Unse­re der­zei­ti­gen kryp­to­gra­phi­schen Stan­dards wie RSA (Fak­to­ri­sie­rung gro­ßer Prim­zah­len) und ECC (Ellip­ti­sche Kur­ven) ver­las­sen sich dar­auf, dass man bestimm­te mathe­ma­ti­schen Rech­nun­gen nicht ein­fach rück­gän­gig machen kann. Asym­me­tri­sche Ver­fah­ren wie RSA und ECC basie­ren auf einem Schlüs­sel­paar, bestehend aus Public-Key und Pri­va­te-Key, wobei der pri­va­te Schlüs­sel streng geheim blei­ben muss.

Die Mathe­ma­tik hin­ter den RSA und ECC Schlüs­seln ist für heu­ti­ge Com­pu­ter wie eine Ein­bahn­stra­ße: In die eine Rich­tung (Ver­schlüs­seln) geht es super schnell, in die ande­re (Kna­cken ohne Schlüs­sel) dau­ert es Mil­li­ar­den Jah­re. Aber: Quan­ten­com­pu­ter ken­nen eine Abkür­zung durch eine sol­che Ein­bahn­stra­ße. Des­halb brau­chen wir zukünf­tig Post-Quan­ten-Kryp­to­gra­phie (PQC).

Nicht betrof­fen von der Bedro­hung durch Quan­ten­com­pu­ter ist die sym­me­tri­sche Ver­schlüs­se­lung mit dem Advan­ced Encryp­ti­on Stan­dard (AES).  Exper­ten mei­nen, dass Quan­ten­com­pu­ter zukünf­tig das Kna­cken von AES-128 (128 Bit) Schlüs­seln beschleu­ni­gen kön­nen und emp­feh­len daher einen Umstieg auf AES-256 (256 Bit). Ein tat­säch­li­cher Quan­ten­an­griff auf die sym­me­tri­sche AES Ver­schlüs­se­lung gibt es aber bis­her nicht.

Im fol­gen­den Arti­kel geht es daher nicht um die sym­me­tri­sche Ver­schlüs­se­lung, son­dern um die asym­me­tri­sche Kryp­to­gra­phie, die in allen gän­gi­gen Pro­to­kol­len ver­wen­det wird, um den tat­säch­li­chen Ver­schlüs­se­lungs­schlüs­sel sicher zwi­schen Sen­der und Emp­fän­ger zu erzeugen.

Modu­le-Lat­ti­ce-Based Key-Encap­su­la­ti­on Mecha­nism (ML-KEM)

Der Modu­le-Lat­ti­ce-Based Key-Encap­su­la­ti­on Mecha­nism (ML-KEM) ist der von NIST stan­dar­di­sier­te Post-Quan­ten-Schlüs­sel­aus­tausch (basie­rend auf CRYS­TALS-Kyber). Der Schlüs­sel­aus­tausch ermög­licht es zwei Par­tei­en sicher auf ein gemein­sa­mes Geheim­nis (in der Regel einen sym­me­tri­schen Schlüs­sel) zu eini­gen – auch wenn Quan­ten­com­pu­ter den Netz­werk­ver­kehr überwachen.

  • ML-KEM basiert auf Git­tern (Lat­ti­ces), genau­er auf Modul-Gittern.
  • Die Sicher­heit kommt von der mathe­ma­ti­schen Schwie­rig­keit des Modu­le-Lear­ning-With-Errors-Pro­blems (MLWE).
    Man sieht vie­le linea­re Glei­chun­gen mit klei­nem Rau­schen – das exak­te Geheim­nis dar­aus zu rekon­stru­ie­ren ist extrem schwer (klas­sisch und quantenresistent).

War­um ist ML-KEM sicher?

Das Rau­schen ist der Schlüs­sel: Es ist klein genug, um legi­ti­me Rech­nun­gen zu erlau­ben, aber groß genug, um Angrei­fer zu verwirren.

War­um genau Modu­le-Lat­ti­ces?

Es gibt unter­schied­li­che Lat­ti­ces hier ein Überblick:

  • Nor­ma­le Lat­ti­ces: sehr sicher, aber langsam
  • Ring-Lat­ti­ces: sehr schnell, aber stär­ker struk­tu­riert und mög­li­cher­wei­se errechenbar
  • Modu­le-Lat­ti­ces: der Sweet Spot mit guter Per­for­mance und kon­ser­va­ti­ve­rer Sicherheit

War­um hat sich Modu­le-Lat­ti­ces durchgesetzt?

Die gute Per­for­mance und die rela­ti­ve ein­fa­che Umset­zung in Soft­ware und Hard­ware spricht für das kryp­to­gra­phi­sche Ver­fah­ren. Es gibt bereits ers­te Hard­ware-Secu­ri­ty-Modu­le (HSM) und Secu­re Ele­ments bzw. Smart­card-Chips die für ML-KEM vor­be­rei­tet sind.

Wie funk­tio­niert ML-KEM?

Pha­se 1 – die Schlüsselgenerierung

Die emp­fan­gen­de Par­tei (z.B. der Server):

  • erzeugt ein öffent­li­ches Gitter-Problem
  • behält ein gehei­mes kur­zes Vektor-Geheimnis
  • ver­öf­fent­licht den Public Key

Die Vor­be­rei­tung: Der Public Key sieht zufäl­lig aus, ent­hält aber ver­steckt die Struktur.

Pha­se 2 — Encap­su­la­ti­on (Schlüs­sel­ein­schluss)

Die sen­den­de Par­tei (z.B. der Client):

  • nimmt den Public Key
  • erzeugt ein zufäl­li­ges Geheim­nis (Shared Secret)
  • ver­packt“ die­ses Geheim­nis mit zusätz­li­chem Rau­schen zu einem Ciphertext
    über­trägt den Cipher­text an den Empfänger

Die Sicher­heit: Der Cipher­text ver­rät das Geheim­nis nicht ohne das pri­va­te Git­ter-Wis­sen, dass nur der Emp­fän­ger (z.B. der Ser­ver) kennt.

Pha­se 3 — Decap­su­la­ti­on (Ent­schlüs­se­lung)

Der Emp­fän­ger:

  • nutzt sei­nen Pri­va­te Key
  • ent­fernt das Rau­schen kontrolliert
  • rekon­stru­iert das­sel­be Shared Secret

Das kryp­to­gra­phi­sche Ergeb­nis: Bei­de Sei­ten haben nun iden­ti­sche Schlüs­sel­bits, das für eine sym­me­tri­sche Ver­schlüs­se­lung genutzt wer­den kann, z.B. AES.

Hier ML-KEM als Ablauf dargestellt:

ML-KEM einfach erklärt

Die Para­me­ter und deren Sicherheit

NIST stan­dar­di­siert drei Sicherheitsstufen:

  • ML-KEM-512 ent­spricht unge­fähr der AES-128 Sicherheit
  • ML-KEM-768 ent­spricht ~AES-192
  • ML-KEM-1024 ent­spricht ~AES-256

Alle Sicher­heits­stu­fen sind:

  • effi­zi­ent
  • gut ana­ly­siert
  • breit imple­men­tier­bar

ML-KEM im täg­li­chen Einsatz?

Zukünf­tig wird der Post-Quan­ten-Schlüs­sel­aus­tausch in vie­len Anwen­dun­gen genutzt wer­den, unter anderem:

  • Post-Quan­tum-TLS
  • VPNs
  • Secu­re Messaging
  • Firm­ware-Updates
  • Lang­zeit-Daten­schutz („har­ve­st now, decrypt later“)

Für alle, denen es bereits in den Fin­gern juckt, ML-KEM ist bereits verfügbar:

  • ML-KEM und ML-DSA sind seit dem Win­dows 11 Novem­ber 2025 Update all­ge­mein für Win­dows und Ser­ver 2025 ver­füg­bar, inte­griert in die Cryp­to­gra­phy API: Next Gene­ra­ti­on (CNG).
  • ML-KEM wird ab Open­S­SL 3.5.0 (April 2025) unter­stützt, um quan­ten­si­che­re Schlüs­sel­aus­tauschme­cha­nis­men in Linux Deri­va­ten zu ermög­li­chen. Schlüs­sel kön­nen über das genpkey-Tool gene­riert werden.
  • Infi­ne­on hat ML-KEM sei­ner Secu­ri­ty Con­trol­ler  IFX_CCI_000068h und IFX_CCI_000080h, die typi­scher­wei­se auf Smart­cards ver­baut wer­den, nach Com­mon Cri­te­ria zer­ti­fi­zie­ren las­sen, per Stand Febru­ar 2026 kann man sol­che PQC-Smart­cards aber noch nicht im Han­del kaufen.

PQC FAQ

Benö­tigt man für Post-Quan­ten-Kryp­to­gra­phie (PQC) einen Quanten-Computer?

Nein, genau das Gegen­teil. PQC wur­de ent­wi­ckelt, um sich vor Quan­ten-Com­pu­tern zu schüt­zen. Die quan­ten­si­che­ren Schlüs­sel und Algo­rith­men las­sen sich mit nor­ma­ler Com­pu­ter Hard­ware erstel­len und nutzen.

Ab wann benö­ti­gen wir Post-Quanten-Kryptographie?

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) hat ) in der neu­es­ten Aktua­li­sie­rung sei­ner Tech­ni­schen Richt­li­nie TR-02102–1 im Febru­ar 2026 sehr kon­kre­te Fris­ten gesetzt: Ab 2031 ist Kryp­to-Klas­sik mit RSA und ECC vor­bei. Wer heu­te Sys­te­me baut, muss ab jetzt (2026) die Migra­ti­on auf PQC planen.

Ist sym­me­tri­sche AES Ver­schlüs­se­lung auch von Quan­ten-Com­pu­tern bedroht?

Nicht unmit­tel­bar. Exper­ten emp­feh­len aber einen Umstieg von AES-128 (128 Bit) auf AES-256 (256 Bit).

Müs­sen wir sofort auf RSA und ECC Kryp­to­gra­phie verzichten?

Nein, aber gemäß der BSI Ver­öf­fent­li­chung TR-02102–1 (Stand Febru­ar 2026) gelten:

  • RSA Schlüs­sel ab 3000 Bit als sicher
  • gewis­se ECC Kur­ven ab 250 Bit als sicher
  • SHA2 oder SHA3 Hash­ing ab 256 Bit als sicher

Das bedeu­tet im Umkehr­schluss, dass z.B. RSA-2048, MD5 und SHA1 heu­te nicht mehr dem Stand der Tech­nik entsprechen.

Unter­stüt­zen die meis­ten Pro­duk­te bereits Post-Quanten-Kryptographie?

Lei­der nein, aber durch Open­S­SL 3.5 und der Win­dows CNG API wird es Her­stel­lern ein­fach gemacht moder­ne PQC Algo­rith­men in Ihre Pro­duk­te zu imple­men­tie­ren. Die Kom­pa­ti­bi­li­tät zu RSA und ECC wird und aber noch über 10 Jah­re begleiten.

Kann man mit ML-KEM auch X.509 Zer­ti­fi­ka­te oder Datei­en signieren?

Nein. ML-KEM (ehe­mals Kyber) ist ein KEM (Key Encap­su­la­ti­on Mecha­nism). Er ist aus­schließ­lich dafür gedacht, ein gemein­sa­mes Geheim­nis zu eta­blie­ren (Ver­schlüs­se­lung). Er besitzt tech­nisch kei­ne Funk­ti­on, um eine digi­ta­le Signa­tur zu erstellen.

Um ein X.509-Zertifikat zu signie­ren, benö­tigt man einen Signa­tur-Algo­rith­mus (DSA — Digi­tal Signa­tu­re Algo­rithm). Für PQC ist das ML-DSA (ehe­mals Dilithium).

Gibt es auch Nach­tei­le von PQC?

Lei­der ja. RSA-Schlüs­sel gel­ten als rela­tiv groß im Ver­gleich zu ECC-Schlüs­sel. Aber PQC Schlüs­sel über­tref­fen die­se Datei­grö­ße um ein Vielfaches:

  • RSA-3072 Pri­va­te-Key als .PEM: 2488 Bytes
  • ECC P256 Pri­va­te-Key als .PEM: 241 Bytes
  • ML-DSA-87 Pri­va­te-Key als .PEM: 6774 Bytes

Der Grö­ßen­ver­gleich bei X.509 Zertifikaten:

  • RSA-3072 X.509 Zer­ti­fi­kat als .PEM: 1659 Bytes
  • ECC P265 X.509 Zer­ti­fi­kat als .PEM: 778 Bytes
  • ML-DSA-87 X.509 Zer­ti­fi­kat als .PEM: 10300 Bytes

Das mag bei PC Hard­ware und Gbit Netz­wer­ken belang­los sein, aber den­ken Sie bit­te an RAM-limi­tier­te Mikro­con­trol­ler und lang­sa­me Bussystemen.

Wie sieht die Per­for­mance im Ver­gleich aus?

Die Per­for­mance­mes­sung basiert auf einem Debi­an 13 Linux auf han­dels­üb­li­cher PC-Hard­ware. In unse­rer Mes­sung ist PQC ver­gleich­bar schnell wie ECC Schlüssel:

  • 1000 Schlüs­sel­er­zeu­gun­gen mit ML-KEM-1024: 3,3 Sek.
  • 1000 Schlüs­sel­er­zeu­gun­gen mit RSA 3072 Bit: 178 Sek. (rd. 3 Minuten)
  • 1000 Schlüs­sel­er­zeu­gun­gen mit RSA 4096 Bit: 558 Sek. (rd. 11 Minuten)
  • 1000 Schlüs­sel­er­zeu­gun­gen mit ECC NIST P‑256: 3,2 Sek.

Im Blog Arti­kel von cpsd it-ser­vices GmbH gibt es ML-KEM zum selbst ausprobieren:
🔗 https://www.cpsd.at/ml-kem-post-quantum-kryptographie/

Eine wei­te­re Link-Emp­feh­lung zum The­ma Har­ve­st Now, Decrypt Later:
🔗 https://unlock-anywhere.com/harvest-now-decrypt-later/