Post-Quantum · Kryptografie

Post-Quantum-Kryptografie

Erstmal einfach — Worum geht's?

Quantencomputer sind nicht einfach „schnellere Computer". Sie können bestimmte mathematische Probleme exponentiell schneller lösen — genau jene, auf denen heute RSA und ECC beruhen.

Sobald ein ausreichend großer Quantencomputer existiert, sind diese Verfahren tot. Post-Quantum-Krypto entwickelt jetzt schon Verfahren, die klassisch wie quanten sicher sind — bevor es zu spät ist.

Was ist betroffen, was nicht?

Gebrochen durch Quanten (Shor's Algorithmus, polynomiell):

RSA — komplett.
Diffie-Hellman (klassisch und elliptisch) — komplett.
ECDSA, EdDSA, alles ECC-basierte — komplett.

Geschwächt, aber überlebensfähig (Grover's Algorithmus, √-Speedup):

AES-128 → effektiv 64 Bit. Heißt: nimm AES-256.
SHA-256 → effektiv 128 Bit Kollisionsresistenz. Noch ok, SHA-384 ist sicherer.
HMAC, symmetrische Krypto allgemein: einfach Schlüssel verdoppeln.

Warum eigentlich? — „Aber Quantencomputer gibt's doch noch nicht?“

Stimmt — Stand 2026 hat IBM ~1000 verrauschte Qubits, gebraucht würden Millionen fehlertoleranter. Aber:

Harvest now, decrypt later. Geheimdienste zeichnen heute schon TLS-Traffic auf und warten, bis sie ihn in 10–20 Jahren entschlüsseln können. Was du heute verschickst, was lange geheim bleiben muss (Patente, Identitäten, Diplomatie), ist jetzt schon gefährdet.
Migration dauert Jahrzehnte. RSA in alle Banken, Geldautomaten, IoT-Geräte, Browser, Smartcards zu bringen, hat 30 Jahre gedauert. Es rauszunehmen wird ähnlich lange dauern.
Standardisierung läuft. NIST wählte 2022/2024 die ersten PQ-Standards aus. Die Migration beginnt jetzt.

Tiefer rein — Die neuen Standards (NIST 2024)

ML-KEM (Kyber): Schlüsselkapselung (Ersatz für DH/ECDH). Gitter-basiert.
ML-DSA (Dilithium): Signaturen (Ersatz für ECDSA/RSA-Sig). Gitter-basiert.
SLH-DSA (SPHINCS+): Signaturen rein auf Basis von Hash-Funktionen. Sehr konservativ, sehr lange Signaturen, aber theoretisch am besten verstanden — das „Backup", falls Gitter doch noch brechen.
FALCON: Kompaktere Gitter-Signaturen. Standardisierung läuft noch.

Häufiger Denkfehler — „Hash-Verfahren sind quantensicher“ — fast

Nicht ganz. Grover's Algorithmus halbiert die effektive Bitsicherheit (Aufwand 2^(n/2) statt 2^n für Preimage). SHA-256 bietet damit gegen Quantenangreifer noch 128 Bit Sicherheit — ausreichend, aber nicht der ursprüngliche Spielraum.

Für Kollisionen ist's komplizierter (BHT-Algorithmus, 2^(n/3)) — SHA-256 sinkt theoretisch auf 85 Bit Kollisionssicherheit. Daher die Bewegung zu SHA-384/512 für langfristige Anwendungen.

Geschichte — Wer hat das angestoßen?

1994: Peter Shor zeigt theoretisch, dass ein Quantencomputer große Zahlen polynomiell faktorisieren kann — RSA implizit zum Tode verurteilt.

2016: NIST startet einen offenen PQ-Wettbewerb (analog zum AES-Wettbewerb 1997).

2022: Erste Gewinner stehen fest. 2024: FIPS-Standards (203, 204, 205) werden publiziert. Chrome, Cloudflare, AWS, Signal beginnen mit hybriden Bereitstellungen (klassisch + PQ parallel).

← OAuth 2.0 Quiz →