PQC Navigator Map Reference Strategy Efforts Quantum Risico Quantum Risk CRQC Tijdlijn CRQC Timeline
CRQC Timeline

Wanneer breekt een quantumcomputer onze cryptografie? When will a quantum computer break our cryptography?

Een eerlijk, data-gedreven overzicht van de stand van zaken. Geen hype, geen doemscenario's — de cijfers en wat ze betekenen. An honest, data-driven assessment of the state of play. No hype, no doomsday scenarios — the numbers and what they mean.

De kernvraag The core question

Een Cryptographically Relevant Quantum Computer (CRQC) is een quantumcomputer die krachtig genoeg is om RSA-2048 of ECC-256 te breken — de algoritmen die het internet, bankverkeer en overheids­communicatie beschermen. Wanneer bestaat zo'n machine?

Het eerlijke antwoord: sneller dan de meesten denken. Steeds meer wetenschappers en inlichtingendiensten wijzen naar de periode rond 2030. Twee meetbare trends bewegen naar elkaar toe: het aantal beschikbare qubits groeit, en het aantal benodigde qubits daalt — sneller dan verwacht.

A Cryptographically Relevant Quantum Computer (CRQC) is a quantum computer powerful enough to break RSA-2048 or ECC-256 — the algorithms protecting the internet, banking, and government communications. When will such a machine exist?

The honest answer: sooner than most people think. An increasing number of scientists and intelligence agencies are pointing to the period around 2030. Two measurable trends are converging: the number of available qubits is growing, and the number of required qubits is shrinking — faster than expected.

De convergentie The convergence

Twee lijnen op logaritmische schaal: de groei van beschikbare fysieke qubits (de beste chip op dat moment), en de dalende schattingen van hoeveel qubits nodig zijn om RSA-2048 te breken. Let op: de stippellijnen zijn fabrikanten-roadmaps — beloftes, geen feiten.

Two lines on logarithmic scale: the growth of available physical qubits (the best chip at any point), and the declining estimates of how many qubits are needed to break RSA-2048. Note: the dashed lines are vendor roadmaps — promises, not facts.

Beschikbare qubits vs. benodigde qubits (RSA-2048) Available qubits vs. required qubits (RSA-2048)

Logaritmische Y-as. Stippellijn = niet-geverifieerde roadmap. Bron: academische papers, fabrikant-roadmaps. Logarithmic Y-axis. Dashed line = unverified roadmap. Source: academic papers, vendor roadmaps.

Waarom kruisen de lijnen nog niet? Zelfs de meest optimistische roadmaps (Google: 1M qubits in 2029) komen pas in de buurt van de meest optimistische schattingen van benodigde qubits (Pinnacle: ~97.000). Maar let op het tempo: in 2012 had je 1 miljard qubits nodig. In 2026 misschien nog maar 97.000. Die daling is net zo belangrijk als de groei.
Why don't the lines cross yet? Even the most optimistic roadmaps (Google: 1M qubits by 2029) barely approach the most optimistic estimates of required qubits (Pinnacle: ~97,000). But watch the pace: in 2012 you needed 1 billion qubits. By 2026 maybe just 97,000. That decline matters as much as the growth.

Qubit-groei per bedrijf Qubit growth by company

De grote spelers publiceren ambitieuze roadmaps. De werkelijkheid tot nu toe: IBM leidt in aantallen, Google in fidelity, Quantinuum in logische qubits. IonQ leidt in persberichten.

The major players publish ambitious roadmaps. The reality so far: IBM leads in counts, Google in fidelity, Quantinuum in logical qubits. IonQ leads in press releases.

Fysieke qubits per bedrijf (gerealiseerd + roadmap) Physical qubits per company (achieved + roadmap)

Doorgetrokken lijn = gerealiseerd. Stippellijn = roadmap/belofte. D-Wave (annealer) uitgesloten — niet relevant voor cryptanalyse. Solid line = achieved. Dashed line = roadmap/promise. D-Wave (annealer) excluded — not relevant for cryptanalysis.

Dalende requirements: steeds minder qubits nodig Declining requirements: fewer qubits needed

Dit is het minder zichtbare maar minstens zo belangrijke verhaal. Onderzoekers vinden steeds efficiëntere manieren om Shor's algoritme te implementeren. De hoeveelheid qubits die je nodig hebt om RSA-2048 te breken is in 14 jaar met een factor 10.000 gedaald.

This is the less visible but equally important story. Researchers keep finding more efficient ways to implement Shor's algorithm. The number of qubits needed to break RSA-2048 has dropped by a factor of 10,000 in 14 years.

JaarYear OnderzoekersResearchers Fysieke qubitsPhysical qubits LooptijdRuntime DoorbraakBreakthrough
2012 Fowler et al. 1.000.000.000 Eerste surface code schatting First surface code estimate
2019 Gidney & Ekerå 20.000.000 8 uur Gecombineerde technieken Combined techniques
2025 Gidney (Google) 897.864 ~5 dagen Yoked surface codes, magic state cultivation Yoked surface codes, magic state cultivation
2026 Iceberg Quantum 97.000–471.000 1 dag–1 jaar qLDPC codes (13× dichtheid) qLDPC codes (13× density)
2026 Google QAI + Boneh < 500.000 ~9 min (ECC) ECC-256 specifiek ECC-256 specific
Fysieke qubits nodig voor RSA-2048 (per publicatie) Physical qubits needed for RSA-2048 (per publication)
Cruciaal inzicht: het is niet alleen de hardware die sneller wordt. De wiskunde wordt ook beter. Algoritmische doorbraken zijn onvoorspelbaar en kunnen de tijdlijn in één keer jaren naar voren schuiven.
Crucial insight: it's not just hardware getting faster. The mathematics is getting better too. Algorithmic breakthroughs are unpredictable and can shift the timeline forward by years overnight.

IonQ's 80.000 logische qubits in 2030: een reality check IonQ's 80,000 logical qubits by 2030: a reality check

IonQ claimt in 2030 een systeem te hebben met 2 miljoen fysieke qubits en 40.000–80.000 logische qubits. Laten we dit naast de feiten leggen.

Jaar IonQ roadmap Werkelijkheid (tot nu toe)
2024 36 qubits (Forte) Gerealiseerd — indrukwekkende gate fidelity (99,99%)
2025 ~100 qubits (Tempo) Prototype, niet publiek geverifieerd
2026 ~256 qubits Pending
2027 10.000 qubits 40× sprong in 1 jaar
2030 2.000.000 qubits 200× sprong in 3 jaar
Dit is niet realistisch. IonQ gaat van 36 gerealiseerde qubits in 2024 naar een belofte van 2 miljoen in 2030 — een factor 55.000× in 6 jaar. Ter vergelijking: IBM deed er 7 jaar over om van 5 naar 1.121 qubits te komen (factor 224×). Google deed er 8 jaar over voor een factor 12× (9 naar 105).

De feitelijke problemen:

1. Trapped-ion schaalbaarheid. Ion-traps zijn inherent moeilijk op te schalen. Meer ionen in één trap verlaagt de fidelity door ongewenste Coulomb-interacties. IonQ's plan hangt af van de Oxford Ionics 2D ion-trap array — een technologie die nog in het lab is.

2. De logische qubit claim. 80.000 logische qubits uit 2 miljoen fysieke qubits impliceert een ratio van 25:1. Ter referentie: de huidige ratio voor bruikbare logische qubits met surface codes is ~1.000:1. Zelfs Quantinuum's demonstratie met color codes haalt ~2:1, maar dat is met veel beperktere operaties.

3. Scott Aaronson's kritiek. Een van de meest gerespecteerde stemmen in quantum computing veroordeelde IonQ voor “wilde misrepresentaties” aan overheden, waaronder de claim dat quantumcomputers “niet zullen hallucineren omdat ze deterministisch zijn” — wat fundamenteel onjuist is.

4. Aandeelhouderswaarde vs. wetenschap. IonQ is beursgenoteerd en heeft een flinke koers te rechtvaardigen. Ambitieuze roadmaps dienen investeerders, niet noodzakelijk de waarheid. De quantumindustrie heeft een track record van over-belofte.

Het eerlijke beeld: IonQ's gate fidelity (99,99%) is wél indrukwekkend en wereldrecord. Als ze de Oxford Ionics technologie werkend krijgen, is er potentieel. Maar hun qubit-roadmap vereist doorbraken die nog niet bestaan. Behandel deze cijfers als science fiction tot het tegendeel bewezen is.

IonQ claims it will have a system with 2 million physical qubits and 40,000–80,000 logical qubits by 2030. Let's put this next to the facts.

Year IonQ roadmap Reality (so far)
2024 36 qubits (Forte) Achieved — impressive gate fidelity (99.99%)
2025 ~100 qubits (Tempo) Prototype, not publicly verified
2026 ~256 qubits Pending
2027 10,000 qubits 40× jump in 1 year
2030 2,000,000 qubits 200× jump in 3 years
This is not realistic. IonQ goes from 36 achieved qubits in 2024 to a promise of 2 million by 2030 — a factor of 55,000× in 6 years. For comparison: IBM took 7 years to go from 5 to 1,121 qubits (factor 224×). Google took 8 years for a factor of 12× (9 to 105).

The actual problems:

1. Trapped-ion scalability. Ion traps are inherently difficult to scale. More ions in one trap degrades fidelity through unwanted Coulomb interactions. IonQ's plan depends on Oxford Ionics' 2D ion-trap array — a technology still in the lab.

2. The logical qubit claim. 80,000 logical qubits from 2 million physical qubits implies a ratio of 25:1. For reference: the current ratio for usable logical qubits with surface codes is ~1,000:1. Even Quantinuum's color code demonstration achieves ~2:1, but with far more limited operations.

3. Scott Aaronson's criticism. One of the most respected voices in quantum computing condemned IonQ for “wild misrepresentations” to governments, including the claim that quantum computers “won't hallucinate because they're deterministic” — which is fundamentally false.

4. Shareholder value vs. science. IonQ is publicly traded and has a steep valuation to justify. Ambitious roadmaps serve investors, not necessarily truth. The quantum industry has a track record of over-promising.

The honest picture: IonQ's gate fidelity (99.99%) is genuinely impressive and a world record. If they get Oxford Ionics technology working, there is potential. But their qubit roadmap requires breakthroughs that don't exist yet. Treat these numbers as science fiction until proven otherwise.

Error rates & fidelity: de stille revolutie Error rates & fidelity: the quiet revolution

Qubits zijn nutteloos als ze te veel fouten maken. De echte doorbraak is niet meer qubits, maar betere qubits. Een qubit met 99,99% fidelity is exponentieel waardevoller dan een met 99%.

Het magische getal: de surface code drempel van ~1% error rate. Onder deze drempel kun je met error correctie fouten sneller corrigeren dan ze ontstaan. Google's Willow chip bewees in 2024 voor het eerst dat dit in de praktijk werkt.

Qubits are useless if they make too many errors. The real breakthrough isn't more qubits, but better qubits. A qubit with 99.99% fidelity is exponentially more valuable than one with 99%.

The magic number: the surface code threshold of ~1% error rate. Below this threshold, error correction can fix errors faster than they occur. Google's Willow chip proved in 2024 for the first time that this works in practice.

Beste 2-qubit gate error rate per jaar Best 2-qubit gate error rate per year

Logaritmische Y-as. Lager = beter. De drempelwaarde voor quantum error correction is ~1%. Logarithmic Y-axis. Lower = better. The threshold for quantum error correction is ~1%.

Waarom dit cruciaal is: betere error rates verlagen het aantal fysieke qubits per logische qubit exponentieel. Gidney's paper gaat uit van 0,1% error rate — als de industrie naar 0,01% gaat (waar IonQ al is), kan het benodigde aantal fysieke qubits met een factor 10+ dalen.

Why this matters: better error rates reduce the number of physical qubits per logical qubit exponentially. Gidney's paper assumes 0.1% error rate — if the industry reaches 0.01% (where IonQ already is), the required physical qubits could drop by a factor of 10+.

Coherentietijd: hoe lang moet de machine “leven”? Coherence time: how long must the machine “stay alive”?

Een quantumcomputer die RSA-2048 wil breken, moet een berekening van biljarden quantum-gate-operaties uitvoeren. Dat duurt bij de huidige schattingen 5 dagen tot 1 jaar, afhankelijk van het aantal qubits en de error correction overhead.

Configuratie Fysieke qubits Looptijd Trade-off
Gidney 2025 (balanced) 897.864 ~5 dagen Meest geciteerd, 0,1% error rate
Pinnacle — minimum qubits ~97.000 ~1 jaar Minste qubits, langste run
Pinnacle — balanced ~151.000 ~1 week Middenweg
Pinnacle — minimum tijd ~471.000 ~1 dag Snelst, meeste qubits
Google 2026 (ECC-256) < 500.000 ~9 minuten Alleen elliptic curves
Fysieke qubits leven microseconden. Maar dat is niet het probleem. Quantum error correction lost dit op: terwijl individuele fysieke qubits constant “sterven” en vervangen worden, blijft de logische qubit stabiel — mits je genoeg fysieke qubits hebt en de error rate onder de drempel is. Het coherentieprobleem wordt zo een qubit-aantalprobleem.

De werkelijke uitdaging is niet de coherentietijd van individuele qubits, maar het continu foutloos draaiende systeem als geheel: koeling die 5 dagen stabiel blijft, controle-elektronica die niet driftet, cryostaten die niet uitvallen. Dit is een engineering-probleem, geen fysica-probleem — en dat maakt het oplosbaar, maar niet triviaal.

A quantum computer that wants to break RSA-2048 must execute a computation of trillions of quantum gate operations. At current estimates, this takes 5 days to 1 year, depending on the number of qubits and error correction overhead.

Configuration Physical qubits Runtime Trade-off
Gidney 2025 (balanced) 897,864 ~5 days Most cited, 0.1% error rate
Pinnacle — minimum qubits ~97,000 ~1 year Fewest qubits, longest run
Pinnacle — balanced ~151,000 ~1 week Middle ground
Pinnacle — minimum time ~471,000 ~1 day Fastest, most qubits
Google 2026 (ECC-256) < 500,000 ~9 minutes Elliptic curves only
Physical qubits live for microseconds. But that's not the problem. Quantum error correction solves this: while individual physical qubits constantly “die” and are replaced, the logical qubit remains stable — provided you have enough physical qubits and the error rate is below threshold. The coherence problem becomes a qubit count problem.

The real challenge is not the coherence time of individual qubits, but the continuously error-free operation of the system as a whole: cooling that remains stable for 5 days, control electronics that don't drift, cryostats that don't fail. This is an engineering problem, not a physics problem — and that makes it solvable, but not trivial.

Wat zeggen de experts? What do the experts say?

Het Global Risk Institute peilt jaarlijks tientallen quantum-experts. De trend is duidelijk: de geschatte waarschijnlijkheid stijgt elk jaar.

The Global Risk Institute surveys dozens of quantum experts annually. The trend is clear: the estimated probability rises every year.

Geschatte kans op CRQC (Mosca / Global Risk Institute) Estimated CRQC probability (Mosca / Global Risk Institute)

Bovengrens van het bereik per peiling. Bron: GRI Annual Quantum Threat Timeline Reports 2023–2025. Upper bound of range per survey. Source: GRI Annual Quantum Threat Timeline Reports 2023–2025.

Belangrijker dan de exacte percentages is de richting: elk jaar schatten experts de kans hoger in. Dat zou voldoende moeten zijn om actie te ondernemen.

More important than the exact percentages is the direction: every year, experts estimate the probability higher. That should be sufficient to take action.

Overheidsdoelen & migratiedeadlines Government targets & migration deadlines

Overheden en standaardisatie-organisaties wachten niet tot de CRQC er is. Ze stellen nu al deadlines voor de migratie naar post-quantum cryptografie.

Governments and standards bodies aren't waiting for the CRQC. They are already setting deadlines for the migration to post-quantum cryptography.

Filippo Valsorda (Go cryptografie-lead, voormalig Google) schreef in april 2026: “Google zet een deadline van 2029 voor PQC-migratie van authenticatiediensten. Dat is de eerste agressieve officiële deadline van een grote techbedrijf.” Hij vergeleek de situatie met het Frisch-Peierls memorandum van 1940 — het punt waarop gedetailleerde aanvalsschattingen mogelijk niet meer gepubliceerd worden om veiligheidsredenen.
Filippo Valsorda (Go cryptography lead, former Google) wrote in April 2026: “Google has set a 2029 deadline for PQC migration of authentication services. That's the first aggressive official deadline from a major tech company.” He compared the situation to the Frisch-Peierls memorandum of 1940 — the point where detailed attack estimates may stop being published for security reasons.
Het eerlijke antwoord The honest answer

Een CRQC rond 2030 is niet langer een theoretisch scenario — het is een reële mogelijkheid waar wetenschappers openlijk over spreken. Google zet niet voor niets 2029 als interne deadline. De benodigde qubits zijn in 14 jaar met een factor 10.000 gedaald en die trend versnelt. Gecombineerd met harvest-now-decrypt-later aanvallen is de data die u vandaag verstuurt al kwetsbaar. De vraag is niet meer “moeten we migreren” maar “waarom zijn we nog niet begonnen”. A CRQC around 2030 is no longer a theoretical scenario — it is a real possibility that scientists are openly discussing. Google isn't setting a 2029 internal deadline for nothing. The required qubits have dropped by a factor of 10,000 in 14 years and that trend is accelerating. Combined with harvest-now-decrypt-later attacks, the data you send today is already vulnerable. The question is no longer “should we migrate” but “why haven't we started yet”.

Recente doorbraken & nuances Recent breakthroughs & nuances

Wat sneller gaat dan verwacht:

• Google Willow (dec 2024) bewees dat quantum error correction in de praktijk werkt — fouten halveren bij elke stap, precies zoals de theorie voorspelde.

• Gidney's paper (mei 2025) verlaagde de RSA-2048 schatting van 20 miljoen naar <1 miljoen qubits — een 20× verbetering in 6 jaar.

• Het Pinnacle paper (feb 2026) bracht het naar <100.000 met qLDPC codes.

• Het aantal QEC-papers explodeerde: 36 in heel 2024, 120 in de eerste 10 maanden van 2025.

Wat vaak vergeten wordt:

• Het grootste getal dat ooit daadwerkelijk door een quantumcomputer is gefactoriseerd is 21 = 3 × 7. Dat klinkt geruststellend, maar dit zegt weinig: de sprong van “het werkt in het lab” naar “het breekt RSA” is een engineering-uitdaging, geen fundamenteel fysisch obstakel meer.

• Een CRQC die één RSA-sleutel breekt zou naar schatting ~125 MW aan vermogen nodig hebben — het energieverbruik van een kleine stad.

• Cryogene koeling, bekabeling en controle-elektronica schalen niet mee met qubit-aantallen. Dit is een fundamenteel engineering-bottleneck.

• Er is nog geen enkel commercieel voordeel aangetoond voor quantum computing — alle toepassingen zijn experimenteel.

What's going faster than expected:

• Google Willow (Dec 2024) proved quantum error correction works in practice — errors halve with each step, exactly as theory predicted.

• Gidney's paper (May 2025) lowered the RSA-2048 estimate from 20 million to <1 million qubits — a 20× improvement in 6 years.

• The Pinnacle paper (Feb 2026) brought it down to <100,000 with qLDPC codes.

• The number of QEC papers exploded: 36 in all of 2024, 120 in the first 10 months of 2025.

What's often forgotten:

• The largest number ever actually factored by a quantum computer is 21 = 3 × 7. That sounds reassuring, but it says little: the jump from “it works in the lab” to “it breaks RSA” is an engineering challenge, no longer a fundamental physics obstacle.

• A CRQC breaking a single RSA key would require an estimated ~125 MW of power — the energy consumption of a small city.

• Cryogenic cooling, wiring, and control electronics don't scale with qubit counts. This is a fundamental engineering bottleneck.

• No commercial advantage has been demonstrated for quantum computing yet — all applications are experimental.

Bronnen Sources

  1. Gidney, C. (2025). “How to factor 2048 bit RSA integers in 177 days with 13,436 qubits” — updated to <1M physical qubits. Google Quantum AI.
  2. Iceberg Quantum (2026). “Pinnacle: Breaking RSA-2048 with fewer than 100,000 qubits using qLDPC codes.”
  3. Google QAI, Boneh, Drake (2026). “Breaking ECC-256 with <500,000 qubits in ~9 minutes.”
  4. Valsorda, F. (2026). “CRQC Timeline.” words.filippo.io
  5. Adkins, H. (2026). “Our approach to the cryptography migration timeline.” Google Security Blog.
  6. Global Risk Institute (2023–2025). Annual Quantum Threat Timeline Reports. Mosca, M. et al.
  7. Fowler, A. et al. (2012). “Surface codes: Towards practical large-scale quantum computation.”
  8. Gidney, C. & Ekerå, M. (2021). “How to factor 2048 bit RSA integers in 8 hours using 20 million noisy qubits.”
  9. Aaronson, S. (2025). Commentary on IonQ's representations to government bodies. Shtetl-Optimized.
  10. BSI (2023). Expert survey on quantum computing threat timeline. 37 international experts.
  11. NIST (2024). Post-Quantum Cryptography Standardization — migration timeline guidance.
  12. Trusted Computing Group (2025). Survey: 91% of businesses lack a formal PQC migration roadmap.

Data bijgewerkt: april 2026
Quantum Risico model  |  ← Terug naar PQC Navigator Data updated: April 2026
Quantum Risk model  |  ← Back to PQC Navigator