Quantencomputer sind noch nicht leistungsfähig genug, um RSA zu brechen. Aber Angreifer sammeln bereits heute verschlüsselte Daten mit dem Plan, sie später zu entschlüsseln — die „Harvest now, decrypt later”-Strategie. Die Migration zur Post-Quanten-Kryptografie ist keine Frage des Ob, sondern des Wann.

Warum jetzt handeln¶

2024 hat NIST drei Post-Quanten-Standards finalisiert: ML-KEM (vormals CRYSTALS-Kyber) für den Schlüsselaustausch, ML-DSA (CRYSTALS-Dilithium) für digitale Signaturen und SLH-DSA (SPHINCS+) als Hash-basiertes Backup. Das bedeutet: Standards existieren — und Regulierungsbehörden beginnen, Maßnahmen zu fordern.

Die US-amerikanische NSA hat 2035 als Frist für die Migration staatlicher Systeme festgelegt. Die europäische ENISA empfiehlt sofort einen hybriden Ansatz. Das tschechische NÚKIB hat noch keine konkrete Frist gesetzt, aber das Cybersicherheitsgesetz und die bevorstehende NIS2-Implementierung erfordern implizit die Migration für kritische Infrastruktur.

Das „Harvest now, decrypt later”-Problem (HNDL) ist real, insbesondere für Daten mit langer Sensitivitätsdauer — Gesundheitsakten, Staatsgeheimnisse, Finanzverträge, geistiges Eigentum. Heute erfasste Daten könnten in 10–15 Jahren lesbar sein.

Was sich technisch ändert¶

Post-Quanten-Algorithmen unterscheiden sich grundlegend von RSA und ECC. Statt der Faktorisierung großer Zahlen oder diskreter Logarithmen bauen sie auf mathematischen Problemen auf, die auch gegen Shors Algorithmus resistent sind:

• Gitterbasierte Probleme (Lattice-based): ML-KEM und ML-DSA — schnell, relativ kleine Schlüssel, gut erforscht
• Hash-basierte Signaturen: SLH-DSA — konservativ, große Signaturen, aber minimale kryptografische Annahmen
• Code-basierte Probleme: BIKE, HQC — Kandidaten in der 4. NIST-Runde, noch nicht standardisiert

Praktische Auswirkung für Entwickler: größere Schlüssel und Signaturen. ML-KEM-768 hat einen öffentlichen Schlüssel von 1.184 Bytes (vs. 32 Bytes bei X25519). ML-DSA-65-Signaturen haben 3.309 Bytes (vs. 64 Bytes bei Ed25519). Das beeinflusst TLS-Handshake, Zertifikate und IoT-Geräte mit begrenztem Speicher.

Hybrider Ansatz — Der Goldstandard des Übergangs¶

Niemand Vernünftiges wechselt über Nacht von RSA zu ML-KEM. Der korrekte Ansatz ist hybride Kryptografie — eine Kombination aus klassischem und Post-Quanten-Algorithmus. Wenn sich einer als schwach erweist, schützt der andere weiterhin.

Google Chrome und Cloudflare haben bereits hybrides TLS (X25519 + ML-KEM-768) in Produktion eingesetzt. AWS Key Management Service unterstützt Post-Quanten-TLS. Signal Messenger hat auf das PQXDH-Protokoll umgestellt, das X25519 mit ML-KEM kombiniert.

Post-Quanten-Kryptografie — Wie Sie sich auf die Migration vorbereiten¶

ssl_conf = ssl_sect

[ssl_sect]

system_default = system_default_sect

[system_default_sect]

Groups = x25519_mlkem768:x25519:secp256r1

SignatureAlgorithms = mldsa65:ecdsa_secp256r1_sha256:rsa_pss_rsae_sha256

Inventarisierung — Wo überall verwenden Sie Kryptografie¶

Die größte Herausforderung der Migration ist nicht technisch — es ist die Sichtbarkeit. Die meisten Organisationen wissen nicht, wo überall sie Kryptografie einsetzen. Ein systematisches Audit umfasst:

• TLS/mTLS: Webserver, API Gateways, Service Mesh, Load Balancer
• Zertifikate: PKI-Infrastruktur, Code Signing, S/MIME
• Data at Rest: Festplattenverschlüsselung, Datenbanken, Backups, Key Vaults
• Anwendungskryptografie: JWT-Tokens, HMAC, Verschlüsselung im Code
• Hardware: HSM-Module, TPM-Chips, Smartcards, IoT-Sensoren
• Drittanbieter: SaaS-Integrationen, VPN-Tunnel, Partner-APIs

Tools wie IBM Quantum Safe Explorer oder Open-Source Cryptobom helfen bei der automatisierten Inventarisierung. Das Ergebnis sollte ein Cryptographic Bill of Materials (CBOM) sein — eine Liste aller kryptografischen Abhängigkeiten.

Migrationsplan in 4 Phasen¶

Phase 1: Inventarisierung (1–3 Monate)¶

Erfassen Sie alle Kryptografie in der Organisation. Erstellen Sie ein CBOM. Identifizieren Sie Daten mit langer Sensitivitätsdauer — diese haben die höchste Priorität.

Phase 2: Testing (3–6 Monate)¶

Setzen Sie hybride Kryptografie in einer Testumgebung ein. Messen Sie die Auswirkungen auf die Performance — ML-KEM ist schnell (Encapsulation ~30 µs), aber größere Schlüssel erhöhen die TLS-Handshake-Latenz um 5–15 %. Testen Sie die Kompatibilität mit bestehenden Systemen.

Phase 3: Schrittweiser Rollout (6–18 Monate)¶

Beginnen Sie mit den am stärksten exponierten Systemen — öffentliche APIs, VPNs, Kommunikationskanäle. Verwenden Sie den hybriden Modus. Überwachen Sie. Erweitern Sie schrittweise.

Phase 4: Vollständige Migration (18–36 Monate)¶

Ersetzen Sie klassische Kryptografie überall, wo möglich. Aktualisieren Sie HSM-Firmware. Erneuern Sie Zertifikate. Aktualisieren Sie die Compliance-Dokumentation.

Was Sie heute tun können¶

Sie müssen nicht auf einen Quantencomputer warten. Beginnen Sie pragmatisch:

1. Aktualisieren Sie Bibliotheken — OpenSSL 3.5+, BoringSSL, liboqs unterstützen bereits ML-KEM/ML-DSA
2. Aktivieren Sie hybrides TLS auf öffentlichen Endpoints — Chrome und Firefox unterstützen es
3. Auditieren Sie Kryptografie — erstellen Sie ein CBOM für kritische Systeme
4. Schulen Sie Ihr Team — Post-Quanten-Kryptografie erfordert neues Wissen
5. Planen Sie das Budget — HSM-Upgrades und Zertifizierungsprozesse kosten Zeit und Geld

Zusammenfassung¶

Post-Quanten-Kryptografie hat sich von akademischer Theorie zur Praxis entwickelt. Standards existieren, Tools sind verfügbar, große Akteure migrieren bereits. Für Unternehmen in regulierten Branchen ist es Zeit, mit der Inventarisierung und dem hybriden Ansatz zu beginnen. Wer auf den Q-Day wartet, kommt zu spät.

CORE SYSTEMS hilft bei kryptografischen Audits, dem Design von Migrationsstrategien und der Implementierung von Post-Quanten-Lösungen.