PQC Navigator Map Reference Strategy Efforts Quantum RisicoQuantum Risk Mosca-E CRQC TijdlijnCRQC Timeline
Quantum Risk Framework

Mosca-E

Mosca-E — uitbreiding van het Mosca-theorem over drie cryptografische dimensies, met specifieke aandacht voor niet-upgradeable hardware in kritieke infrastructuur. Mosca-E — extension of the Mosca theorem across three cryptographic dimensions, with specific attention to non-upgradeable hardware in critical infrastructure.

Mosca-E v1.0
Overzicht Overview Technisch model Technical model

00 Klassiek Mosca-theorem Classic Mosca theorem

Het probleem. Michele Mosca formuleerde een ongelijkheid die laat zien wanneer een organisatie actie moet ondernemen tegen de kwantumdreiging:
The problem. Michele Mosca formulated an inequality that shows when an organization must start acting against the quantum threat:
Y + Z > X  →  risico risk
X
Jaren tot een cryptografisch relevante quantumcomputer beschikbaar is (Q-day) Years until a cryptographically relevant quantum computer is available (Q-day)
Y
Migratietijd — de tijd die nodig is om systemen over te zetten naar quantum-veilige cryptografie Migration time — the time needed to transition systems to quantum-safe cryptography
Z
Vereiste geheimhoudingsduur van de data (in jaren) Required secrecy duration of the data (in years)
Voorbeeld: Data moet 20 jaar geheim blijven (Z = 20), maar een quantumcomputer is al over 6 jaar beschikbaar (X = 6). Een aanvaller die de versleutelde data vandaag onderschept (harvest now, decrypt later) kan deze over 6 jaar kraken — terwijl de data nog 14 jaar geheim had moeten blijven. De migratie naar PQC duurt 4 jaar (Y = 4) en moet daarom nu starten om vóór Q-day afgerond te zijn.

De kern: als de migratietijd plus de vereiste geheimhoudingsduur groter is dan de tijd tot Q-day, is het te laat om data te beschermen die nu al wordt verstuurd.
Example: Data must remain secret for 20 years (Z = 20), but a quantum computer will be available in just 6 years (X = 6). An attacker who intercepts the encrypted data today (harvest now, decrypt later) can break it in 6 years — while the data should have remained secret for 14 more years. Migration to PQC takes 4 years (Y = 4) and must therefore start now to be completed before Q-day.

The essence: if migration time plus the required secrecy duration exceeds the time to Q-day, it is too late to protect data that is already being transmitted.
MOSCA-E Uitbreiding: effectieve Y (resterende migratietijd) Extension: effective Y (remaining migration time)
Het klassieke Mosca-theorem gaat ervan uit dat de migratie nog niet gestart is. Maar als een organisatie al bezig is met de PQC-migratie, dan is de resterende migratietijd korter dan de totale Y. Het Mosca-E framework gebruikt daarom de effectieve Y:
The classic Mosca theorem assumes migration has not yet started. But if an organization is already performing PQC migration, the remaining migration time is shorter than the total Y. The Mosca-E framework therefore uses the effective Y:
Yeff = max(0,  Ytotaal − (huidig jaarcurrent yearstartjaar migratiemigration start year))
Voorbeeld: Als de totale migratietijd 4 jaar is (Ytotaal = 4) en de organisatie in 2023 is begonnen, dan is in 2026 al 3 jaar verstreken en is Yeff = 4 − 3 = 1 jaar. Dit maakt het verschil tussen “at risk” en “veilig” in de formule. In het interactieve model hieronder kunt u dit zelf instellen.
Example: If total migration time is 4 years (Ytotal = 4) and the organization started in 2023, then in 2026 three years have elapsed and Yeff = 4 − 3 = 1 year. This makes the difference between “at risk” and “safe” in the formula. In the interactive model below you can configure this yourself.
Waarom drie dimensies? Het klassieke Mosca-theorem richt zich uitsluitend op confidentialiteit: een aanvaller die data nu onderschept en later ontsleutelt (Harvest Now, Decrypt Later). De aanvaller heeft hierbij een grace period nodig — de data moet al gecaptured zijn vóór Q-day.

Maar quantumcomputers bedreigen ook twee andere fundamentele cryptografische eigenschappen die het klassieke theorem niet adresseert:

Integriteit (D₂) — firmware-signing, secure boot, en hardware roots-of-trust. Een aanvaller kan op Q-day direct elke actieve chip compromitteren door de signing key te breken. Geen data-capture nodig, geen grace period.

Autoriteit (D₃) — authenticatie-devices, smartcard-fleets, SIM/eSIM. Een aanvaller kan zich op Q-day direct voordoen als elk willekeurig device in een fleet. Schaalbaar, geen specifiek target nodig.

D₂ en D₃ zijn structureel urgenter dan D₁ omdat de aanval onmiddellijk werkt op Q-day — er is geen aanlooptijd nodig.
Why three dimensions? The classic Mosca theorem focuses solely on confidentiality: an attacker intercepting data now and decrypting later (Harvest Now, Decrypt Later). The attacker needs a grace period — the data must already be captured before Q-day.

But quantum computers also threaten two other fundamental cryptographic properties that the classic theorem does not address:

Integrity (D₂) — firmware signing, secure boot, and hardware roots of trust. An attacker can immediately compromise any active chip on Q-day by breaking the signing key. No data capture needed, no grace period.

Authority (D₃) — authentication devices, smartcard fleets, SIM/eSIM. An attacker can impersonate any device in a fleet on Q-day. Scalable, no specific target needed.

D₂ and D₃ are structurally more urgent than D₁ because the attack works immediately on Q-day — no lead time is needed.

01 Drie risico-dimensies Three risk dimensions

D₁ Confidentialiteit
Vertrouwelijkheid Confidentiality
X < Yeff + Z
Harvest Now, Decrypt Later. Aanvaller onderschept versleutelde data en ontsleutelt na Q-day. Yeff = resterende migratietijd software (gecorrigeerd voor reeds gestarte migratie). Z = vereiste geheimhoudingsduur. Harvest Now, Decrypt Later. Attacker intercepts encrypted data and decrypts after Q-day. Yeff = remaining software migration time (adjusted for migration already in progress). Z = required secrecy duration.
Grace period: aanwezig Grace period: present
HNDL — Harvest Now, Decrypt Later
D₂ Integriteit
Hardware-integriteit Hardware integrity
X < Lhw + Yhw
Forge Authority. Aanvaller breekt firmware-signing of secure boot. Lhw = resterende levensduur hardware. Yhw = hardware vervangingstijd (procurement + validatie + deployment). Forge Authority. Attacker breaks firmware signing or secure boot. Lhw = remaining hardware lifetime. Yhw = hardware replacement time (procurement + validation + deployment).
Grace period: nul Grace period: zero
Forge Authority — direct on Q-day
D₃ Autoriteit
Identiteit & authenticatie Identity & authentication
X < Lid + Yid
Impersonatie. Aanvaller breekt authenticatiesleutels van devices/fleets. Lid = resterende levensduur device fleet. Yid = volledige fleet vervangingstijd. Impersonation. Attacker breaks authentication keys of devices/fleets. Lid = remaining device fleet lifetime. Yid = full fleet replacement time.
Grace period: nul Grace period: zero
Impersonate Authenticated Entity

02 Kritieke asymmetrie Critical asymmetry

Eigenschap Property D₁ Confidentialiteit D₂ Integriteit D₃ Autoriteit
Grace period Ja (data pre-capture vereist) Yes (data pre-capture required) Nul Zero Nul Zero
Activatie Activation Gradueel (risico bouwt op) Gradual (risk builds up) Binair op Q-day Binary on Q-day Binair op Q-day Binary on Q-day
Aanvalsvereiste Attack prerequisite Data al in bezit Data already captured Geen None Geen None
Urgentie-profiel Urgency profile Lineair toenemend Linearly increasing Drempel-gebaseerd Threshold-based Drempel-gebaseerd Threshold-based

03Trust Cascade Multiplier

De TCM drukt uit hoe diep een gecompromitteerde chip doorwerkt in de vertrouwensketen. Een hogere score betekent meer afhankelijke systemen en grotere impact bij compromittering. The TCM expresses how deeply a compromised chip propagates through the trust chain. A higher score means more dependent systems and greater impact upon compromise.

1-3
1-3
1-3
4-6
4-6
4-6
7-9
7-9
7-9
10
Geïsoleerd component Isolated component Meerdere systemen Multiple systems Kern-infrastructuur Core infrastructure Volledig Full chain
Urgency = (Lhw + Yhw − X) × TCM
Positief en hoog = hoogste prioriteit | Negatief = chip buiten levensduur vóór Q-day Positive and high = highest priority | Negative = chip end-of-life before Q-day

04 Interactieve tijdlijn Interactive timeline

D₁ Confid. X < Yeff + Z  → harvest-now-decrypt-later D₂ Integr. X < Lhw + Yhw  → forge-authority (no grace) D₃ Author. X < Lid + Yid  → impersonation (no grace)
Rtotal = Σd ∈ {C,I,A}d × TCMd]  |  Φd = 1 als dimensie d at risk if dimension d at risk
Q-day inschatting estimate: 2031
Scenario-parameters aanpassen Adjust scenario parameters
D₁ Confidentialiteit — software-migratie Confidentiality — software migration
Volledige migratieduur Full migration duration
Leeg = nog niet gestart Empty = not started yet
3
Effectieve Y in formule Effective Y in formula
Geheimhoudingsduur & referentiejaar Secrecy duration & reference year
2039
Veilig — huidige cryptografie beschermt nog Safe — current cryptography still protects
Migratieperiode — tijd nodig om over te stappen naar PQC, moet vóór Q-day af zijn Migration period — time needed to switch to PQC, must finish before Q-day
Risicozone — data/systeem is kwetsbaar na Q-day terwijl het nog beschermd moet zijn Risk zone — data/system is vulnerable after Q-day while it should still be protected
Vervangingsperiode — tijd nodig om hardware/device te vervangen door PQC-variant (D₂/D₃) Replacement period — time needed to replace hardware/device with PQC variant (D₂/D₃)
Onbetrouwbaar — hardware/identiteit (D₂/D₃) die na Q-day nog draait maar niet meer te vertrouwen is Untrustworthy — hardware/identity (D₂/D₃) still running after Q-day but can no longer be trusted

05 Referentiedata chips & devices Reference data chips & devices

D₂ Hardware chip-categorieën Hardware chip categories
Naam Name Deploy Levensduur Lifetime Yhw TCM
HSM / betalingenpayments 2016 14jy 5jy 9
OT / ICS 2010 27jy 12jy 10
TPM / Sec. Element 2020 10jy 4jy 8
D₃ Identity device-categorieën Identity device categories
Naam Name Deploy Levensduur Lifetime Yid TCM
Smartcard fleet 2021 8jy 6jy 6
SIM / eSIM IoT 2022 10jy 7jy 5

06 Dreigingspatronen Threat patterns

D₂ — Forge Authority
Directe firmware-forge Direct firmware forge
Quantum computer breekt firmware-signing key van HSM of Secure Element. Aanvaller kan willekeurige firmware als legitiem laten accepteren via secure boot. Quantum computer breaks firmware-signing key of HSM or Secure Element. Attacker can make arbitrary firmware accepted as legitimate via secure boot.
D₂ — Retroactive Compromise
Retroactieve firmware-compromittering Retroactive firmware compromise
Signing key ooit kwetsbaar? Quantum computer kan alle historische firmware-updates retroactief vervalsen. De tijdlijn van vertrouwen wordt ongeldig. Signing key ever vulnerable? Quantum computer can retroactively forge all historical firmware updates. The timeline of trust becomes invalid.
D₂ — Root-of-Trust Break
Vertrouwensketen-breuk Trust chain break
Gecompromitteerde TPM of HSM invalideert alles dat erop gebouwd is: attestatie, sleutelafleiding, veilige enclave-operaties. Maximale TCM-impact. Compromised TPM or HSM invalidates everything built on it: attestation, key derivation, secure enclave operations. Maximum TCM impact.
D₃ — Device Impersonation
Device-nabootsing Device impersonation
Quantum computer breekt authenticatiesleutels van ICS-controller of smartcard. Aanvaller authenticeert als legitiem device en stuurt valse commando's naar kritieke infrastructuur. Quantum computer breaks authentication keys of ICS controller or smartcard. Attacker authenticates as legitimate device and sends false commands to critical infrastructure.
D₃ — Fleet-scale Identity Forgery
Fleet-brede identiteitsvervalsing Fleet-wide identity forgery
Bij grote SIM/eSIM of smartcard-fleets: aanvaller kan zich voordoen als willekeurig device in de fleet. Geen specifiek target nodig — volledig schaalbaar. Dit maakt massale infiltratie mogelijk zonder dat individuele devices gecompromitteerd hoeven te worden. With large SIM/eSIM or smartcard fleets: attacker can impersonate any device in the fleet. No specific target needed — fully scalable. This enables mass infiltration without needing to compromise individual devices.

07 Compliance-kaders Compliance frameworks

Framework Mosca-E dimensie Mosca-E dimension Concrete vereiste Specific requirement
NIS2 D₂ D₃ Art. 21: risicobeheer cryptografische kwetsbaarheden Art. 21: risk management of cryptographic vulnerabilities
DORA D₁ D₂ ICT-risicobeheersing, cryptografische continuïteit ICT risk management, cryptographic continuity
DNB Good Practice IB 2023 D₁ Sleutelbeheer en versleuteling Key management and encryption
BSI TR-02102 D₁ D₂ PQC-migratie tijdlijnen PQC migration timelines
ETSI TS 103 744 D₂ Hardware Security Modules, quantum-readiness Hardware Security Modules, quantum-readiness

Mosca-E Framework v1.0
Theoretische uitbreiding van Mosca's theorem. Referentiewaarden voor illustratieve doeleinden.
← Terug naar PQC Navigator Mosca-E Framework v1.0
Theoretical extension of Mosca's theorem. Reference values for illustrative purposes.
← Back to PQC Navigator