Post-Quantum-Kryptographie: Vorbereitung auf den Quantencomputer
Quantencomputer bedrohen RSA, ECC und DH - die Basis der heutigen Public-Key-Kryptographie. NIST hat 2024 die ersten Post-Quantum-Standards finalisiert (ML-KEM, ML-DSA, SLH-DSA). Dieser Guide erklärt den Zeithorizont (Harvest Now, Decrypt Later), welche Systeme zuerst migriert werden müssen und wie eine Crypto-Agility-Strategie aussieht.
Jan Hörnemann Chief Operating Officer · Prokurist TL;DR
Quantencomputer stellen eine reale Bedrohung für die heutige Public-Key-Kryptographie dar, da sie Algorithmen wie RSA, ECC und Diffie-Hellman in wenigen Stunden brechen könnten. Bereits heute fangen staatliche Akteure verschlüsselte Langzeitgeheimnisse ab, um sie mit zukünftigen Quantencomputern zu entschlüsseln - bekannt als "Harvest Now, Decrypt Later". Das NIST hat 2024 die ersten Post-Quantum-Standards finalisiert: ML-KEM (FIPS 203) für den Schlüsselaustausch, ML-DSA (FIPS 204) für Signaturen und SLH-DSA (FIPS 205) als konservative Signaturalternative. Unternehmen müssen umgehend eine Crypto-Agility-Strategie entwickeln und hybride Verfahren implementieren, um ihre Systeme vor dieser bereits aktiven Bedrohung zu schützen.
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (6 Abschnitte)
“Store now, decrypt later” - das ist die Strategie staatlicher Angreifer bereits heute. Während Quantencomputer noch nicht kryptographisch relevant sind, werden verschlüsselte Kommunikationen und Daten abgefangen und gespeichert - in der Erwartung, sie in 5-10 Jahren zu entschlüsseln. Für Langzeitgeheimnisse ist die Bedrohung nicht hypothetisch, sondern bereits aktiv.
Warum Quantencomputer klassische Kryptographie brechen
Shor’s Algorithmus (1994)
Shor’s Algorithmus greift RSA, ECC und Diffie-Hellman an. Das Prinzip: Faktorisierung und diskreter Logarithmus werden exponentiell beschleunigt.
| Verfahren | Klassischer Computer | Quantencomputer |
|---|---|---|
| RSA-2048 | > 10.000 Jahre | Stunden |
| ECC P-256 | 10^67 Operationen | Polynomiale Zeit |
Betroffene Systeme:
- TLS 1.3 (Schlüsselaustausch: ECDH/DHE)
- Code Signing (RSA/ECDSA-Signaturen)
- SSH (RSA-, ECDSA-, Ed25519-Schlüssel)
- PKI und Zertifikate (alle X.509-RSA/ECC-Zertifikate)
- E-Mail-Verschlüsselung (PGP/S-MIME mit RSA)
- VPN (IPsec mit DH-Schlüsselaustausch)
- Blockchain (ECDSA-Signaturen)
Grover’s Algorithmus
Grover’s Algorithmus greift symmetrische Kryptographie und Hash-Funktionen an. Er halbiert die effektive Schlüssellänge:
| Algorithmus | Effektive Sicherheit mit QC | Bewertung |
|---|---|---|
| AES-128 | 64 Bit | Unsicher |
| AES-256 | 128 Bit | Noch sicher |
| SHA-256 | 128 Bit Kollisionsresistenz | Noch sicher |
| SHA-512 | 256 Bit Kollisionsresistenz | Sicher |
Die Lösung für Grover ist einfach: Schlüssellänge verdoppeln. AES-128 sollte auf AES-256 migriert werden - das ist die wichtigste Sofortmaßnahme. SHA-256 kann auf SHA-512 angehoben werden, wenn hohe Sicherheitsanforderungen bestehen. AES-256 und SHA-256 sind damit bereits quantensicher.
Zeithorizont (Y2Q - Years to Quantum)
- Konservative Schätzung: 10-15 Jahre bis zum kryptographisch relevanten Quantencomputer
- Optimistische NSA-Schätzung: möglicherweise früher
- NIST-Empfehlung: Jetzt mit der Migration beginnen - Standards seit 2024 verfügbar
- Harvest Now, Decrypt Later: bereits heute aktiv
NIST Post-Quantum Standards (2024)
Im August 2024 finalisierte NIST drei primäre Standards.
FIPS 203 - ML-KEM (Module Lattice Key Encapsulation Mechanism)
Vormals CRYSTALS-Kyber. ML-KEM dient dem Schlüsselaustausch und ersetzt ECDH und DH. Die Basis ist Gitter-Kryptographie (Learning with Errors Problem). ML-KEM-768 bietet eine Sicherheit, die etwa 192-Bit klassisch entspricht. In vielen Implementierungen ist ML-KEM sogar schneller als ECDH. Einsatzgebiete: TLS, VPN, Key Exchange.
FIPS 204 - ML-DSA (Module Lattice Digital Signature Algorithm)
Vormals CRYSTALS-Dilithium. ML-DSA übernimmt digitale Signaturen und ersetzt RSA und ECDSA. Die Basis ist Gitter-Kryptographie (Module Learning with Errors). ML-DSA-65 entspricht etwa 192-Bit klassisch. Der öffentliche Schlüssel beträgt 1952 Bytes - im Vergleich zu 64 Bytes bei P-256 ein deutlich größeres Format. Einsatzgebiete: Code Signing, TLS, PKI, Zertifikate.
FIPS 205 - SLH-DSA (Stateless Hash-based Digital Signature Algorithm)
Vormals SPHINCS+. SLH-DSA ist eine konservativere Alternative für digitale Signaturen. Die Basis sind Hash-Funktionen - ein sehr gut verstandenes und konservatives Fundament. Nachteile sind größere Signaturen und langsamere Verarbeitung im Vergleich zu ML-DSA. Der wesentliche Vorteil: kein Gitter-Problem, maximaler Konservatismus. Einsatzgebiete: Root-CA-Signaturen, langlebige Zertifikate.
In Entwicklung
- FALCON (FN-DSA): Schnelle Gitter-Signaturen, noch in Standardisierung
- BIKE, HQC: Code-basierte KEMs als Backup zu ML-KEM
- NTRU: Älteres Gitter-System, historisch relevant
BSI-Empfehlung (TR-02102-1)
- ML-KEM (Kyber) für Schlüsselaustausch: empfohlen
- ML-DSA (Dilithium) für Signaturen: empfohlen
- Hybride Verfahren: PQ und klassisch kombiniert (Defense-in-Depth) - z. B. ECDH + ML-KEM kombiniert, sodass beide Verfahren gleichzeitig gebrochen werden müssten
Harvest Now, Decrypt Later (HNDL)
Die aktuelle reale Bedrohung
Der Ablauf ist heute bereits aktiv:
- Ein staatlicher Angreifer (NSA, GCHQ, BND, GRU u. a.) fängt verschlüsselte Kommunikation ab und speichert sie.
- Heute ist eine Entschlüsselung nicht möglich - RSA-2048 ist noch zu stark.
- In etwa zehn Jahren stehen Quantencomputer zur Verfügung.
- Die gespeicherten Daten werden dann entschlüsselt.
Welche Daten sind betroffen?
Hohes Risiko (Langzeitgeheimnisse):
- Diplomatische Kommunikation (bleibt jahrzehntelang geheim)
- Militärische Informationen
- M&A-Verhandlungen (wertlos wenn publik, aber heute noch geheim)
- Patente und Trade Secrets in der Entwicklung
- Gesundheitsdaten (lebenslange Sensitivität)
- Finanzielle Informationen (Übernahmen, Strategien)
Niedrigeres Risiko (kurzlebige Geheimnisse):
- HTTPS-Verbindungen für Online-Shopping (in zehn Jahren wertlos)
- Authentifizierungen (Session-Token laufen ab)
- Verschlüsselte Nachrichten über aktuelles Tagesgeschäft
Priorisierung der Migration
| Priorität | Zeitrahmen | Bereich |
|---|---|---|
| 1 | Sofort | Langzeitgeheimnisse, staatliche Kommunikation |
| 2 | 2-3 Jahre | PKI-Infrastruktur (Zertifikate) |
| 3 | 3-5 Jahre | TLS-Verbindungen (automatisch durch Browser/Server-Updates) |
| 4 | 5+ Jahre | Interne Systeme, kurzlebige Sessions |
Crypto-Agility Strategie
Crypto-Agility bezeichnet die Fähigkeit zur schnellen Kryptographie-Migration.
Das Problem ohne Crypto-Agility
Ohne Crypto-Agility ist die Kryptographie hardcodiert - zum Beispiel “RSA-2048 mit SHA-256”. Eine Migration erfordert dann Code-Änderungen in allen Systemen, was Wochen oder Monate in Anspruch nimmt. Häufig ist zudem undokumentiert, welche Systeme welche Algorithmen verwenden.
Crypto-Agility implementieren
1. Kryptographie-Inventar erstellen
Zuerst muss erfasst werden, welche Systeme welche Algorithmen mit welchen Schlüssellängen und Protokollen (TLS-Version, SSH-Config) nutzen. Geeignete Werkzeuge dafür:
- testssl.sh - TLS-Konfiguration eines Servers analysieren:
./testssl.sh https://firma.de - SSLyze - Python-basierter TLS-Scanner
- CryptScan (BSI) - internes Tool, auf Anfrage erhältlich
- NMAP -
nmap --script ssl-enum-ciphers -p 443 server.firma.de
2. Algorithmen abstrahieren (Code-Ebene)
Nicht new RSAKey(2048) hardcodieren, sondern KeyFactory.getPreferred() verwenden - das liefert heute RSA, morgen ML-KEM. Konfigurationsgesteuert statt hardcodiert. In Java bietet die JCE (Java Cryptography Extension) mit Provider-Konzept diese Flexibilität; in OpenSSL ermöglicht OSSL_LIB_CTX mit konfigurierbaren Providern das gleiche Prinzip.
3. Hybride Kryptographie (Transition-Strategie)
Während der Übergangsphase werden klassische und post-quantum Verfahren kombiniert. Im TLS-Kontext bedeutet das: ECDH und ML-KEM gemeinsam für den Schlüsselaustausch - beide müssen gleichzeitig gebrochen werden. Der entsprechende IETF-Entwurf findet sich unter draft-ietf-tls-hybrid-design. Firefox und Chrome setzen bereits X25519Kyber768 ein.
4. PKI-Migration planen
Root-CA-Zertifikate haben eine Laufzeit von 10-20 Jahren - hier besteht dringender Handlungsbedarf. Eine neue Root CA mit ML-DSA sollte parallel zur bestehenden RSA-CA erstellt werden, gefolgt von neuen Intermediate CAs. TLS-Zertifikate mit kürzerer Laufzeit erleichtern die Migration. Für Code-Signing-Zertifikate ist ML-DSA zu bevorzugen.
Zeitleiste für Unternehmen
| Zeitraum | Maßnahmen |
|---|---|
| 2024-2026 | Inventar, Awareness, Pilotprojekte |
| 2025-2027 | PKI-Migration beginnen (Root CA, Intermediate) |
| 2026-2029 | TLS-Migration (Webserver, VPNs, APIs) |
| 2028-2032 | Legacy-Systeme migrieren |
Konkrete Umsetzungsschritte
Sofortmaßnahmen (ohne Wartezeit)
1. AES-256 statt AES-128
Grover’s Algorithmus reduziert AES-128 auf effektiv 64 Bit mit einem Quantencomputer. AES-256 ergibt 128 effektive Bit - noch sicher. Bei den meisten Systemen genügt eine Konfigurationsänderung.
2. TLS 1.3 erzwingen
TLS 1.3 verwendet ausschließlich starke Cipher Suites mit Forward Secrecy. Die Server-Konfiguration sollte TLS 1.2 als Minimum setzen, besser jedoch TLS 1.3 erzwingen.
3. Software aktuell halten - Anbieter liefern PQ-Updates
- OpenSSL 3.5+ (2025): ML-KEM und ML-DSA integriert
- Microsoft: Windows 11 24H2 mit ML-KEM für TLS
- Google Chrome 124+: X25519Kyber768 für TLS-Schlüsselaustausch
- Signal: PQXDH (Post-Quantum Extended Diffie-Hellman) - bereits PQ-sicher
4. Kein SHA-1 und MD5 mehr
Beide Algorithmen sind klassisch bereits gebrochen. SHA-256 ist das Minimum; SHA-384 und höher werden empfohlen.
Mittelfristig (1-3 Jahre)
SSH-Konfiguration mit post-quantum-sicheren Algorithmen aktualisieren:
# /etc/ssh/sshd_config
# Post-Quantum-sichere Key Exchange:
KexAlgorithms sntrup761x25519-sha512@openssh.com,curve25519-sha256
# Ed25519 für Host-Keys:
HostKey /etc/ssh/ssh_host_ed25519_key
# Keine alten Algorithmen mehr:
Ciphers aes256-gcm@openssh.com,aes256-ctr
MACs hmac-sha2-512-etm@openssh.comBSI-Empfehlung für den Zeitplan
- Quantensichere Algorithmen für alle neuen Systeme sofort einsetzen
- Bestehende Systeme: Migration bis 2030 abschließen
- Kritische Systeme (PKI, Root CA): bis 2027
- Hybride Verfahren einsetzen, bis die vollständige Standardisierung abgeschlossen ist
NIST SP 800-208 und BSI TR-02102
BSI TR-02102 (Technische Richtlinie Kryptographie)
Die Richtlinie wird laufend aktualisiert (aktuell TR-02102-1, 2024) und empfiehlt ML-KEM, ML-DSA sowie SLH-DSA. Der Zeitplan sieht hybride Algorithmen ab sofort und eine vollständige Transition bis 2030 vor. Für BSI-Grundschutz-konforme Systeme ist die BSI TR-02102 verpflichtend.
NIST SP 800-208
NIST SP 800-208 behandelt Stateful Hash-Based Signature Schemes (XMSS, LMS) für Code Signing - eine sehr konservative Wahl.
NSA CNSA 2.0 (Commercial National Security Algorithm Suite)
Gilt für Systeme, die nationale Sicherheitsinteressen berühren. Ab 2025 sind ML-KEM und ML-DSA die primären Algorithmen; bis 2030 läuft die Frist für die Migration kritischer Systeme.
NIS2 und Post-Quantum
NIS2 Art. 21h verlangt “geeignete Kryptographie”. Das BSI interpretiert HNDL-Angriffe als reale Bedrohung und empfiehlt die PQ-Migration als Teil des NIS2-Risikomanagements.
Die Bedrohung durch Quantencomputer ist keine Zukunftsspekulation - HNDL-Angriffe finden heute statt. Unternehmen mit langlebigen Geheimnissen müssen jetzt mit der Crypto-Inventur beginnen. AWARE7 unterstützt bei Kryptographie-Inventur, Risikoanalyse und der Erstellung von PQ-Migrationsplänen.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
