uit door de nadruk te leggen op grensoverschrijdende, onderling afhankelijke beperkingen.
4. Geconsolideerde Onderzoeksagenda: Op basis van geïdentificeerde hiaten schetst het artikel actiegerichte onderzoeksrichtingen om effectieve, praktijkgerichte PQC-implementatie te bevorderen, waarbij de nadruk ligt op de noodzaak van geïntegreerde, lifecycle-bewuste strategieën.

4. Belangrijkste Resultaten

4.1. RQ1: Implementatiebenaderingen

De review identificeerde vier categorieën interventies, die sterk scheef liggen naar de technologische dimensie:

• Richtlijnen (G1): Concentreren zich primair op wiskundige fundamenten en formele beveiligingsbewijzen (Technologisch).
• Frameworks (F1–F3): Omvatten integratie-frameworks, uitbreidingen voor certificeringsinstanties en test-/evaluatieframeworks, die allemaal voornamelijk binnen de technologische dimensie opereren.
• Tools en Libraries (T1–T4): De meest operationeel relevante categorie, inclusief implementatiebibliotheken, protocol-plugins, testtools en migratietools. Deze zijn bijna uitsluitend Technologisch.
• Educatieve Interventies (E1–E2): Beslaan traditionele en actieve pedagogische strategieën. Hoewel deze de menselijke dimensie adresseren, richten zij zich primair op een academisch publiek en theoretisch begrip, in plaats van op de professionele praktijk van ontwikkelaars.
• Organisatorische Dimensie: Opvallend genoeg adresseerde nul studies expliciet bestuurlijke structuren, organisatorische planning of regelgevende naleving voor PQC-implementatie.

4.2. RQ2: Implementatie-uitdagingen

De analyse laat zien dat uitdagingen niet geïsoleerd zijn, maar voortkomen uit structurele mismatches binnen de HOT-dimensies. Ze zijn georganiseerd in vijf lagen:

1. Cryptografische en Implementatie-niveau Kwetsbaarheden: Risico's ontstaan door algoritmische zwakheden, onvolwassen implementaties en side-channel aanvallen. Zelfs wiskundig veilige algoritmen kunnen falen door programmeerfouten, onveilige optimalisaties of een gebrek aan constant-time executie.
2. Systeem-niveau en Lifecycle Beperkingen: PQC introduceert aanzienlijke overhead (sleutelgroottes, geheugen, berekening) die conflicteert met legacy-architecturen. Het gebrek aan cryptografische wendbaarheid (agility) in bestaande systemen maakt incrementele migratie moeilijk, wat vaak uitgebreide refactoring vereist.
3. Tooling en Ecosysteem Risico's: Het ecosysteem is gefragmenteerd, met beperkte interoperabiliteit tussen tools en bibliotheken. Slecht ontworpen API's, onveilige defaults en een gebrek aan gestandaardiseerde validatiemechanismen vergroten de kans op fouten door ontwikkelaars.
4. Organisatorische en Bestuurlijke Barrières: Organisaties kampen met onzekerheid over standaardisatie, migratietijden en regelgevende naleving. Er is een gebrek aan volwassenheidsmodellen of gestructureerde governance-frameworks om grootschalige transities te begeleiden.
5. Mensgerichte Kwetsbaarheden: Er bestaat een kloof tussen theoretische kennis en praktische implementatievaardigheden. Ontwikkelaars missen vaak de specifieke expertise die vereist is voor veilige PQC-codering (bijv. memory safety, parametervariatie), en educatieve initiatieven richten zich zelden op professionele, praktijkgerichte behoeften.

Daarnaast benadrukt de studie dat risico's niet beperkt blijven tot deze lagen, maar grensoverschrijdende uitdagingen vormen. Deze interdependenten propageren zich over de vijf lagen en de HOT-dimensies heen. Bijvoorbeeld: slecht toolontwerp (Technologisch) verhoogt de cognitieve belasting en foutenmarges voor ontwikkelaars (Menselijk), terwijl zwak bestuur (Organisatorisch) faalt om deze problemen te mitigeren. Deze dynamiek onderstreept dat uitdagingen vaak pas volledig zichtbaar worden wanneer de onderlinge afhankelijkheden tussen de lagen en dimensies worden geanalyseerd.

5. Betekenis en Claims

Het artikel claimt dat PQC-implementatie fundamenteel een socio-technologische transformatie is in plaats van een eenvoudige cryptografische upgrade. De betekenis van dit werk ligt in:

• Herformulering van het Probleem: Het verschuift het perspectief van een puur algoritmische uitdaging naar een systemisch engineeringprobleem dat softwarearchitectuur, ontwikkelaarsgedrag en organisatorische strategie omvat.
• Blootleggen van Disbalans: Door het HOT-framework toe te passen, toont de studie aan dat de huidige kennisbasis zwaar bevooroordeeld is naar technologische oplossingen, waardoor cruciale hiaten in organisatorische gereedheid en menselijke capaciteitsontwikkeling achterblijven.
• Introductie van het PQC-HOT Model: Dit model biedt een gestructureerde lens om te analyseren hoe mismatches tussen dimensies voor cascade-risico's zorgen. Het stelt dat veilige implementatie gecoördineerde vooruitgang in alle drie de dimensies vereist; geïsoleerde technologische verbeteringen zijn onvoldoende.
• Sturing van Toekomstig Werk: Het artikel stelt dat toekomstig onderzoek verder moet gaan dan technologie-gecentreerde benaderingen om geïntegreerde, lifecycle-bewuste frameworks te ontwikkelen die bruikbaarheid, governance en de ervaring van de ontwikkelaar adresseren. Het roept op tot de ontwikkeling van organisatorische volwassenheidsmodellen, praktijkgerichte educatieve tools en 'secure-by-design' abstracties om duurzame PQC-deployments mogelijk te maken.

De auteurs concluderen dat zonder aandacht voor de onderlinge afhankelijkheden tussen menselijke, organisatorische en technologische factoren, zelfs theoretisch veilige PQC-oplossingen kunnen falen in het bereiken van een betrouwbare, schaalbare en veilige deployment in real-world softwaresystemen.