Wie Post-Quanten-Kryptographie funktioniert – und warum sie wichtig ist

Die Quantenbedrohung für die Verschlüsselung

Nahezu jede sichere Transaktion im Internet – Online-Banking, verschlüsselte E-Mails, Krankenakten, militärische Kommunikation – beruht auf einem mathematischen Trick: Bestimmte Probleme sind so schwer, dass selbst die schnellsten Supercomputer Milliarden von Jahren bräuchten, um sie zu lösen. Algorithmen wie RSA und Elliptic Curve Cryptography (ECC) nutzen diese Schwierigkeit, um Daten zu schützen.

Quantencomputer verändern die Gleichung. Im Jahr 1994 bewies der Mathematiker Peter Shor, dass eine ausreichend leistungsfähige Quantenmaschine große Zahlen faktorisieren und diskrete Logarithmen exponentiell schneller lösen könnte als jeder klassische Computer. Das bedeutet, dass RSA und ECC – das Rückgrat der Internetsicherheit – zusammenbrechen würden. Experten schätzen, dass eine solche Maschine innerhalb von 5 bis 15 Jahren Realität werden könnte.

Jetzt ernten, später entschlüsseln

Die Gefahr ist nicht hypothetisch. Geheimdienste und hochentwickelte Angreifer führen bereits „Harvest Now, Decrypt Later“-Kampagnen durch: Sie fangen verschlüsselte Daten ab und speichern sie heute, um sie zu knacken, sobald die Quantenentschlüsselung möglich wird. Für Informationen mit langer Lebensdauer – Geschäftsgeheimnisse, Staatsgeheimnisse, Krankenakten – besteht die Anfälligkeit bereits jetzt, nicht erst in ferner Zukunft.

Diese Dringlichkeit ist der Grund, warum Regierungen und Technologieunternehmen darum wetteifern, anfällige Algorithmen zu ersetzen, bevor Quantencomputer ausgereift sind.

Wie Post-Quanten-Kryptographie funktioniert

Post-Quanten-Kryptographie (PQC) benötigt keinen Quantencomputer. Sie läuft auf der heutigen Hardware, basiert aber auf mathematischen Problemen, die Quantenmaschinen nicht effizient lösen können. Der prominenteste Ansatz ist die gitterbasierte Kryptographie.

Ein Gitter ist im mathematischen Sinne ein Raster von Punkten in vielen Dimensionen. Den kürzesten Weg zwischen zwei Punkten in einem hochdimensionalen Gitter zu finden, ist außerordentlich schwierig – selbst für Quantencomputer. Im Gegensatz zu den Zahlenfaktorisierungsproblemen, die Shors Algorithmus ausnutzt, fehlt es Gitterproblemen an der periodischen mathematischen Struktur, die Quantenmaschinen ihren Vorteil verschafft.

Weitere PQC-Ansätze sind:

• Hash-basierte Signaturen – basierend auf gut verstandenen Hash-Funktionen, die konservative Sicherheitsgarantien bieten
• Code-basierte Kryptographie – abgeleitet von Fehlerkorrekturcodes, die seit den 1970er Jahren untersucht werden
• Multivariate polynomiale Systeme – Verwendung von Gleichungssystemen über endlichen Körpern, die Quantenangriffen widerstehen

NIST legt den Standard fest

Nach einem achtjährigen globalen Wettbewerb mit Beiträgen von Forschern aus aller Welt hat das U.S. National Institute of Standards and Technology (NIST) im August 2024 seine ersten drei Post-Quanten-Kryptographie-Standards finalisiert:

• ML-KEM (ehemals Kyber) – ein gitterbasierter Algorithmus für die Schlüsselkapselung, der verwendet wird, um gemeinsame Verschlüsselungsschlüssel zu erstellen
• ML-DSA (ehemals Dilithium) – ein gitterbasierter digitaler Signaturalgorithmus zur Überprüfung der Identität
• SLH-DSA (ehemals SPHINCS+) – ein Hash-basiertes Signaturschema, das einen Backup-Ansatz unabhängig von der Gittermathematik bietet

Gemäß dem Übergangsplan des NIST werden quantenanfällige Algorithmen bis 2030 veraltet sein und bis 2035 vollständig aus den Bundesstandards entfernt.

Das Web wird quantensicher

Große Technologieunternehmen setzen bereits PQC ein. Das Chrome-Team von Google entwickelt Merkle Tree Certificates, eine neue Zertifikatsarchitektur, die Post-Quanten-TLS-Verbindungen effizient hält. Da Post-Quanten-Kryptographieschlüssel etwa 40-mal größer sind als die aktuellen, komprimiert der Merkle-Tree-Ansatz Zertifikatsdaten auf etwa 64 Byte, indem eine Zertifizierungsstelle einen einzelnen „Tree Head“ signiert, der Millionen von Zertifikaten repräsentiert.

Apple, Cloudflare und Signal haben ebenfalls damit begonnen, Post-Quanten-Algorithmen in ihre Produkte und Protokolle zu integrieren.

Warum es wichtig ist

Der Übergang zur Post-Quanten-Kryptographie ist eines der größten Infrastruktur-Upgrades in der Geschichte des Rechnens. Jede verschlüsselte Verbindung, jede digitale Signatur, jeder sichere Chip muss schließlich migriert werden. Organisationen, die sich verzögern, riskieren, sensible Daten Harvest-Now-Decrypt-Later-Angriffen auszusetzen, die bereits im Gange sind.

Wie NIST, die Cybersecurity and Infrastructure Security Agency (CISA) und die National Security Agency alle betont haben: Es ist jetzt an der Zeit, mit der Planung zu beginnen – nicht erst, wenn der erste kryptografisch relevante Quantencomputer eingeschaltet wird.