Western Digital heeft een opvallende stap gezet in een onderdeel van de infrastructuur dat doorgaans minder aandacht krijgt dan GPU’s, AI-accelerators of hogesnelheidsnetwerken: de harde schijf. Het bedrijf heeft aangekondigd cryptografie post-quantum te integreren in haar nieuwe high-capacity Ultrastar UltraSMR-schijven, met de Ultrastar DC HC6100 als eerste opvallende referentie, en verzekert dat deze eenheden al in kwalificatiefasen verkeren bij verschillende hyperscale-klanten.
Dit nieuws is belangrijk omdat kunstmatige intelligentie niet alleen rekenkracht vereist. Het moet ook enorme hoeveelheden data jarenlang kunnen bewaren: trainingsdatasets, inferentielogs, interactie-archieven, vectoren, back-ups, wetenschappelijke repositories, industriële gegevens en archieven die hun waarde behouden lang nadat ze zijn gegenereerd. In dat kader wordt de beveiliging van opslagsystemen niet louter een technische detail, maar een strategische kwestie.
WD beschouwt post-kwantum cryptografie niet als een verbetering van gegevensversleuteling bij rust. De focus ligt op iets concreters: het beschermen van de vertrouwensketen van het apparaat, vooral de integriteit van de firmware, codehandtekeningen en key management tijdens de levenscyclus van de schijf. Dit is een belangrijk onderscheid. Het bedrijf zegt niet dat deze schijven alle inhoud versleutelen met nieuwe algoritmen die bestand zijn tegen kwantumcomputers, maar dat ze het mechanisme versterken dat vertrouwen geeft dat de firmware die door de schijf wordt uitgevoerd legitiem is.
Het risico van “nu verzamelen en later ontcijferen”
De dreiging die WD wil voorkomen, staat bekend als “harvest now, decrypt later”: het verzamelen van versleutelde gegevens of cryptografisch materiaal vandaag, met de verwachting dat toekomstige kwantumcomputers in staat zullen zijn om delen van de huidige algoritmen te breken. Dit risico is vooral relevant voor informatie met een lange levensduur. Niet alle data hoeft over 20 jaar nog beschermd te worden, maar sommige wel: intellectueel eigendom, overheidsinformatie, medische gegevens, wetenschappelijk onderzoek, financiële records, industriële intelligentie of gevoelige infrastructuurgegevens.
Het punt is niet dat een kwantumcomputer, die RSA of ECC op grote schaal kan breken, al bestaat. De zorg is dat veel geïmplementeerde infrastructuren vandaag nog jaren operationeel blijven, terwijl de opgeslagen data decennia bewaard kunnen worden. Bedrijfsdisks blijven vaak lange tijd in bedrijf en ondergaan productie, implementatie, firmware-updates, onderhoud en verwijdering. Als de vertrouwensbasis van het apparaat verankerd is in kwetsbare cryptografie, kan een migratie te laat komen.
NIST publiceerde in 2024 de eerste definitieve standaarden voor post-kwantumcryptografie, waaronder FIPS 204, dat ML-DSA definieert, een digitaal handtekeningalgoritme gebaseerd op roosterproblemen, ontworpen om weerstand te bieden aan aanvallen met grote kwantumcomputers. WD gebruikt ML-DSA-87 voor codehandtekeningen met hoge beveiliging en combineert dit met RSA-3072 via een dubbele handtekening, een hybride strategie die mogelijk maakt om post-kwantumcryptografie te introduceren zonder alle klassieke mechanismen plotseling te laten verdwijnen.
De keuze voor dubbele ondertekening is praktisch zinvol. In een echte infrastructuur is het niet genoeg om slechts één algoritme te vervangen. Er zijn fabricagetools, update-systemen, HSM’s, PKI’s, procedures voor sleutelrotatie, audits, interne validaties en compatibiliteit met bestaande vlooten. De overgang naar post-kwantum zal lang duren en veel organisaties zullen jaren opereren met hybride modellen waarin klassieke en post-kwantumcryptografie naast elkaar bestaan.
| Element | Wat WD daarin verwerkt |
|---|---|
| Initieel product | Ultrastar DC HC6100 UltraSMR |
| Beschermingsgebied | Vertrouwensketen van apparaat en firmware |
| Post-kwantum algoritme | ML-DSA-87, gedefinieerd in NIST FIPS 204 |
| Hybride mechanisme | Dubbele handtekening met ML-DSA-87 en RSA-3072 |
| Voornaamste focus | Firmware-integriteit en key management |
| Marktstatus | In kwalificatie bij meerdere hyperscale-klanten |
Firmwarebeveiliging wordt cruciaal
De verwijzing naar firmware is niet onbelangrijk. In een modern datacenter is elke harde schijf een klein computersysteem met eigen code, interne controllers, beheerlogica, updates en beveiligingsmechanismen. Als een aanvaller erin slaagt dat een apparaat kwaadaardige firmware accepteert alsof het legitiem is, kan dat een zeer diepe laag van de infrastructuur compromitteren.
De dreiging wordt groter in een toekomstig kwantumtijdperk. Een tegenstander met de capaciteit tot het vervalsen van digitale handtekeningen zou kunnen proberen een gemanipuleerde firmware-update te laten doorgaan als een authentiek exemplaar. Dit is niet het enige scenario, maar wel een van de meest zorgwekkende omdat het de vertrouwenslaag ondermijnt. Zodra de firmware niet meer betrouwbaar is, verliezen de hogere beveiligingslagen hun nut verder.
WD stelt dat haar implementatie gericht is op het beschermen van de vertrouwensketen vanaf fabricage tot service, inclusief PKI-infrastructuur die voorbereid is op post-kwantumcryptografie, hardware beveiligingsmodules en processen voor key lifecycle management. Simpel gezegd: het gaat niet alleen om een nieuw algoritme op de disk zetten, maar om het aanpassen van de systemen die software ondertekenen, verifiëren, distribueren en onderhouden.
Voor hyperscale-omgevingen is deze aanpak duidelijk. Een cloudprovider beheert miljoenen opslagunits. Elke beveiligingswijziging moet zonder onderbrekingen, compatibiliteitsproblemen of verstoring van onderhoudcycli kunnen worden uitgerold. Daarom zijn operationele compatibiliteit en rollbackmogelijkheden bijna even belangrijk als het algoritme zelf.
AI, koude data en vertrouwen op lange termijn
Artificial intelligence verhoogt de waarde van persistent data. Hoewel GPU’s de bekendheid krijgen, vereisen grote AI-systemen een volledige opslaghiërarchie: high-bandwidth geheugen, SSD’s voor de hete lagen, grote capaciteitsharde schijven voor massale opslag en archiefsystemen voor langdurige bewaring. HDD’s blijven essentieel, vooral waar kosten per terabyte en dichtheid belangrijker zijn dan latency.
UltraSMR, de technologie die WD voor deze high-capacity disks gebruikt, is precies gericht op dergelijke massale deployments. In AI-omgevingen wordt niet alles in realtime geraadpleegd, maar moet veel bewaard blijven. Trainingsgegevens, eerdere modellen, auditlogs, snapshots, telemetry en dataverzamelingen kunnen jarenlang bewaard moeten worden. Als datagewichtdom is, moet de cryptografie die de infrastructuur beveiligt, ook lang houdbaar zijn.
Dit vormt een onderscheid met klassieke endpoint- of serversbeveiliging. Op een laptop is een firmwareupdate belangrijk, in een hyperscale opslagcluster is dat een systemische kwestie. Miljoenen apparaten moeten kunnen aantonen dat ze software uitvoeren die ondertekend, verifieerbaar en bestand tegen toekomstige bedreigingen is. Post-kwantumcryptografie op disks mag bescheiden lijken, maar kan de ruggengraat vormen van vertrouwen in AI-infrastructuren.
Er is ook een regelgevende dimensie. Overheden, defensie, gezondheidszorg, banken, onderzoek en kritieke operators krijgen al jaren waarschuwingen over de post-kwantumtransitie. NSA heeft met CNSA 2.0 al een roadmap afgegeven voor algoritmen die resistent zijn tegen kwantumcomputers, inclusief het gebruik van ML-DSA voor handtekeningen. Dat een opslagfabrikant dergelijke capaciteiten in enterprise hardware begint te integreren, geeft aan dat de transitie van documentatie en plannen nu ook concrete producten raakt.
Een eerste stap, geen volledige oplossing
Het is belangrijk om de reikwijdte van het nieuws niet te overschatten. Post-kwantumcryptografie op harde schijven lost niet alle kwantumrisico’s vanzelf op. Organisaties moeten TLS, VPN’s, certificaten, identiteiten, databaseversleuteling, softwarehandtekeningen, HSM’s, back-ups, sleutels voor lange termijn, legacy-systemen en leveranciers herzien. De migratie wordt een van de meest complexe beveiligingsopgaven van het komende decennium.
Dit elimineert ook niet de actuele bedreigingen. Ransomware, configuratiefouten, gestolen inloggegevens, ongeoorloofde toegang, supply chain-aanvallen of segmentatiefouten blijven grote uitdagingen. Een schijf met firmware ondertekend met post-kwantumalgoritmen kan onderdeel zijn van een stevigere architectuur, maar vervangt geen holistische cybersecurity-strategie.
Toch markeert het WD-voorbeeld een verandering in denkwijze. Post-kwantumveiligheid wordt niet meer exclusief een onderwerp voor cryptografen, overheden of grote consultants. Het begint onderdeel te worden van fysieke componenten die worden aangeschaft, geïnstalleerd en gekwalificeerd in echte datacenters. Dit is relevant omdat infrastructuurtransities niet plotseling plaatsvinden. Eerst zien we dit bij hoogwaardige producten en hyperscale-klanten. Daarna volgt uitrol naar meer producten, fabrikanten en ketendlagen.
Het bedrijf geeft aan de mogelijkheden voor post-kwantumcryptografie (PQC) op andere bedrijfslijnen uit te breiden. Indien deze aanpak positief wordt ontvangen, is het aannemelijk dat andere opslag- en hardwarefabrikanten vergelijkbare stappen zetten. In security wil geen enkele leverancier achterblijven wanneer een nieuwe eis de top-van-de-lijst voor hyperscale- en gereguleerde klanten wordt.
AI heeft de bouw van krachtigere datacenters versneld. Nu versnelt het ook de noodzaak om data te beveiligen die mogelijk nog jaren waardevol blijven, zelfs als de huidige cryptografie achterhaald wordt. WD heeft ervoor gekozen te starten bij de vertrouwensbasis van de harde schijf. Hoewel dat misschien niet de meest opvallende plek is, is het wel een van de meest kritische waar weinig ruimte voor fouten is.
Veelgestelde vragen
Wat heeft Western Digital aangekondigd?
WD heeft cryptografie post-kwantum geïntegreerd in haar nieuwe enterprise Ultrastar UltraSMR-schijven, beginnend met de Ultrastar DC HC6100, gericht op het beschermen van de vertrouwensketen van het apparaat en de integriteit van de firmware.
Versleutelen deze schijven data met post-kwantumcryptografie?
Het gaat vooral om codehandtekeningen, firmware en hardware vertrouwensketens, niet om directe vervanging van gegevensversleuteling in rust door post-kwantumalgoritmen.
Welk algoritme gebruikt WD?
WD gebruikt ML-DSA-87, gedefinieerd in NIST FIPS 204, gecombineerd met RSA-3072 via dubbel ondertekenen om een hybride overgang tussen klassieke en post-kwantumcryptografie mogelijk te maken.
Waarom is dit relevant voor AI?
Omdat AI grote hoeveelheden data genereert en lange tijd bewaart. Het beschermen van de infrastructuur waarin deze data wordt opgeslagen tegen toekomstige bedreigingen, inclusief kwantumcomputers, wordt steeds belangrijker.
vía: westerndigital