Dell over PQC: Van silicium tot software

De markt neigt er soms naar om PQC te versimpelen tot een eenmalige upgrade. In de wereld van moderne storage-platformen is die gedachte echter onhoudbaar. Een storage-omgeving is immers geen monolithisch systeem, maar een complexe, gelaagde structuur waarin hardware, firmware en software elk hun eigen cryptografische afhankelijkheden hebben. Dell pakt deze transitie daarom structureel aan via een model dat rust op zes specifieke security-lagen.

Twee urgente kwantumrisico's: HNDL en TNFL

De noodzaak om nú in actie te komen, wordt gedreven door twee specifieke dreigingsscenario's die de kwantumcomputer met zich meebrengt:

Harvest Now, Decrypt Later (HNDL): Kwaadwillenden onderscheppen en bewaren vandaag al versleutelde data (data-at-rest of data-in-flight) om deze in de toekomst, zodra er een krachtige kwantumcomputer beschikbaar is, alsnog te ontcijferen. Dit is een vertraagd risico voor de datalepot (vertrouwelijkheid).

Trust Now, Forge Later (TNFL): Dit is het directere en potentieel gevaarlijkere risico voor de systeemintegriteit. Wanneer een kwantumcomputer in staat is om klassieke digitale handtekeningen te vervalsen, kunnen aanvallers kwaadaardige firmware of software-updates aanbieden die door systemen als legitiem en 'veilig' worden beschouwd. Dit resulteert in een directe integriteitscrisis waarbij malafide code wordt uitgevoerd op vertrouwde hardware.

Binnen de tech-industrie groeit het besef dat post-kwantum-authenticatie (het tackelen van TNFL) op korte termijn een hogere prioriteit heeft dan post-kwantum-encryptie. Een gelekte authenticatiesleutel breekt immers direct een compleet systeem open.

De zes lagen van post-kwantum-resilience

Om gaten in de beveiliging te voorkomen, stemt Dell de PQC-transitie af over zes architectonische lagen:

1. Hardware supply chain en platformintegratie
De transitie begint voordat een storage-systeem überhaupt wordt ingeschakeld. Dell werkt nauw samen met silicium- en componentenleveranciers om PQC-ondersteuning op hardwareniveau te borgen. Hierbij spelen next-generation trust anchors, zoals Data Center Secure Control Modules (DC-SCM) en Trusted Platform Modules (TPM) die PQC-sleutelgeneratie ondersteunen, een fundamentele rol.

2. Veilige productie en code-signing
Om het TNFL-risico te neutraliseren, migreert Dell zijn infrastructuur voor het digitaal ondertekenen van firmware naar NIST-gestandaardiseerde algoritmen. Voor firmware-ondertekening stappen platformen over op het Leighton-Micali Signature (LMS)-algoritme. Voor software- en applicatiecode wordt overgegaan op ML-DSA (FIPS 204). Deze kwantumresistente firmwarevalidatie wordt vanaf 2026 al standaard uitgeleverd op de nieuwste PowerEdge-platformen.

3. Platform Root of Trust
De zogeheten 'secure boot' zorgt ervoor dat alleen geverifieerde code opstart. Dell trekt de PQC-verificatie door in de gehele keten: van de hardware-root tot de BIOS, de baseboard management controllers (BMC) en de iDRAC-firmware-authenticatie. De basis van de storage-systemen wordt hiermee fundamenteel kwantumresistent.

4. Platformsoftware en cryptografische diensten
De onderliggende besturingssystemen en cryptografische bibliotheken moeten meebewegen. Dell integreert onder andere OpenSSL 3.5 (en hoger) met PQC FIPS-providers en update zijn eigen BSAFE-toolkit met ondersteuning voor ML-KEM en ML-DSA. Daarnaast centraliseert Dell de migratie naar SUSE Linux Enterprise Server (SLES) 16 over zijn gehele storage- en data protection-portfolio om de uitrol voor klanten te versnellen.

5. Veilige systeemcommunicatie
Storage-platformen communiceren continu met managementconsoles, identiteitsproviders (IdP's) en telemetriediensten via protocollen als TLS, SSH of certificaatgebaseerde authenticatie. Dell bouwt 'cryptografische flexibiliteit' in deze communicatielagen in door gefaseerd ondersteuning te bieden voor PQC-ready TLS, LDAP, MFA en Single Sign-On (SSO). Hiermee wordt voorkomen dat het beheerpaneel (de control plane) een kwetsbaar aanvalsoppervlak blijft.

6. Workloads en databeveiliging van de klant
Dit is de laag waar de daadwerkelijke klantdata leeft. Encryptie van data-at-rest, bescherming van replicatie- en back-upverkeer (data-in-flight) en het beheer van de sleutellifecycle moeten overstappen op kwantumresistente alternatieven. Dell kiest hier voor hybride cryptografische modellen: klassieke en PQC-algoritmen bestaan tijdelijk naast elkaar om achterwaartse compatibiliteit te garanderen, aangezien de key management-infrastructuur van de klant vaak op een ander tempo migreert dan het storage-platform zelf.

Het voordeel van een geïntegreerde keten

De belangrijkste les die Dell de markt tijdens Dell Technologies World wil meegeven, is dat losse point-oplossingen tekortschieten in het post-kwantumtijdperk. Als de firmware wel PQC-ondertekend is, maar het key managementsysteem werkt nog op basis van verouderde RSA-sleutels, blijft er een gapend gat in de vertrouwelijkheid bestaan.

Omdat Dell het volledige spectrum in eigen beheer ontwerpt en integreert – van de serverplatformen en storagecontrollers tot de datamanagementsoftware – kunnen deze zes lagen synchroon en gecoördineerd evolueren. Dit voorkomt dat klanten afhankelijk worden van de gefragmenteerde en uiteenlopende PQC-tijdslijnen van een wildgroei aan verschillende sub-leveranciers.

Voor organisaties die hun IT-landschap gereed maken voor de toekomst, luidt het advies dan ook: beoordeel een leverancier niet op de simpele vraag óf ze 'PQC-ready' zijn, maar vraag door naar het concrete, gelaagde transitieplan over de gehele stack.